Организация может использовать Security Assertion Markup Language (SAML) для аутентификации пользователей ПК и авторизации доступа к своим веб-ресурсам. Для этого, один провайдер идентификации SAML настраивается на аутентификацию пользователей. Веб-ресурсы организации размещаются на одном или нескольких провайдерах сервисов, которые авторизуют доступ к веб-ресурсам. Организация имеет полный контроль над своими провайдерами идентификаций и сервисов. Для поддержки аутентификации и авторизации на основе SAML, каждый провайдер сервиса организации должен быть зарегистрирован на работу со своим провайдером идентификаций. Каждый провайдер сервиса должен быть зарегистрирован только с одним провайдером идентификаций.
Вы также можете использовать SAML для публикации ресурсов вреди нескольких независимо управляемых организаций. Это становится возможным при интеграции элементов управления, которые позволяют публикацию ресурсов на базе SAML среди организаций-участников. Организация-участник, которая хочет публиковать свои веб-ресурсы в интеграции, резервирует один или несколько своих провайдеров сервисов для работы исключительно с интеграцией. Для доступа к защищенным ресурсам, доступным в пределах интегрированных участников, пользователи проверяют подлинность с помощью IDP домашней организации. После успешной аутентификации данные об успешной проверки передаются провайдеру сервиса, размещающего защищенный ресурс. Далее провайдер сервиса предоставляет доступ к ресурсу после проверки прав доступа пользователя.
В версии 10.6.1 портал ArcGIS Enterprise можно настроить на работу с интегрированными провайдерами идентификации на базе SAML. Портал получает доступ к сервису обнаружения в интеграции, который обеспечивает список провайдеров идентификации и провайдеров сервисов, участвующих в интеграции.
К часто используемым провайдерам идентификаций на базе SAML относятся InCommon, eduGAIN, SWITCHaai, DFN-AAI и UK Access Management Federation.
Настройка интеграции на портале
Для настройки интеграции провайдеров идентификаций на базе SAML выполните следующие шаги:
- Войдите на веб-сайт портала в качестве администратора и щелкните Организация > Изменить настройки > Безопасность.
- В разделе Корпоративные учетные записи выберите опцию Объединение провайдеров идентификации, щелкните кнопку Установка входа в систему и введите описание интеграции в открывшемся окне. Это описание отображается у пользователей, входящих на веб-сайт портала с помощью опции входа по SAML.
- Выберите способ присоединения пользователей к организации портала:
- Автоматически - пользователи могут присоединяться к организации с использованием своих корпоративных учетных записей без всякого вмешательства администратора, т.к. их учетная запись автоматически регистрируется в организации во время первого входа
- По приглашению от администратора - пользователям потребуется регистрация соответствующих учетных записей в организации, выполняемая администратором посредством специальной утилиты командной строки или скрипта Python
Примечание:
Esri рекомендует выделить хотя бы одну корпоративную учетную запись в качестве администратора портала и отключить кнопку Создать учетную запись и страницу входа (signup.html) на веб-сайте портала, чтобы пользователи не могли создавать собственные учетные записи. Дополнительные сведения см. в разделе Назначение корпоративной учетной записи прав администратора ниже
- Введите URL-адрес централизованного сервиса обнаружения провайдеров идентификаций в интеграции, например, https://wayf.samplefederation.com/WAYF.
- Введите URL в метаданные объединения, где агрегированы метаданные всех провайдеров идентификаций и сервисов, участвующих в объединении.
- Скопируйте и вставьте сертификат, закодированный в Base64, что позволяет порталу проверить подлинность метаданных объединения.
- Доступна расширенная настройка дополнительных опций:
- Шифровать утверждения – выберите эту опцию, чтобы показать провайдеру аутентификации SAML, что портал поддерживает шифрованные ответы утверждений SAML. Если эта опция выбрана, то провайдер аутентификации будет шифровать раздел утверждений ответов SAML. Весь трафик SAML шифруется в обе стороны при использовании HTTPS, эта опция добавляет дополнительный уровень шифрования.
- Включить подписанный запрос – выберите эту опцию, чтобы портал подписывал запрос аутентификации SAML, направленный провайдеру идентификаций. Подпись исходного запроса аутентификации, отправленного порталом, позволяет провайдеру идентификаций проверить, что все запросы аутентификации исходят от доверенного провайдера сервисов.
- Произвести выход в провайдер аутентификации – выберите эту опцию, чтобы в на портале использовался URL-адрес выхода, для выхода пользователя из провайдера идентификаций. Если эта опция выбрана, введите используемый URL в поле URL-адрес выхода. Если провайдеру идентификации для выполнения входа требуется URL-адрес выхода, необходимо также отметить опцию Включить подписанный запрос. Если это опция не выбрана, кнопка Выйти на веб-сайте портала отключит пользователя от портала, но не от провайдера идентификаций. Если кэш веб-браузера пользователя не очищен, попытка немедленно выполнить вход обратно на портал, используя опцию корпоративной учетной записи, приведет к немедленному входу без необходимости предоставления учетных данных для провайдера аутентификации. Это уязвимость в системе безопасности, которая может быть использована при пользовании компьютером, доступным неавторизованным пользователям или широкой публике.
- Обновить профиль для входа – выберите эту опцию для обновления на портале пользовательских атрибутов givenName и email address, если они изменились с момента последнего входа. Эта опция выбрана по умолчанию.
