Вы можете настроить NetIQ Access Manager 3.2 и более новые версии в качестве провайдера идентификации (IDP) для корпоративных учетных записей в Portal for ArcGIS. Процесс настройки состоит из двух основных шагов: регистрации вашего корпоративного IDP в Portal for ArcGIS и регистрации Portal for ArcGIS в корпоративном IDP.
Необходимая информация
Portal for ArcGIS должен получить определенную атрибутивную информацию от IDP, когда пользователь входит с использованием корпоративной учетной записи. Атрибут NameID является обязательным и должен отправляться IDP в ответ на запрос SAML для интеграции с Portal for ArcGIS. Поскольку Portal for ArcGIS использует значение NameID для уникальной идентификации именованного пользователя, рекомендуется выбрать постоянное значение, уникально определяющее пользователя. Если входит пользователь IDP, новый пользователь с именем NameID будет создан Portal for ArcGIS в хранилище пользователей. Допустимыми символами значения, которое посылается атрибутом NameID, являются буквы, цифры и _ (нижнее подчеркивание). (точка) и @ (собачка). Другие символы будут заменены нижним подчёркиванием в имени пользователя, созданном Portal for ArcGIS.
Portal for ArcGIS поддерживает поток атрибутов givenName и email address корпоративной учетной записи от корпоративного IDP. Когда пользователь осуществляет вход с использованием корпоративной учётной записи, и Portal for ArcGIS получает атрибуты с именами givenname и email или mail (в любом случае), Portal for ArcGIS заполняет полное имя и адрес электронной почты для учётной записи пользователя значениями, полученными от IDP. Рекомендуем указывать email address от корпоративного IDP, чтобы пользователь мог получать уведомления.
Регистрация NetIQ Access Manager в качестве провайдера идентификации в Portal for ArcGIS
- Войдите на веб-сайт портала в качестве администратора вашей организации и щелкните Организация > Изменить настройки > Безопасность.
- В разделе Корпоративные учетные записи выберите опцию Один провайдер идентификации, щелкните кнопку Установка входа в систему и в появившемся окне введите имя своей организации (например, City of Redlands). При входе пользователей на веб-сайт портала данный текст отображается внутри строки входа SAML (например, Использование учетной записи City of Redlands).
Примечание:
Вы можете зарегистрировать только один корпоративный IDP или одну интеграцию IDP для своего портала.
- Укажите, смогут ли пользователи вступать в организацию Автоматически или После добавления учётных записей в портал. Выбор первой опции позволяет пользователям входить в организацию с указанием корпоративной учётной записи без вмешательства администратора. Их учетные записи автоматически регистрируются в организации при первом входе. Во втором случае пользователям потребуется регистрация соответствующих учетных записей в организации, выполняемая администратором посредством специальной утилиты командной строки или скрипта Python. После регистрации учетных записей пользователи смогут входить в организацию.
Подсказка:
Рекомендуется назначить хотя бы одну корпоративную учетную запись в качестве администратора портала и отключить или удалить учетную запись основного администратора. Также рекомендуется отключить кнопку Создать учетную запись и страницу настройки учетной записи (signup.html) на веб-сайте портала, чтобы пользователи не могли создавать собственные учетные записи. Подробные инструкции см. в разделе Настройка SAML-совместимого провайдера идентификации для работы с порталом.
- Введите метаданные для IDP, используя один из трех приведенных ниже вариантов:
- URL – выберите данную опцию, если URL-адрес метаданных NetIQ Access Manager доступен для Portal for ArcGIS. URL-адрес обычно указывает http(s)://<host>:<port>/nidp/saml2/metadata на компьютер, где работает NetIQ Access Manager.
Примечание:
Если ваш корпоративный IDP имеет самозаверенный сертификат, возникнет ошибка при попытке указать URL по протоколу HTTPS для метаданных. Ошибка возникнет из-за того, что Portal for ArcGIS не сможет проверить самозаверенный сертификат провайдера идентификации. Либо используйте в URL протокол HTTP, как указано ниже, либо настройте IDP на работу с доверенным сертификатом.
