Язык Security Assertion Markup Language (SAML) является открытым стандартом безопасного обмена данными аутентификации и авторизации между провайдером идентификации и провайдером сервиса (в данном случае, Portal for ArcGIS). Этот подход называется также SAML Web Single Sign On (Технологией единого веб-входа SAML).
Портал совместим с SAML 2.0 и работает с провайдерами идентификации, поддерживающими стандарт SAML 2 Web Single Sign On. Преимущество настройки SAML состоит в том, что вам не нужно создавать для пользователей дополнительные учетные записи для доступа к порталу ArcGIS Enterprise; они могут использовать уже настроенную в корпоративном хранилище учетную запись. Данный процесс называют в документации настройкой корпоративных учетных записей.
Вы также можете ввести в портал метаданные, относящиеся к корпоративным группам в вашем хранилище идентификаций. Это позволит создавать группы на портале, которые используют существующие корпоративные группы из хранилища идентификаций.
Когда участники входят на портал, доступ к ресурсам, элементам и данным обеспечивается правилами, заданными в корпоративной группе. Если вы не предоставите необходимых метаданных о корпоративных группах, вы все равно сможете создавать группы. Однако правила участия будут определяться ArcGIS Enterprise, а не вашим хранилищем идентификаций.
Сопоставление имен пользователей ArcGIS Online на портале ArcGIS Enterprise
Если в вашей организации ArcGIS Online и на портале используется тот же провайдер аутентификации SAML, то корпоративные имена пользователей можно настраивать, чтобы они совпадали. У всех корпоративных имен пользователей в ArcGIS Online есть короткие имена организаций, присоединенные в конце. Такие же корпоративные имена пользователей можно использовать на портале, задав свойство defaultIDPUsernameSuffix портала ArcGIS Enterprise в настройках безопасности и указав его в соответствии с коротким именем организации. Это необходимо, если включено отслеживание правок для сервиса объектов, редактируемого корпоративными пользователями ArcGIS Online и портала.
Вход с использованием SAML
Portal for ArcGIS поддерживает корпоративные учетные записи, инициированные провайдером сервиса (SP) и провайдером идентификаций (IDP). Процедуры входа с их использованием отличаются.
Учетные записи, полученные от провайдера сервиса
При использовании учетных записей провайдера сервиса пользователи получают доступ к порталу напрямую, и у них есть возможность входа с использованием встроенных учетных записей (управляемых порталом) или учетных записей, которые хранятся в провайдере идентификации с поддержкой SAML. Если участники выбирают опцию использования провайдера сервиса, они перенаправляются на веб-страницу (менеджер корпоративной аутентификации), на которой им предлагается ввести корпоративное имя пользователя и пароль. После проверки учетной записи пользователя провайдер корпоративной аутентификации передает в Portal for ArcGIS проверенные данные входящего пользователя, и пользователь снова перенаправляется на веб-сайт портала организации.
Если участник выбирает опцию использования встроенной учетной записи, то открывается страница входа на веб-сайт портала ArcGIS Enterprise организации. Пользователь может ввести свое встроенное имя пользователя и пароль для доступа к веб-сайту. Встроенную учетную запись можно использовать в качестве отказоустойчивой, если ваш провайдер идентификации, совместимый с SAML, недоступен при условии, что опция входа с использованием учетной записи ArcGIS не была отключена.
Учетные записи, полученные от провайдера идентификации
С учетными записями, полученными от провайдера идентификации, пользователи сразу производят доступ к менеджеру корпоративной аутентификации и производят вход с использованием их учетных записей. Когда пользователь сообщает сведения о своей учетной записи, провайдер идентификаций посылает SAML-ответ непосредственно в Portal for ArcGIS. Пользователь входит и перенаправляется на веб-сайт портала своей организации, где он может сразу получить доступ к ресурсам без необходимости выполнения повторного входа в организацию.
Опция входа с помощью встроенных учетных записей из менеджера корпоративной аутентификации будет недоступна. Чтобы войти в организацию с использованием встроенных учетных записей, участники должны произвести доступ к веб-сайту портала напрямую.
