Вы можете настроить OpenAM 10.1.0 и более новые версии в качестве провайдера идентификации (IDP) для корпоративных учетных записей в Portal for ArcGIS. Процесс настройки состоит из двух основных шагов: регистрации вашего корпоративного IDP в Portal for ArcGIS и регистрации Portal for ArcGIS в корпоративном IDP.
Необходимая информация
Portal for ArcGIS должен получить определенную атрибутивную информацию от IDP, когда пользователь входит с использованием корпоративной учетной записи. Атрибут NameID является обязательным и должен отправляться IDP в ответ на запрос SAML для интеграции с Portal for ArcGIS. Поскольку Portal for ArcGIS использует значение NameID для уникальной идентификации именованного пользователя, рекомендуется выбрать постоянное значение, уникально определяющее пользователя. Если входит пользователь IDP, новый пользователь с именем NameID будет создан Portal for ArcGIS в хранилище пользователей. Допустимыми символами значения, которое посылается атрибутом NameID, являются буквы, цифры и _ (нижнее подчеркивание). (точка) и @ (собачка). Другие символы будут заменены нижним подчёркиванием в имени пользователя, созданном Portal for ArcGIS.
Portal for ArcGIS поддерживает поток атрибутов givenName и email address корпоративной учетной записи от корпоративного IDP. Когда пользователь осуществляет вход с использованием корпоративной учётной записи, и Portal for ArcGIS получает атрибуты с именами givenname и email или mail (в любом случае), Portal for ArcGIS заполняет полное имя и адрес электронной почты для учётной записи пользователя значениями, полученными от IDP. Рекомендуем указывать email address от корпоративного IDP, чтобы пользователь мог получать уведомления.
Регистрация OpenAM в качестве провайдера корпоративной идентификации IDP в Portal for ArcGIS
- Войдите на веб-сайт портала в качестве администратора вашей организации и щелкните Организация > Изменить настройки > Безопасность.
- В разделе Корпоративные учетные записи выберите опцию Один провайдер идентификации, щелкните кнопку Установка входа в систему и в появившемся окне введите имя своей организации (например, City of Redlands). При входе пользователей на веб-сайт портала данный текст отображается внутри строки входа SAML (например, Использование учетной записи City of Redlands).
Примечание:
Вы можете зарегистрировать только один корпоративный IDP или одну интеграцию IDP для своего портала.
- Укажите, смогут ли пользователи вступать в организацию Автоматически или После добавления учётных записей в портал. Выбор первой опции позволяет пользователям входить в организацию с указанием корпоративной учётной записи без вмешательства администратора. Их учетные записи автоматически регистрируются в организации при первом входе. Во втором случае пользователям потребуется регистрация соответствующих учетных записей в организации, выполняемая администратором посредством специальной утилиты командной строки или скрипта Python. После регистрации учетных записей пользователи смогут входить в организацию.
Подсказка:
Рекомендуется назначить хотя бы одну корпоративную учетную запись в качестве администратора портала и отключить или удалить учетную запись основного администратора. Также рекомендуется отключить кнопку Создать учетную запись и страницу настройки учетной записи (signup.html) на веб-сайте портала, чтобы пользователи не могли создавать собственные учетные записи. Подробные инструкции см. в разделе Настройка SAML-совместимого провайдера идентификации для работы с порталом.
- Введите метаданные для IDP, используя один из трех приведенных ниже вариантов:
- URL – выберите данную опцию, если доступен URL-адрес метаданных OpenAM в Portal for ArcGIS. Обычно это URL-адрес вида http(s)://<host>:<port>/openam/saml2/jsp/exportmetadata.jsp.
Примечание:
Если ваш корпоративный IDP имеет самозаверенный сертификат, возникнет ошибка при попытке указать URL по протоколу HTTPS для метаданных. Ошибка возникнет из-за того, что Portal for ArcGIS не сможет проверить самозаверенный сертификат IDP. Либо используйте в URL протокол HTTP, как указано ниже, либо настройте IDP на работу с доверенным сертификатом.
- Файл – если URL-адрес не доступен для Portal for ArcGIS, сохраните метаданные, полученные из URL-адреса, указанного выше, в виде файла XML и загрузите его.
- Параметры – Выберите данную опцию, если недоступны URL-адрес или файл метаданных. Вручную введите значения и укажите запрашиваемые параметры: URL для входа и сертификат, закодированный в формате BASE 64. Для получения этих значений свяжитесь с администратором OpenAM.
- URL – выберите данную опцию, если доступен URL-адрес метаданных OpenAM в Portal for ArcGIS. Обычно это URL-адрес вида http(s)://<host>:<port>/openam/saml2/jsp/exportmetadata.jsp.
- Доступна расширенная настройка дополнительных опций:
- Шифровать утверждения – Выберите эту опцию для шифровки ответов утверждений SAML, если настроен OpenAM.
- Включить подписанный запрос – Выберите эту опцию, чтобы заставить Portal for ArcGIS подписывать запрос аутентификации SAML, который отправляется на OpenAM.
- ID объекта – Обновите это значение, чтобы использовать новый ID объекта, чтобы уникально идентифицировать ваш портал в OpenAM.
- Обновить профиль для входа - выберите эту опцию для обновления в Portal for ArcGIS пользовательских атрибутов givenName и email address, если они с момента их последнего входа изменились.
