Skip To Content

Настройка NetIQ Access Manager

Вы можете настроить NetIQ Access Manager 3.2 и более новые версии в качестве провайдера идентификации (IDP) для корпоративных учетных записей в Portal for ArcGIS. Процесс настройки состоит из двух основных шагов: регистрации вашего корпоративного IDP в Portal for ArcGIS и регистрации Portal for ArcGIS в корпоративном IDP.

Необходимая информация

Portal for ArcGIS должен получить определенную атрибутивную информацию от IDP, когда пользователь входит с использованием корпоративной учетной записи. Атрибут NameID является обязательным и должен отправляться IDP в ответ на запрос SAML для интеграции с Portal for ArcGIS. Поскольку Portal for ArcGIS использует значение NameID для уникальной идентификации именованного пользователя, рекомендуется выбрать постоянное значение, уникально определяющее пользователя. Если входит пользователь IDP, новый пользователь с именем NameID будет создан Portal for ArcGIS в хранилище пользователей. Допустимыми символами значения, которое посылается атрибутом NameID, являются буквы, цифры и _ (нижнее подчеркивание). (точка) и @ (собачка). Другие символы будут заменены нижним подчёркиванием в имени пользователя, созданном Portal for ArcGIS.

Portal for ArcGIS поддерживает поток атрибутов givenName и email address корпоративной учетной записи от корпоративного IDP. Когда пользователь осуществляет вход с использованием корпоративной учётной записи, и Portal for ArcGIS получает атрибуты с именами givenname и email или mail (в любом случае), Portal for ArcGIS заполняет полное имя и адрес электронной почты для учётной записи пользователя значениями, полученными от IDP. Рекомендуем указывать email address от корпоративного IDP, чтобы пользователь мог получать уведомления.

Регистрация NetIQ Access Manager в качестве провайдера идентификации в Portal for ArcGIS

  1. Войдите на веб-сайт портала в качестве администратора вашей организации и щелкните Организация > Изменить настройки > Безопасность.
  2. В разделе Корпоративные учетные записи выберите опцию Один провайдер идентификации, щелкните кнопку Установка входа в систему и в появившемся окне введите имя своей организации (например, City of Redlands). При входе пользователей на веб-сайт портала данный текст отображается внутри строки входа SAML (например, Использование учетной записи City of Redlands).
    Примечание:

    Вы можете зарегистрировать только один корпоративный IDP или одну интеграцию IDP для своего портала.

  3. Укажите, смогут ли пользователи вступать в организацию Автоматически или После добавления учётных записей в портал. Выбор первой опции позволяет пользователям входить в организацию с указанием корпоративной учётной записи без вмешательства администратора. Их учетные записи автоматически регистрируются в организации при первом входе. Во втором случае пользователям потребуется регистрация соответствующих учетных записей в организации, выполняемая администратором посредством специальной утилиты командной строки или скрипта Python. После регистрации учетных записей пользователи смогут входить в организацию.
    Подсказка:

    Рекомендуется назначить хотя бы одну корпоративную учетную запись в качестве администратора портала и отключить или удалить учетную запись основного администратора. Также рекомендуется отключить кнопку Создать учетную запись и страницу настройки учетной записи (signup.html) на веб-сайте портала, чтобы пользователи не могли создавать собственные учетные записи. Подробные инструкции см. в разделе Настройка SAML-совместимого провайдера идентификации для работы с порталом.

  4. Введите метаданные для IDP, используя один из трех приведенных ниже вариантов:
    • URL – выберите данную опцию, если URL-адрес метаданных NetIQ Access Manager доступен для Portal for ArcGIS. URL-адрес обычно указывает http(s)://<host>:<port>/nidp/saml2/metadata на компьютер, где работает NetIQ Access Manager.
      Примечание:

      Если ваш корпоративный IDP имеет самозаверенный сертификат, возникнет ошибка при попытке указать URL по протоколу HTTPS для метаданных. Ошибка возникнет из-за того, что Portal for ArcGIS не сможет проверить самозаверенный сертификат провайдера идентификации. Либо используйте в URL протокол HTTP, как указано ниже, либо настройте IDP на работу с доверенным сертификатом.