- Файл – если URL-адрес не доступен для Portal for ArcGIS, сохраните метаданные, полученные из URL-адреса, указанного выше, в виде файла XML и загрузите его.
- Параметры – Выберите данную опцию, если недоступны URL-адрес или файл метаданных. Вручную введите значения и укажите запрашиваемые параметры: URL для входа и сертификат, закодированный в формате BASE 64. Для получения этих значений свяжитесь с администратором NetIQ Access Manager.
- URL – выберите данную опцию, если URL-адрес метаданных NetIQ Access Manager доступен для Portal for ArcGIS. URL-адрес обычно указывает http(s)://<host>:<port>/nidp/saml2/metadata на компьютер, где работает NetIQ Access Manager.
- Доступна расширенная настройка дополнительных опций:
- Шифровать утверждения – Выберите эту опцию для шифровки ответов утверждений ADFS' SAML, если настроен NetIQ Access Manager.
- Включить подписанный запрос – Выберите эту опцию, чтобы заставить Portal for ArcGIS подписывать запрос аутентификации SAML, который отправляется на NetIQ Access Manager.
- Произвести выход в провайдер аутентификации – Выберите эту опцию, чтобы заставить Portal for ArcGIS использовать URL-адрес выхода для выхода пользователя из Net IQ Access Manager. Введите используемый URL в поле URL-адрес выхода. Если IDP для выполнения входа требуется URL-адрес выхода, необходимо включить опцию Включить подписанный запрос.
- Обновить профиль для входа - выберите эту опцию для обновления в Portal for ArcGIS пользовательских атрибутов givenName и email address, если они с момента их последнего входа изменились.
- Включить членство в группе, основанное на SAML - выберите эту опцию, чтобы позволить пользователям организации связать основанные на SAML группы с группами Portal for ArcGIS в процессе создания группы.
- URL-адрес выхода – URL-адрес IDP, который используется при выходе работающего в данный момент пользователя. Это значение автоматически заполняется, если задан файл метаданных IDP. При необходимости вы можете обновить этот URL-адрес.
- ID объекта – Обновите это значение, чтобы использовать новый ID объекта, чтобы уникально идентифицировать ваш портал в NetIQ Access Manager.
Для настроек Шифровать утверждения и Включить подписанный запрос используется сертификат samlcert из хранилища ключей портала. Чтобы воспользоваться новым сертификатом, удалите сертификат samlcert, создайте новый с тем же псевдонимом (samlcert), следуя шагам в разделе Импорт сертификата на портал, и перезапустите портал.
Регистрация NetIQ Access Manager в качестве доверенного провайдера сервисов для Portal for ArcGIS
- Настройте набор атрибутов.
Выполните указанные ниже шаги для создания нового набора атрибутов, чтобы их можно было отправить на Portal for ArcGIS в качестве SAML-подтверждения после аутентификации пользователя. Если у вас уже имеется настроенный набор атрибутов в NetIQ Access Manager, можно использовать его.
- Выполните вход в консоль администрирования NetIQ Access Manager. Обычно она доступна по адресу http(s)://<host>:<port>/nps.
- В административной консоли NetIQ перейдите к серверу аутентификации и щёлкните вкладку Настройки общего доступа. В разделе Наборы атрибутов можно увидеть все уже созданные наборы. Щелкните Новый и создайте новый набор атрибутов. Введите Portal в поле Задать имя и щелкните Далее.
- Задайте сопоставление атрибутов и добавьте их в набор атрибутов, созданный в предыдущем шаге.
Portal for ArcGIS поддерживает поток атрибутов givenName и email address корпоративной учетной записи от корпоративного IDP. Когда пользователь осуществляет вход с использованием корпоративной учётной записи и Portal for ArcGIS получает атрибуты с именами givenname и email или mail (в любом случае), Portal for ArcGIS заполняет полное имя и адрес электронной почты для учётной записи пользователя значениями, полученными от провайдера идентификации.