Примечание:
Если аутентификации SAML перестали работать из-за вашего провайдера аутентификации SAML, и опция встроенных учетных записей неактивна, вы не сможете получить доступ к вашему порталу ArcGIS Enterprise, пока не сделаете активной эту опцию. Для инструкций, как это сделать, см. этот вопрос в разделе Общие проблемы и их решения.
Провайдеры идентификации SAML
Portal for ArcGIS поддерживает все SAML-совместимые провайдеры идентификации. Подробные инструкции по настройке некоторых распространенных поставщиков удостоверений, совместимых с SAML, можно найти в репозитории ArcGIS/idp GitHub.
Процесс настройки провайдера идентификации с ArcGIS Enterprise описан ниже. Перед продолжением рекомендуется связаться с администратором вашего провайдера идентификации SAML для получения параметров, необходимых для настройки.
Необходимая информация
Portal for ArcGIS должен получить определенную атрибутивную информацию от IDP, когда пользователь входит с использованием учетных записей SAML. Атрибут NameID является обязательным и должен отправляться IDP в ответ на запрос SAML для интеграции работы с Portal for ArcGIS. Так как Portal for ArcGIS использует значение NameID для уникальной идентификации именованного пользователя, рекомендуется для идентификации пользователя использовать постоянное значение. Когда пользователь из IDP осуществляет вход, Portal for ArcGIS создает нового пользователя с именем NameID в хранилище пользователей. Допустимыми символами значения, которое посылается атрибутом ,NameID являются буквы, цифры, _ (нижнее подчеркивание), . (точка) и @ (знак "собачка"). Другие символы будут заменены нижним подчеркиванием в имени пользователя, созданном Portal for ArcGIS.
Portal for ArcGIS поддерживает получение email-адреса пользователя, информацию о его участии в группах, указанного имени и фамилии от поставщика удостоверений SAML.
Настройка SAML-совместимого провайдера идентификации для работы с порталом
Портал можно настроить так, чтобы пользователи выполняли вход, используя то же имя и пароль, которые используются для входа в локальные системы. Перед настройкой Корпоративных учетных записей вам необходимо настроить тип пользователя по умолчанию для своей организации.
- Войдите на веб-сайт портала в качестве администратора вашей организации и щелкните Организация > Настройки > Безопасность.
- В разделе Учетные записи секции Корпоративная, щелкните кнопку Задать корпоративную учетную запись и выберите опцию Один провайдер идентификации. На странице Задать свойства введите имя своей организации (например, City of Redlands). При входе пользователей на веб-сайт портала данный текст отображается внутри строки входа SAML (например, Использование учетной записи City of Redlands).
- Укажите, могут ли пользователи вступать в организацию Автоматически или По приглашению администратора. Выбор первой опции позволяет пользователям входить в организацию с указанием корпоративной учетной записи без вмешательства администратора. Их учетные записи автоматически регистрируются в организации при первом входе. Во втором случае пользователям потребуется регистрация соответствующих учетных записей в организации, выполняемая администратором посредством специальной утилиты командной строки или скрипта Python. После регистрации учетных записей пользователи смогут входить в организацию.
Подсказка:
Рекомендуется назначить хотя бы одну корпоративную учетную запись в качестве администратора портала и отключить или удалить учетную запись основного администратора. Также рекомендуется отключить кнопку Создать учетную запись на веб-сайте портала, чтобы пользователи не могли создавать собственные учетные записи. Инструкции см. в статье Отключение первичной учетной записи администратора сайта.
- Передайте необходимые метаданные о SAML-совместимом провайдере корпоративной аутентификации. Сделайте это, указав источник, из которого портал сможет получить метаданные. Вы можете найти инструкции по получению метаданных от сертифицированных поставщиков в репозитории ArcGIS/idp GitHub. Имеется три возможных источника этих метаданных:
- URL-адрес – введите URL-адрес, который возвращает метаданные о провайдере идентификации.