    • Файл – если URL-адрес не доступен для Portal for ArcGIS, сохраните метаданные, полученные из URL-адреса, указанного выше, в виде файла XML и загрузите его.
    • Параметры – Выберите данную опцию, если недоступны URL-адрес или файл метаданных. Вручную введите значения и укажите запрашиваемые параметры: URL для входа и сертификат, закодированный в формате BASE 64. Для получения этих значений свяжитесь с администратором NetIQ Access Manager.
  5. Доступна расширенная настройка дополнительных опций:
    • Шифровать утверждения – Выберите эту опцию для шифровки ответов утверждений ADFS' SAML, если настроен NetIQ Access Manager.
    • Включить подписанный запрос – Выберите эту опцию, чтобы заставить Portal for ArcGIS подписывать запрос аутентификации SAML, который отправляется на NetIQ Access Manager.
    • Произвести выход в провайдер аутентификации – Выберите эту опцию, чтобы заставить Portal for ArcGIS использовать URL-адрес выхода для выхода пользователя из Net IQ Access Manager. Введите используемый URL в поле URL-адрес выхода. Если IDP для выполнения входа требуется URL-адрес выхода, необходимо включить опцию Включить подписанный запрос.
    • Обновить профиль для входа - выберите эту опцию для обновления в Portal for ArcGIS пользовательских атрибутов givenName и email address, если они с момента их последнего входа изменились.
    • Включить членство в группе, основанное на SAML - выберите эту опцию, чтобы позволить пользователям организации связать основанные на SAML группы с группами Portal for ArcGIS в процессе создания группы.
    • URL-адрес выхода – URL-адрес IDP, который используется при выходе работающего в данный момент пользователя. Это значение автоматически заполняется, если задан файл метаданных IDP. При необходимости вы можете обновить этот URL-адрес.
    • ID объекта – Обновите это значение, чтобы использовать новый ID объекта, чтобы уникально идентифицировать ваш портал в NetIQ Access Manager.

    Для настроек Шифровать утверждения и Включить подписанный запрос используется сертификат samlcert из хранилища ключей портала. Чтобы воспользоваться новым сертификатом, удалите сертификат samlcert, создайте новый с тем же псевдонимом (samlcert), следуя шагам в разделе Импорт сертификата на портал, и перезапустите портал.

Регистрация NetIQ Access Manager в качестве доверенного провайдера сервисов для Portal for ArcGIS

  1. Настройте набор атрибутов.

    Выполните указанные ниже шаги для создания нового набора атрибутов, чтобы их можно было отправить на Portal for ArcGIS в качестве SAML-подтверждения после аутентификации пользователя. Если у вас уже имеется настроенный набор атрибутов в NetIQ Access Manager, можно использовать его.

    1. Выполните вход в консоль администрирования NetIQ Access Manager. Обычно она доступна по адресу http(s)://<host>:<port>/nps.
    2. В административной консоли NetIQ перейдите к серверу аутентификации и щёлкните вкладку Настройки общего доступа. В разделе Наборы атрибутов можно увидеть все уже созданные наборы. Щелкните Новый и создайте новый набор атрибутов. Введите Portal в поле Задать имя и щелкните Далее.
    3. Задайте сопоставление атрибутов и добавьте их в набор атрибутов, созданный в предыдущем шаге.

      Portal for ArcGIS поддерживает поток атрибутов givenName и email address корпоративной учетной записи от корпоративного IDP. Когда пользователь осуществляет вход с использованием корпоративной учётной записи и Portal for ArcGIS получает атрибуты с именами givenname и email или mail (в любом случае), Portal for ArcGIS заполняет полное имя и адрес электронной почты для учётной записи пользователя значениями, полученными от провайдера идентификации.