Рекомендуется, чтобы вы пропустили адрес электронной почты от корпоративного IDP в Portal for ArcGIS. Это помогает, если пользователь в дальнейшем становится администратором. Наличие адреса электронной почты для учётной записи даёт пользователю возможность получать уведомления о любой административной деятельности и отправлять приглашения другим пользователям для присоединения к организации.
Щелкните ссылку Новый и добавьте любые новые сопоставления атрибутов. На снимках экрана ниже показано добавление сопоставления атрибутов для givenName, email address и uid. Вы можете выбрать любые атрибуты из источника аутентификации вместо показанных.
Щелкните Готово в мастере Создание набора атрибутов. Появится новый набор атрибутов с именем Portal.
- Выполните указанные ниже шаги, чтобы добавить Portal for ArcGIS в качестве доверенного провайдера NetIQ Access Manager.
- Выполните вход в административную консоль NetIQ, выберите сервер аутентификации и щелкните ссылку Редактировать.
Откроется вкладка Общие.
- Щёлкните закладку SAML 2.0 и выберите Новый > Провайдер сервиса.
В окне Провайдер сервиса можно добавить Portal for ArcGIS в качестве доверенного провайдера сервисов с NetIQ Access Manager.
- В мастере Создать доверенный провайдер сервиса щелкните Текст метаданных как Источник и вставьте метаданные вашей организации Portal for ArcGIS в поле Текст.
Чтобы получить метаданные вашей организации Portal for ArcGIS, войдите в организацию от имени администратора, щелкните кнопку Изменить настройки, закладку Безопасность и выберите Получить провайдера сервиса. Сохраните метаданные как XML-файл.
Щелкните Далее и Готово, чтобы завершить создание доверенного провайдера сервиса.
- Выполните вход в административную консоль NetIQ, выберите сервер аутентификации и щелкните ссылку Редактировать.
- Выполните указанные ниже шаги, чтобы настроить интеграцию Portal for ArcGIS и NetIQ Access Manager.
- На вкладке SAML 2.0 щелкните ссылку провайдера сервиса в разделе Провайдеры сервисов. Откроется вкладка Конфигурация. Щёлкните вкладку Метаданные и убедитесь, что метаданные вашей организации Portal for ArcGIS корректны.
- Щёлкните вкладку Конфигурация, чтобы вернуться к разделу настроек Доверенные. Выберите опцию Шифровать утверждения, если была выбрана дополнительная настройка Шифровать утверждения при регистрации NetIQ Access Manager в качестве корпоративного IDP на Portal for ArcGIS.
- Щёлкните вкладку Атрибуты.
В этом шаге вы добавите сопоставление атрибутов из набора, созданного ранее, чтобы NetIQ Access Manager мог отправить атрибуты в Portal for ArcGIS в качестве подтверждения SAML.
Выберите набор атрибутов, заданный в шаге 2.1. После выбора набора атрибутов соответствующие атрибуты появятся в поле Доступно. Переместите атрибуты givenName и email в поле Отправить вместе с аутентификацией.
- Щёлкните вкладку Ответ аутентификации под вкладкой Конфигурация провайдера сервиса и настройте ответ аутентификации.
Щелкните Закрепить в ниспадающем меню Привязка.
В столбце Идентификатор имени включите опцию Не указано.
В столбце По умолчанию выберите опцию Не указано.
В столбце Значение выберите Ldap Attribute uid.
Примечание:
Вы можете настроить любые другие уникальные атрибуты из списка атрибутов вашего источника, которые будут отправляться как NameID. Значение этого параметра будет использоваться в качестве имени пользователя в организации.
Щелкните Применить.
- В разделе Конфигурация щелкните закладку Опции и выберите контракт аутентификации пользователей, например, Имя/Пароль – форма и щелкните Применить.
- Перезапустите NetIQ Access Manager, выбрав сервер аутентификации и щелкнув ссылку Обновить все.
