Организация может использовать Security Assertion Markup Language (SAML) для аутентификации пользователей ПК и авторизации доступа к своим веб-ресурсам. Для этого, один провайдер идентификации SAML настраивается на аутентификацию пользователей. Веб-ресурсы организации размещаются на одном или нескольких провайдерах сервисов, которые авторизуют доступ к веб-ресурсам. Организация имеет полный контроль над своими провайдерами идентификаций и сервисов. Для поддержки аутентификации и авторизации на основе SAML, каждый провайдер сервиса организации должен быть зарегистрирован на работу со своим провайдером идентификаций. Каждый провайдер сервиса должен быть зарегистрирован только с одним провайдером идентификаций.
Вы также можете использовать SAML для публикации ресурсов вреди нескольких независимо управляемых организаций. Это становится возможным при интеграции элементов управления, которые позволяют публикацию ресурсов на базе SAML среди организаций-участников. Организация-участник, которая хочет публиковать свои веб-ресурсы в интеграции, резервирует один или несколько своих провайдеров сервисов для работы исключительно с интеграцией. Для доступа к защищенным ресурсам, доступным в пределах интегрированных участников, пользователи проверяют подлинность с помощью IDP домашней организации. После успешной аутентификации данные об успешной проверки передаются провайдеру сервиса, размещающего защищенный ресурс. Далее провайдер сервиса предоставляет доступ к ресурсу после проверки прав доступа пользователя.
В версии 10.6.1 портал ArcGIS Enterprise можно настроить на работу с интегрированными провайдерами идентификации на базе SAML. Портал получает доступ к сервису обнаружения в интеграции, который обеспечивает список провайдеров идентификации и провайдеров сервисов, участвующих в интеграции.
К часто используемым провайдерам идентификаций на базе SAML относятся InCommon, eduGAIN, SWITCHaai, DFN-AAI и UK Access Management Federation.
Настройка интеграции на портале
Для настройки интеграции провайдеров идентификаций на базе SAML выполните следующие шаги:
- Войдите на веб-сайт портала в качестве администратора и щелкните Организация > Настройки > Безопасность.
- В разделе Учетные записи секции Корпоративные, щелкните кнопку Задать корпоративную учетную запись и выберите опцию Интеграция провайдеров идентификации. На странице Указать свойства введите имя интеграции. Это описание отображается у пользователей, входящих на веб-сайт портала как часть опции входа SAML.
- Выберите способ присоединения пользователей к организации портала:
- Автоматически - пользователи могут присоединяться к организации с использованием своих корпоративных учетных записей без всякого вмешательства администратора, т.к. их учетная запись автоматически регистрируется в организации во время первого входа
- По приглашению от администратора - пользователям потребуется регистрация соответствующих учетных записей в организации, выполняемая администратором посредством специальной утилиты командной строки или скрипта Python
Примечание:
Esri рекомендует выделить хотя бы одну корпоративную учетную запись в качестве администратора портала и отключить кнопку Создать учетную запись на веб-сайте портала, чтобы пользователи не могли создавать собственные учетные записи. Дополнительные сведения см. в разделе Назначение корпоративной учетной записи прав администратора ниже.
- Введите URL-адрес централизованного сервиса обнаружения провайдеров идентификаций в интеграции, например, https://wayf.samplefederation.com/WAYF.
- Введите URL в метаданные объединения, где агрегированы метаданные всех провайдеров идентификаций и сервисов, участвующих в объединении.
- Скопируйте и вставьте сертификат, закодированный в Base64, что позволяет порталу проверить подлинность метаданных объединения.
- Доступна расширенная настройка дополнительных опций:
- Шифровать утверждения – выберите эту опцию, чтобы показать провайдеру аутентификации SAML, что портал поддерживает шифрованные ответы утверждений SAML. Если эта опция выбрана, то провайдер аутентификации будет шифровать раздел утверждений ответов SAML. Весь трафик SAML шифруется в обе стороны при использовании HTTPS, эта опция добавляет дополнительный уровень шифрования.
- Включить подписанный запрос – включите эту опцию, чтобы портал подписывал запрос аутентификации SAML, направленный провайдеру идентификаций. Подпись исходного запроса аутентификации, отправленного порталом, позволяет провайдеру идентификаций проверить, что все запросы аутентификации исходят от доверенного провайдера сервисов.
- Произвести выход в провайдер аутентификации – включите эту опцию, чтобы в на портале использовался URL-адрес выхода, для выхода пользователя из провайдера идентификаций. Если эта опция выбрана, введите используемый URL в поле URL-адрес выхода. Если провайдеру идентификации для выполнения входа требуется URL-адрес выхода, необходимо также отметить опцию Включить подписанный запрос. Если это опция не выбрана, кнопка Выйти на веб-сайте портала отключит пользователя от портала, но не от провайдера идентификаций. Если кэш веб-браузера пользователя не очищен, попытка немедленно выполнить вход обратно на портал, используя опцию корпоративной учетной записи, приведет к немедленному входу без необходимости предоставления учетных данных для провайдера аутентификации. Это уязвимость в системе безопасности, которая может быть использована при пользовании компьютером, доступным неавторизованным пользователям или широкой публике.