- ID объекта – обновите это значение, чтобы для уникальной идентификации организации портала в провайдере аутентификации SAML использовался новый ID объекта.
Регистрация портала на работу с интеграцией SAML в качестве доверенного провайдера сервиса
Чтобы завершить процесс настройки, установите доверительные отношения между сервисом обнаружения интеграцией и провайдером идентификаций вашей организации, зарегистрировав в ней метаданные сервиса портала. Получить метаданные можно двумя способами:
- В разделе Безопасность страницы Редактировать настройки вашей организации щелкните кнопку Получить провайдер сервиса. Это предоставит вам метаданные для вашей организации, которые вы можете сохранить в виде файла XML на вашем компьютере.
- Перейдите по URL-ссылке метаданных и сохраните его как файл XML на вашем компьютере. URL-адрес – это https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, например, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Вы можете создать токен с помощью https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. При указании URL на странице Создать токен укажите полное доменное имя сервера провайдера идентификации в поле Webapp URL. Выбор любой другой опции, как то IP-адрес или IP-адрес происхождения запроса, не поддерживается и может привести к генерации неверного токена.
Назначение корпоративной учетной записи прав администратора
Процесс определения для корпоративной учетной записи прав администратора портала зависит от того, смогут ли ваши пользователи зарегистрироваться в организации Автоматически или После того, как вы добавите их учетные записи в портал.
Автоматическое присоединение к организации
Если вы выбрали опцию Автоматического добавления пользователей в организацию, то откройте главную страницу веб-сайта портала; при этом вы должны войти из-под корпоративной учетной записи, которую вы хотите использовать в качестве администратора портала.
При первом добавлении учетной записи в портал автоматически ей назначается роль Пользователь. Только Администратор организации может изменить роль учетной записи; следовательно, вы должны войти на портал, используя первичную учетную запись администратора и назначить корпоративной учетной записи роль администратора.
- Откройте веб-сайт портала и щелкните на опции входа с использованием провайдера идентификации SAML и введите учетные данные корпоративной учетной записи, которую вы хотите использовать в качестве администратора. Если эта учетная запись принадлежит кому-то другому, попросите этого пользователя подключиться к порталу, чтобы эта учетная запись была зарегистрирована на портале.
- Убедитесь, что учетная запись была добавлена в портале, и щелкните Выйти. Очистите кэш и cookies вашего браузера.
- Не выходя из браузера, откройте веб-сайт портала , щелкните на опции входа с использованием встроенной учетной записи портала и укажите имя пользователя и пароль первичной учетной записи администратора, которая была создана вами при настройке Portal for ArcGIS.
- Найдите корпоративную учетную запись, которую вы будете использовать для администрирования вашего портала, и измените ее роль на Администратор. Щелкните Выйти.
Выбранная вами корпоративная учетная запись будет теперь иметь права администратора портала.
Добавление корпоративных учетных записей на портал вручную
Если вы выбрали опцию, которая позволит пользователям стать членами организации После добавления в портал учетных записей, то вам будет нужно зарегистрировать соответствующие учетные записи в организации с помощью утилиты командной строки или скрипта Python. Убедитесь в том, что для корпоративной учетной записи, которая будет использоваться для администрирования портала, была выбрана роль Администратор.
Отмена прав или удаление первичной учетной записи администратора
Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить начальной учетной записи администратора роль Пользователя или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.
Запрет создания собственных учетных записей для пользователей
После настройки безопасного доступа к порталу, рекомендуется отключить кнопку Создать учетную запись и страницу настройки учетной записи (signup.html) на веб-сайте портала, чтобы пользователи не могли создавать собственные учетные записи. Это означает, что все участники портала используют корпоративные учетные записи: создать дополнительные встроенные учетные записи будет нельзя. Подробные инструкции см. в разделе Отключение пользователям возможности создавать встроенные учетные записи портала.
Отключение входа под учетными записями ArcGIS
Чтобы запретить пользователям вход на портал под учетными записями ArcGIS, выключите кнопку Использование учетной записи ArcGIS, находящуюся на странице входа, выполнив следующие шаги.
- Войдите на веб-сайт портала в качестве администратора вашей организации и щелкните Организация > Изменить настройки > Безопасность.
- В разделе Опции входа выберите радио-кнопку для Только их учетная запись SAML IDP при этом IDP будет разным в зависимости от настроек, выполненных для портала.
- Щелкните Сохранить.
На странице входа появится кнопка для входа на портал под учетной записью провайдера аутентификации, а кнопка для входа Под учетной записью ArcGIS станет недоступной. Учетные записи участников могут быть заменены на учетные записи ArcGIS; для этого в Опциях входа следует выбрать Только их учетная запись SAML IDP или Учетная запись Portal for ArcGIS, при этом IDP и имя портала будут отличаться в зависимости от настроек.
Изменение или удаление провайдера идентификации SAML
Вы можете обновить настройки интеграции, используя кнопку Редактировать корпоративный вход или удалить зарегистрированный интеграцию с портала с помощью кнопки Удалить корпоративный вход. Эти кнопки появляются после настройки интеграции на портале. После удаления интеграции, можно задать новый провайдер идентификации или интеграцию провайдеров идентификации, если необходимо.