      Рекомендуется, чтобы вы пропустили адрес электронной почты от корпоративного IDP в Portal for ArcGIS. Это помогает, если пользователь в дальнейшем становится администратором. Наличие адреса электронной почты для учётной записи даёт пользователю возможность получать уведомления о любой административной деятельности и отправлять приглашения другим пользователям для присоединения к организации.

    Щелкните ссылку Новый и добавьте любые новые сопоставления атрибутов. На снимках экрана ниже показано добавление сопоставления атрибутов для givenName, email address и uid. Вы можете выбрать любые атрибуты из источника аутентификации вместо показанных.

    Атрибут givenName
    Атрибут email
    Атрибут uid

    Щелкните Готово в мастере Создание набора атрибутов. Появится новый набор атрибутов с именем Portal.

  2. Выполните указанные ниже шаги, чтобы добавить Portal for ArcGIS в качестве доверенного провайдера NetIQ Access Manager.
    1. Выполните вход в административную консоль NetIQ, выберите сервер аутентификации и щелкните ссылку Редактировать.
      Консоль администрирования

      Откроется вкладка Общие.

    2. Щёлкните закладку SAML 2.0 и выберите Новый > Провайдер сервиса.

      В окне Провайдер сервиса можно добавить Portal for ArcGIS в качестве доверенного провайдера сервисов с NetIQ Access Manager.

    3. В мастере Создать доверенный провайдер сервиса щелкните Текст метаданных как Источник и вставьте метаданные вашей организации Portal for ArcGIS в поле Текст.

      Чтобы получить метаданные вашей организации Portal for ArcGIS, войдите в организацию от имени администратора, щелкните кнопку Изменить настройки, закладку Безопасность и выберите Получить провайдера сервиса. Сохраните метаданные как XML-файл.

      Щелкните Далее и Готово, чтобы завершить создание доверенного провайдера сервиса.

  3. Выполните указанные ниже шаги, чтобы настроить интеграцию Portal for ArcGIS и NetIQ Access Manager.
    1. На вкладке SAML 2.0 щелкните ссылку провайдера сервиса в разделе Провайдеры сервисов. Откроется вкладка Конфигурация. Щёлкните вкладку Метаданные и убедитесь, что метаданные вашей организации Portal for ArcGIS корректны.
    2. Щёлкните вкладку Конфигурация, чтобы вернуться к разделу настроек Доверенные. Выберите опцию Шифровать утверждения, если была выбрана дополнительная настройка Шифровать утверждения при регистрации NetIQ Access Manager в качестве корпоративного IDP на Portal for ArcGIS.
    3. Щёлкните вкладку Атрибуты.

      В этом шаге вы добавите сопоставление атрибутов из набора, созданного ранее, чтобы NetIQ Access Manager мог отправить атрибуты в Portal for ArcGIS в качестве подтверждения SAML.

      Выберите набор атрибутов, заданный в шаге 2.1. После выбора набора атрибутов соответствующие атрибуты появятся в поле Доступно. Переместите атрибуты givenName и email в поле Отправить вместе с аутентификацией.

    4. Щёлкните вкладку Ответ аутентификации под вкладкой Конфигурация провайдера сервиса и настройте ответ аутентификации.

      Щелкните Закрепить в ниспадающем меню Привязка.

      В столбце Идентификатор имени включите опцию Не указано.

      В столбце По умолчанию выберите опцию Не указано.

      В столбце Значение выберите Ldap Attribute uid.

      Примечание:

      Вы можете настроить любые другие уникальные атрибуты из списка атрибутов вашего источника, которые будут отправляться как NameID. Значение этого параметра будет использоваться в качестве имени пользователя в организации.

      Щелкните Применить.

    5. В разделе Конфигурация щелкните закладку Опции и выберите контракт аутентификации пользователей, например, Имя/Пароль – форма и щелкните Применить.
  4. Перезапустите NetIQ Access Manager, выбрав сервер аутентификации и щелкнув ссылку Обновить все.

    Перезапуск NetIQ