- Обновить профили для входа – включите эту опцию для обновления на портале пользовательских атрибутов givenName и email address, если они изменились с момента последнего входа. Эта опция выбрана по умолчанию.
- ID объекта – обновите это значение, чтобы для уникальной идентификации организации портала в провайдере аутентификации SAML использовался новый ID объекта.
Регистрация портала на работу с интеграцией SAML в качестве доверенного провайдера сервиса
Чтобы завершить процесс настройки, установите доверительные отношения между сервисом обнаружения интеграцией и провайдером идентификаций вашей организации, зарегистрировав в ней метаданные сервиса портала. Получить метаданные можно двумя способами:
- В разделе Безопасность страницы Настройки вашей организации, нажмите кнопку Загрузить метаданные провайдера сервиса, чтобы скачать файл метаданных для вашей организации.
- Перейдите по URL-ссылке метаданных и сохраните его как файл XML на вашем компьютере. URL-адрес – это https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, например, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Вы можете создать токен с помощью https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. При указании URL на странице Создать токен укажите полное доменное имя сервера провайдера идентификации в поле Webapp URL. Выбор любой другой опции, как то IP-адрес или IP-адрес происхождения запроса, не поддерживается и может привести к генерации неверного токена.
После загрузки метаданных поставщика услуг обратитесь к администраторам интеграции SAML за инструкциями по интеграции метаданных в файл агрегированных метаданных интеграции. Вам также потребуются инструкции от них для регистрации вашего IDP в интеграции.
Назначение корпоративной учетной записи прав администратора
Процесс определения для корпоративной учетной записи прав администратора портала зависит от того, смогут ли ваши пользователи присоединиться к организации Автоматически или По приглашению от администратора.
Автоматическое присоединение к организации
Если вы выбрали опцию Автоматического добавления пользователей в организацию, то откройте главную страницу веб-сайта портала; при этом вы должны войти из-под корпоративной учетной записи, которую вы хотите использовать в качестве администратора портала.
При первом добавлении учетной записи в портал автоматически ей назначается роль Пользователь. Только Администратор организации может изменить роль учетной записи; следовательно, вы должны войти на портал, используя первичную учетную запись администратора и назначить корпоративной учетной записи роль администратора.
- Откройте веб-сайт портала и щелкните на опции входа с использованием провайдера идентификации SAML и введите учетные данные корпоративной учетной записи, которую вы хотите использовать в качестве администратора. Если эта учетная запись принадлежит кому-то другому, попросите этого пользователя подключиться к порталу, чтобы эта учетная запись была зарегистрирована на портале.
- Убедитесь, что учетная запись была добавлена в портале, и щелкните Выйти. Очистите кэш и cookies вашего браузера.
- Не выходя из браузера, откройте веб-сайт портала , щелкните на опции входа с использованием встроенной учетной записи портала и укажите имя пользователя и пароль первичной учетной записи администратора, которая была создана вами при настройке Portal for ArcGIS.
- Найдите корпоративную учетную запись, которую вы будете использовать для администрирования вашего портала, и измените ее роль на Администратор. Щелкните Выйти.
Выбранная вами корпоративная учетная запись будет теперь иметь права администратора портала.
Добавление корпоративных учетных записей на портал вручную
Если вы выбрали опцию, которая позволит пользователям присоединиться к организации По приглашению от администратора, то вам будет нужно зарегистрировать учетные записи в организации с помощью утилиты командной строки или примера скрипта Python. Убедитесь в том, что для корпоративной учетной записи, которая будет использоваться для администрирования портала, была выбрана роль Администратор.
Отмена прав или удаление первичной учетной записи администратора
Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить начальной учетной записи администратора роль Пользователя или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.
Запрет создания собственных учетных записей для пользователей
Запретите создание собственных учетных записей пользователями, отключив эту возможность в настройках организации.
Отключение входа под учетными записями ArcGIS
Чтобы запретить пользователям вход на портал под учетными записями ArcGIS, выключите кнопку Использование учетной записи ArcGIS, находящуюся на странице входа, выполнив следующие шаги.
- Войдите на веб-сайт портала в качестве администратора вашей организации и щелкните Организация > Настройки > Безопасность.
- В разделе Учетные записи в Опциях входа, отключите переключатель для учетных записей <имя организации>.
На странице входа появится кнопка для входа на портал под учетной записью провайдера аутентификации, а кнопка для входа Под учетной записью ArcGIS станет недоступной. Вы можете повторно включить учетные записи участников с учетными записями ArcGIS, переключив учетные записи <имя организации> в Учетные записи > Опции входа.
Изменение или удаление провайдера идентификации SAML
После настройки интегрирования вы можете обновить его настройки, нажав на кнопку дополнительных опций рядом с ним и щелкнув Редактировать. Обновите настройки в окне Редактировать корпоративную учетную запись. Эти кнопки появляются после настройки интеграции на портале.
Для удаления интегрирования с портала щелкните дополнительных опций рядом с ним и нажмите Удалить. После удаления интеграции, можно задать новый провайдер идентификации или интеграцию провайдеров идентификации, если необходимо.