Microsoft Azure Active Directory (AD) - это провайдер идентификации, совместимый с Security Assertion Markup Language (SAML). Вы можете настроить его в качестве провайдера идентификации (IDP) для корпоративных учетных записей в Portal for ArcGIS. Процесс настройки состоит из двух основных шагов: регистрация Azure AD на портале ArcGIS Enterprise и регистрация Portal for ArcGIS на портале Azure AD.
Чтобы настроить Azure AD на работу с ArcGIS Enterprise, необходима премиум-подписка Azure AD.
Необходимая информация
Portal for ArcGIS должен получить определенную атрибутивную информацию от IDP, когда пользователь входит с использованием корпоративной учетной записи. Атрибут NameID является обязательным и должен отправляться IDP в ответ на запрос SAML для работы интеграции с Portal for ArcGIS. Поскольку Portal for ArcGIS использует значение NameID для уникальной идентификации именованного пользователя, рекомендуется выбрать постоянное значение, уникально определяющее пользователя. Когда пользователь из IDP осуществляет вход, Portal for ArcGIS создает в хранилище пользователей нового пользователя с именем NameID. Допустимыми символами значения, которое посылается атрибутом NameID, являются буквы, цифры и _ (нижнее подчеркивание). (точка) и @ (собачка). Другие символы в имени пользователя, созданном Portal for ArcGIS, будут заменены нижним подчеркиванием.
Portal for ArcGIS поддерживает поток атрибутов givenName и email address корпоративной учетной записи от корпоративного IDP. Когда пользователь осуществляет вход с использованием корпоративной учетной записи, и если Portal for ArcGIS получает атрибуты с именами givenname и email или mail (в любом случае), Portal for ArcGIS заполняет полное имя и адрес электронной почты для учетной записи пользователя значениями, полученными от IDP. Рекомендуем указывать email address от корпоративного IDP, чтобы пользователь мог получать уведомления.
Регистрация Azure AD в качестве корпоративного IDP на портале
- Войдите в качестве участника на веб-сайт портала с ролью администратора организации по умолчанию и щелкните Организация > Изменить настройки > Security.
- В разделе Корпоративный вход через SAML выберите опцию Один провайдер идентификации, щелкните кнопку Установка входа в систему и в появившемся окне введите имя своей организации (например, City of Redlands). При входе пользователей на веб-сайт портала данный текст отображается внутри строки входа SAML (например, Использование учетной записи City of Redlands).
- Укажите, смогут ли пользователи вступать в организацию автоматически или после добавления учетных записей в портал. Выбор опции Автоматически позволяет пользователям входить в организацию с указанием корпоративной учетной записи без вмешательства администратора. Их учетные записи автоматически регистрируются в организации при первом входе. Во случае выбора опции После добавления учетных записей в портал пользователям потребуется регистрация соответствующих учетных записей в организации, выполняемая администратором посредством специальной утилиты командной строки или скрипта Python. После регистрации учетных записей пользователи смогут входить в организацию.
Подсказка:
Рекомендуется назначить хотя бы одну корпоративную учетную запись в качестве администратора портала и отключить или удалить учетную запись основного администратора. Также рекомендуется отключить опцию Создать учетную запись и страницу входа (signup.html) на портале, чтобы пользователи не могли создавать собственные учетные записи. Подробные инструкции см. в разделе Настройка SAML-совместимого провайдера идентификации для работы с порталом.
- Введите метаданные для IDP, используя один из приведенных ниже вариантов:
- Файл – Скачайте файл метаданных Azure AD и загрузите его на Portal for ArcGIS с помощью опции Файл.
Примечание:
Если вы регистрируете провайдера сервиса в Azure AD в первый раз, необходимо получить файл метаданных после регистрации Portal for ArcGIS с Azure AD. - Параметры – Выберите данную опцию, если недоступны URL-адрес или файл метаданных. Вручную введите значения и укажите запрашиваемые параметры: URL для входа и сертификат, закодированный в формате BASE 64. Для получения этих значений свяжитесь с администратором Azure AD.
- Файл – Скачайте файл метаданных Azure AD и загрузите его на Portal for ArcGIS с помощью опции Файл.
- Настройте следующие дополнительные опции необходимым образом:
- Шифровать утверждения – выберите эту опцию для шифровки ответов подтверждений Azure AD SAML.
- Включить подписанный запрос – выберите эту опцию, чтобы Portal for ArcGIS подписывал запрос аутентификации SAML, который отправляется на Azure AD.
- Произвести выход в провайдер идентификации – выберите эту опцию, чтобы Portal for ArcGIS использовал URL-адрес выхода, чтобы выполнить выход пользователя из Azure AD. Введите URL для использования в настройках URL-адрес выхода. Если IDP для выполнения входа требуется URL-адрес выхода, включите опцию Включить подписанный запрос.
- Обновить профили для входа - выберите эту опцию для обновления в Portal for ArcGIS пользовательских атрибутов givenName и email address, если они изменились с момента последнего входа.
- URL-адрес выхода – URL-адрес IDP, который используется при выходе работающего в данный момент пользователя.
- ID объекта – Обновите это значение, чтобы использовать новый ID объекта, чтобы уникально идентифицировать ваш портал в Azure AD.
Для настроек Шифровать утверждения и Включить подписанный запрос используется сертификат samlcert из хранилища ключей портала. Чтобы воспользоваться новым сертификатом, удалите сертификат samlcert, создайте новый с тем же псевдонимом (samlcert), следуя шагам в разделе Импорт сертификата на портал, и перезапустите портал.
- Когда закончите, щелкните Обновить провайдера идентификации.
- Щёлкните кнопку Получить провайдера сервиса, чтобы загрузить файл метаданных портала. Информация в этом файле будет использоваться для регистрации портала в качестве доверенного провайдера сервиса на Azure AD.
Регистрация Portal for ArcGIS в качестве проверенного провайдера сервиса в Azure AD
- Войдите на портал Azure как участник с правами администратора.
- Следуя инструкциям в документации Azure, добавьте Portal for ArcGIS в Azure AD в качестве приложения, отличного от галереи, и настройте единый вход (Single sign-on). Необходимо указать файл Metadata.xml, загруженный с Portal for ArcGIS.
Portal for ArcGIS появится в списке Enterprise Applications в Azure AD.
- Добавьте пользователей и назначьте им приложение, если необходимо.
- Дополнительно настройте SAML-заявления, передаваемые в ArcGIS Enterprise. Интересующие вас атрибуты в ответе SAML - это givenName и emailaddress.