Вы можете настроить Okta в качестве провайдера идентификации (IDP) для корпоративных учетных записей в Portal for ArcGIS. Процесс настройки состоит из двух основных шагов: регистрации вашего корпоративного IDP в Portal for ArcGIS и регистрации Portal for ArcGIS в корпоративном IDP.
Необходимая информация
Portal for ArcGIS должен получить определенную атрибутивную информацию от IDP, когда пользователь входит с использованием корпоративной учетной записи. Атрибут NameID является обязательным и должен отправляться IDP в ответ на запрос SAML для интеграции с Portal for ArcGIS. Поскольку Portal for ArcGIS использует значение NameID для уникальной идентификации именованного пользователя, рекомендуется выбрать постоянное значение, уникально определяющее пользователя. Если входит пользователь IDP, новый пользователь с именем NameID будет создан Portal for ArcGIS в хранилище пользователей. Допустимыми символами значения, которое посылается атрибутом NameID, являются буквы, цифры и _ (нижнее подчеркивание). (точка) и @ (собачка). Другие символы будут заменены нижним подчёркиванием в имени пользователя, созданном Portal for ArcGIS.
Portal for ArcGIS поддерживает поток атрибутов givenName и email address корпоративной учетной записи от корпоративного IDP. Когда пользователь осуществляет вход с использованием корпоративной учётной записи, и Portal for ArcGIS получает атрибуты с именами givenname и email или mail (в любом случае), Portal for ArcGIS заполняет полное имя и адрес электронной почты для учётной записи пользователя значениями, полученными от IDP. Рекомендуем указывать email address от корпоративного IDP, чтобы пользователь мог получать уведомления.
Регистрация Okta в качестве провайдера корпоративной идентификации IDP в Portal for ArcGIS
- Войдите на веб-сайт портала в качестве администратора вашей организации и щелкните Организация > Изменить настройки > Безопасность.
- В разделе Корпоративные учетные записи через SAML выберите опцию Один провайдер идентификации, щелкните кнопку Установка входа в систему и в появившемся окне введите имя своей организации (например, City of Redlands). При входе пользователей на веб-сайт портала данный текст отображается внутри строки входа SAML (например, Использование учетной записи City of Redlands).
Примечание:
Вы можете зарегистрировать только один корпоративный IDP или одну интеграцию IDP для своего портала.
- Укажите, смогут ли пользователи вступать в организацию Автоматически или После добавления учётных записей в портал. Выбор первой опции позволяет пользователям входить в организацию с указанием корпоративной учётной записи без вмешательства администратора. Их учетные записи автоматически регистрируются в организации при первом входе. Во втором случае пользователям потребуется регистрация соответствующих учетных записей в организации, выполняемая администратором посредством специальной утилиты командной строки или скрипта Python. После регистрации учетных записей пользователи смогут входить в организацию.
Подсказка:
Рекомендуется назначить хотя бы одну корпоративную учетную запись в качестве администратора портала и отключить или удалить учетную запись основного администратора. Также рекомендуется отключить кнопку Создать учетную запись и страницу настройки учетной записи (signup.html) на веб-сайте портала, чтобы пользователи не могли создавать собственные учетные записи. Подробные инструкции см. в разделе Настройка SAML-совместимого провайдера идентификации для работы с порталом.
- Введите метаданные для IDP, используя один из приведенных ниже вариантов:
- Файл – Скачайте или получите копию файла метаданных Okta и загрузите его на Portal for ArcGIS с помощью опции Файл.
Примечание:
Если вы регистрируете провайдера сервиса в Okta в первый раз, необходимо получить файл метаданных после регистрации Portal for ArcGIS с Okta. - Параметры – Выберите данную опцию, если недоступны URL-адрес или файл метаданных. Вручную введите значения и укажите запрашиваемые параметры: URL для входа и сертификат, закодированный в формате BASE 64. Для получения этих значений свяжитесь с администратором Okta.
- Файл – Скачайте или получите копию файла метаданных Okta и загрузите его на Portal for ArcGIS с помощью опции Файл.
- Доступна расширенная настройка дополнительных опций:
- Шифровать утверждения – выберите эту опцию для шифровки ответов подтверждений Okta SAML.
- Включить подписанный запрос – выберите эту опцию, чтобы Portal for ArcGIS подписывал запрос аутентификации SAML, который отправляется в Okta.
- Произвести выход в провайдер идентификации – Выберите эту опцию, чтобы Portal for ArcGIS использовал URL-адрес выхода, чтобы выполнить выход пользователя из Okta. Введите URL для использования в настройках URL-адрес выхода. Если IDP для выполнения входа требуется URL-адрес выхода, необходимо включить опцию Включить подписанный запрос.
- Обновить профиль для входа - выберите эту опцию для обновления в Portal for ArcGIS пользовательских атрибутов givenName и email address, если они с момента их последнего входа изменились.
- Включить членство в группе, основанное на SAML - выберите эту опцию, чтобы позволить пользователям организации связать основанные на SAML группы с группами Portal for ArcGIS в процессе создания группы.
- URL-адрес выхода – URL-адрес IDP, который используется при выходе работающего в данный момент пользователя.
- ID объекта – обновите это значение, чтобы использовать новый ID объекта, чтобы уникально идентифицировать ваш портал в Okta.
Для настроек Шифровать утверждения и Включить подписанный запрос используется сертификат samlcert из хранилища ключей портала. Чтобы воспользоваться новым сертификатом, удалите сертификат samlcert, создайте новый с тем же псевдонимом (samlcert), следуя шагам в разделе Импорт сертификата на портал, и перезапустите портал.
- Когда закончите, щелкните Обновить провайдера идентификации.
- Щёлкните кнопку Получить провайдера сервиса, чтобы загрузить файл метаданных портала. Информация в этом файле будет использоваться для регистрации портала в качестве доверенного провайдера сервиса на Okta.
Регистрация Portal for ArcGIS в качестве доверенного провайдера сервиса в Okta
- Войдите в организацию Okta как участник с правами администратора.
- На вкладке Приложения щелкните кнопку Добавить приложение.
- Щелкните Создать новое приложение и выберите опцию SAML 2.0. Нажмите Создать.
- В Общих настройках введите Имя приложения для развертывания вашего портала и щелкните Далее.
- На вкладке Настройка SAML выполните следующее:
- Введите значение Адрес URL единого входа, например, https://portalhostname.domain.com/portalcontext/sharing/rest/oauth2/saml/signin. Это значение может быть скопировано из файла метаданных провайдера сервиса, загруженного с вашего портала.
- Введите значение для URL аудитории. По умолчанию значение установлено на portalhostname.domain.com.portalcontext. Это значение может быть скопировано из файла метаданных провайдера сервиса, загруженного с вашего портала.
- Оставьте значение параметра Формат ID имени равным Не указано.
- В Дополнительных настройках измените опцию Подпись утверждения на Не подписано.
- В разделе Выражения атрибутов добавьте следующие выражения атрибутов:
givenName равно user.firstName + " " + user.lastName
email равно user.email
- Щелкните Далее и выберите Готово.
- Теперь вы увидите раздел Вход для нового созданного приложения SAML. Чтобы получить метаданные для IDP для Okta, щелкните вкладку Вход и щелкните ссылку Метаданные провайдера идентификации.
- Щелкните вкладку Пользователи и укажите, какие аутентифицированные пользователи Okta будут иметь доступ к вашему порталу.