Skip To Content

Настройка Okta

Вы можете настроить Okta в качестве провайдера идентификации (IDP) для корпоративных учетных записей в Portal for ArcGIS. Процесс настройки состоит из двух основных шагов: регистрации вашего корпоративного IDP в Portal for ArcGIS и регистрации Portal for ArcGIS в корпоративном IDP.

Необходимая информация

Portal for ArcGIS должен получить определенную атрибутивную информацию от IDP, когда пользователь входит с использованием корпоративной учетной записи. Атрибут NameID является обязательным и должен отправляться IDP в ответ на запрос SAML для интеграции с Portal for ArcGIS. Поскольку Portal for ArcGIS использует значение NameID для уникальной идентификации именованного пользователя, рекомендуется выбрать постоянное значение, уникально определяющее пользователя. Если входит пользователь IDP, новый пользователь с именем NameID будет создан Portal for ArcGIS в хранилище пользователей. Допустимыми символами значения, которое посылается атрибутом NameID, являются буквы, цифры и _ (нижнее подчеркивание). (точка) и @ (собачка). Другие символы будут заменены нижним подчёркиванием в имени пользователя, созданном Portal for ArcGIS.

Portal for ArcGIS поддерживает поток атрибутов givenName и email address корпоративной учетной записи от корпоративного IDP. Когда пользователь осуществляет вход с использованием корпоративной учётной записи, и Portal for ArcGIS получает атрибуты с именами givenname и email или mail (в любом случае), Portal for ArcGIS заполняет полное имя и адрес электронной почты для учётной записи пользователя значениями, полученными от IDP. Рекомендуем указывать email address от корпоративного IDP, чтобы пользователь мог получать уведомления.

Регистрация Okta в качестве провайдера корпоративной идентификации IDP в Portal for ArcGIS

  1. Войдите на веб-сайт портала в качестве администратора вашей организации и щелкните Организация > Изменить настройки > Безопасность.
  2. В разделе Корпоративные учетные записи через SAML выберите опцию Один провайдер идентификации, щелкните кнопку Установка входа в систему и в появившемся окне введите имя своей организации (например, City of Redlands). При входе пользователей на веб-сайт портала данный текст отображается внутри строки входа SAML (например, Использование учетной записи City of Redlands).
    Примечание:

    Вы можете зарегистрировать только один корпоративный IDP или одну интеграцию IDP для своего портала.

  3. Укажите, смогут ли пользователи вступать в организацию Автоматически или После добавления учётных записей в портал. Выбор первой опции позволяет пользователям входить в организацию с указанием корпоративной учётной записи без вмешательства администратора. Их учетные записи автоматически регистрируются в организации при первом входе. Во втором случае пользователям потребуется регистрация соответствующих учетных записей в организации, выполняемая администратором посредством специальной утилиты командной строки или скрипта Python. После регистрации учетных записей пользователи смогут входить в организацию.
    Подсказка:

    Рекомендуется назначить хотя бы одну корпоративную учетную запись в качестве администратора портала и отключить или удалить учетную запись основного администратора. Также рекомендуется отключить кнопку Создать учетную запись и страницу настройки учетной записи (signup.html) на веб-сайте портала, чтобы пользователи не могли создавать собственные учетные записи. Подробные инструкции см. в разделе Настройка SAML-совместимого провайдера идентификации для работы с порталом.

  4. Введите метаданные для IDP, используя один из приведенных ниже вариантов:
    • Файл – Скачайте или получите копию файла метаданных Okta и загрузите его на Portal for ArcGIS с помощью опции Файл.
      Примечание:
      Если вы регистрируете провайдера сервиса в Okta в первый раз, необходимо получить файл метаданных после регистрации Portal for ArcGIS с Okta.
    • Параметры – Выберите данную опцию, если недоступны URL-адрес или файл метаданных. Вручную введите значения и укажите запрашиваемые параметры: URL для входа и сертификат, закодированный в формате BASE 64. Для получения этих значений свяжитесь с администратором Okta.
  5. Доступна расширенная настройка дополнительных опций:
    • Шифровать утверждения – выберите эту опцию для шифровки ответов подтверждений Okta SAML.
    • Включить подписанный запрос – выберите эту опцию, чтобы Portal for ArcGIS подписывал запрос аутентификации SAML, который отправляется в Okta.
    • Произвести выход в провайдер идентификации – Выберите эту опцию, чтобы Portal for ArcGIS использовал URL-адрес выхода, чтобы выполнить выход пользователя из Okta. Введите URL для использования в настройках URL-адрес выхода. Если IDP для выполнения входа требуется URL-адрес выхода, необходимо включить опцию Включить подписанный запрос.
    • Обновить профиль для входа - выберите эту опцию для обновления в Portal for ArcGIS пользовательских атрибутов givenName и email address, если они с момента их последнего входа изменились.
    • Включить членство в группе, основанное на SAML - выберите эту опцию, чтобы позволить пользователям организации связать основанные на SAML группы с группами Portal for ArcGIS в процессе создания группы.
    • URL-адрес выхода – URL-адрес IDP, который используется при выходе работающего в данный момент пользователя.
    • ID объекта – обновите это значение, чтобы использовать новый ID объекта, чтобы уникально идентифицировать ваш портал в Okta.

    Для настроек Шифровать утверждения и Включить подписанный запрос используется сертификат samlcert из хранилища ключей портала. Чтобы воспользоваться новым сертификатом, удалите сертификат samlcert, создайте новый с тем же псевдонимом (samlcert), следуя шагам в разделе Импорт сертификата на портал, и перезапустите портал.

  6. Когда закончите, щелкните Обновить провайдера идентификации.
  7. Щёлкните кнопку Получить провайдера сервиса, чтобы загрузить файл метаданных портала. Информация в этом файле будет использоваться для регистрации портала в качестве доверенного провайдера сервиса на Okta.

Регистрация Portal for ArcGIS в качестве доверенного провайдера сервиса в Okta

  1. Войдите в организацию Okta как участник с правами администратора.
  2. На вкладке Приложения щелкните кнопку Добавить приложение.
  3. Щелкните Создать новое приложение и выберите опцию SAML 2.0. Нажмите Создать.
  4. В Общих настройках введите Имя приложения для развертывания вашего портала и щелкните Далее.
  5. На вкладке Настройка SAML выполните следующее:
    1. Введите значение Адрес URL единого входа, например, https://portalhostname.domain.com/portalcontext/sharing/rest/oauth2/saml/signin. Это значение может быть скопировано из файла метаданных провайдера сервиса, загруженного с вашего портала.
    2. Введите значение для URL аудитории. По умолчанию значение установлено на portalhostname.domain.com.portalcontext. Это значение может быть скопировано из файла метаданных провайдера сервиса, загруженного с вашего портала.
    3. Оставьте значение параметра Формат ID имени равным Не указано.
    4. В Дополнительных настройках измените опцию Подпись утверждения на Не подписано.
    5. В разделе Выражения атрибутов добавьте следующие выражения атрибутов:

      givenName равно user.firstName + " " + user.lastName

      email равно user.email

  6. Щелкните Далее и выберите Готово.
  7. Теперь вы увидите раздел Вход для нового созданного приложения SAML. Чтобы получить метаданные для IDP для Okta, щелкните вкладку Вход и щелкните ссылку Метаданные провайдера идентификации.
  8. Щелкните вкладку Пользователи и укажите, какие аутентифицированные пользователи Okta будут иметь доступ к вашему порталу.