- Включить членство в группе, основанное на SAML - выберите эту опцию, чтобы позволить пользователям организации связать основанные на SAML группы с группами Portal for ArcGIS в процессе создания группы.
Для настроек Шифровать утверждения и Включить подписанный запрос используется сертификат samlcert из хранилища ключей портала. Чтобы воспользоваться новым сертификатом, удалите сертификат samlcert, создайте новый с тем же псевдонимом (samlcert), следуя шагам в разделе Импорт сертификата на портал, и перезапустите портал.
Примечание:
В данный момент, Произвести выход в провайдер аутентификации и URL-адрес выхода не поддерживаются.
Регистрация Portal for ArcGIS в качестве проверенного провайдера сервиса в OpenAM
- Настройте размещаемого провайдера IDP в OpenAM.
- Выполните вход в консоль администрирования OpenAM. Обычно она доступна по адресу http://servername:port/<deploy_uri>/console.
- На вкладке Общие задачи щелкните Создать провайдера аутентификации.
- Создайте провайдера идентификации IDP и добавьте его в Круг доверия. Вы можете добавить его в существующий круг, если он уже есть, или создать новый.
- По умолчанию размещенный провайдер идентификации IDP работает с OpenDJ, встроенным хранилищем пользователей, которое входит в комплект OpenAM. Если вы хотите подключить OpenAM к любому другому хранилищу пользователей, например, Active Directory, необходимо создать новый источник данных на вкладке Управление доступом основной консоли администрирования OpenAM.
- Настройка Portal for ArcGIS в качестве доверенного провайдера сервиса в OpenAM.
- Получите файл метаданных вашей организации портала и сохраните его как XML-файл.
Для получения файла метаданных войдите в вашу организацию в качестве администратора и откройте страницу вашей организации. Щелкните кнопку Редактировать настройки, перейдите на вкладку Безопасность, и в разделе Корпоративные учетные записи щелкните кнопку Получить провайдера сервиса.
- В консоли администрирования OpenAM в разделе Общие задачи щёлкните Зарегистрировать удалённого провайдера сервиса.
- Выберите опцию Файл для метаданных и загрузите XML-файл метаданных, сохраненный в предыдущем шаге.
- Добавьте этого провайдера сервиса в тот же круг доверия, в который вы добавили своего провайдера идентификации.
- Получите файл метаданных вашей организации портала и сохраните его как XML-файл.
- Настройте формат NameID и атрибуты, которые OpenAM будет отправлять в Portal for ArcGIS после аутентификации пользователя.
- В консоли администрирования OpenAM щёлкните вкладку Интеграция. На этой вкладке находится круг доверия, который вы добавили ранее, провайдер сервиса и идентификации.
- В разделе Провайдеры аутентификаций щелкните на вашем провайдере идентификации IDP.
- На вкладке Содержание утверждений в поле Формат ID имени, убедитесь, что urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified указан наверху. Это формат поля NameID, которое Portal for ArcGIS будет запрашивать при SAML-запросе к OpenAM.
- В поле Карта значений ID имени сопоставьте атрибут пользовательского профиля, например, mail или upn, который будет возвращаться как NameID в Portal for ArcGIS после аутентификации пользователя.
Пример: urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified =upn
- Щелкните вкладку Содержание утверждений для провайдера идентификации. В разделе Сопоставление атрибутов настройте атрибуты из профиля пользователя, которые вы бы хотели отправлять в Portal for ArcGIS.
Portal for ArcGIS поддерживает поток атрибутов givenName и email address корпоративной учетной записи от корпоративного IDP. Когда пользователь осуществляет вход с использованием корпоративной учетной записи, и Portal for ArcGIS получает атрибуты с именами givenname и email или mail (в любом регистре), Portal for ArcGIS заполняет полное имя и адрес электронной почты для учетной записи пользователя значениями, полученными от IDP.
Рекомендуется, чтобы вы пропустили адрес электронной почты от корпоративного IDP в Portal for ArcGIS. Это помогает, если пользователь в дальнейшем становится администратором. Наличие адреса электронной почты для учётной записи даёт пользователю возможность получать уведомления о любой административной деятельности и отправлять приглашения другим пользователям для присоединения к организации.
Щёлкните Сохранить, чтобы сохранить формат NameID, и содержание атрибутов будет изменено.
- На вкладке Интеграция в консоли администрирования OpenAM перейдите к провайдеру сервиса Portal for ArcGIS в разделе Провайдеры аутентификаций.
- На вкладке Содержание утверждений в разделе Шифрование выберите опцию Утверждения, если была выбрана дополнительная настройка Шифровать утверждения при регистрации OpenAM в качестве корпоративного провайдера идентификации IDP Portal for ArcGIS.
- На вкладке Формат ID имени проверьте, что urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified указан наверху списка. Это формат поля NameID, которое Portal for ArcGIS будет запрашивать при SAML-запросе к OpenAM..
- Щелкните вкладку Содержание утверждений для провайдера идентификации. В разделе Сопоставление атрибутов настройте атрибуты из профиля пользователя, которые вы бы хотели отправлять в Portal for ArcGIS.
- Щёлкните Сохранить, чтобы сохранить формат Name ID, и содержание атрибутов будет изменено.
- Перезапустите веб-сервер, на котором развернут OpenAM.