Примечание:
Если ваш провайдер идентификации имеет самозаверенный сертификат, возникнет ошибка при попытке указать URL по протоколу HTTPS для метаданных. Ошибка возникнет из-за того, что Portal for ArcGIS не сможет проверить самозаверенный сертификат провайдера идентификации. Либо используйте в URL протокол HTTP, как указано ниже, либо настройте провайдер идентификации на работу с доверенным сертификатом.
- Файл – загрузите файл, который содержит метаданные о провайдере идентификации.
- Параметры, указанные здесь – введите метаданные провайдера идентификации, предоставив следующие параметры:
- URL учетной записи (Перенаправление) – введите URL провайдера идентификации (поддерживающее привязку перенаправления HTTP), который должен использоваться в Portal for ArcGIS для входа участника.
- URL учетной записи (POST) – введите адрес URL провайдера идентификации (поддерживающий привязку HTTP POST), который должен использоваться в Portal for ArcGIS для входа участника.
- Сертификат – укажите сертификат корпоративного провайдера идентификации в формате BASE 64. Это сертификат, который позволяет Portal for ArcGIS проверять цифровые подписи в ответах SAML, направляемых в ArcGIS Online провайдером корпоративной идентификации.
Примечание:
Свяжитесь с администратором провайдера идентификации, если вам требуется помощь при определении источника метаданных.
- URL-адрес – введите URL-адрес, который возвращает метаданные о провайдере идентификации.
- Для завершения процесса настройки и установки доверенной связи с провайдером идентификации необходимо зарегистрировать метаданные провайдера сервиса портала в корпоративном провайдере идентификации. Существует два способа получить метаданные от вашего портала.
- В разделе Безопасность вкладки Настройки вашей организации щелкните кнопку Загрузить метаданные провайдера сервиса, чтобы загрузить файл метаданных для вашей организации.
- Перейдите по URL-ссылке метаданных и сохраните его как файл .xml на вашем компьютере. URL-адрес – это https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, например, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Вы можете создать токен с помощью https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. При указании URL на странице Создать токен укажите полное доменное имя сервера провайдера аутентификации в поле Webapp URL. Выбор любой другой опции, как то IP-адрес или IP-адрес происхождения запроса, не поддерживается и может привести к генерации неверного токена.
Вы можете найти инструкции по регистрации метаданных поставщика услуг портала у сертифицированных поставщиков в репозитории ArcGIS/idp GitHub.
- Доступна расширенная настройка дополнительных опций:
- Шифровать утверждения – выберите эту опцию, чтобы показать провайдеру идентификации SAML, что Portal for ArcGIS поддерживает шифрованные ответы утверждений SAML. Если эта опция выбрана, то провайдер идентификации будет шифровать раздел утверждений ответов SAML. Весь трафик SAML шифруется в обе стороны по отношению к Portal for ArcGIS при использовании HTTPS, эта опция добавляет дополнительный уровень шифрования.
- Включить подписанный запрос – выберите эту опцию, чтобы Portal for ArcGIS подписал запрос аутентификации SAML, направленный провайдеру идентификации. Подпись исходного запроса аутентификации, отправленного Portal for ArcGIS, позволяет провайдеру идентификации проверять, что все запросы аутентификации исходят от доверенного провайдера сервисов.
- Произвести выход в провайдер аутентификации – выберите эту опцию, чтобы в Portal for ArcGIS использовался URL-адрес выхода для выхода пользователя из провайдера идентификации. Введите используемый URL в поле URL-адрес выхода. Если провайдеру идентификации для выполнения входа требуется URL-адрес выхода, необходимо отметить опцию Включить подписанный запрос. Если отключить эту опцию и щелкнуть Выйти в Portal for ArcGIS, то произойдет выход пользователя из Portal for ArcGIS, но не из провайдера идентификации. Если кэш веб-браузера пользователя не очищен, попытка немедленно выполнить вход обратно в Portal for ArcGIS, используя опцию корпоративной учетной записи, приведет к немедленному входу без необходимости предоставления учетных данных для провайдера аутентификации SAML. Это уязвимость в системе безопасности, которая может быть использована при работе на компьютере, доступным неавторизованным пользователям или широкой публике.
- Обновить профиль для входа — Включите эту опцию, чтобы Portal for ArcGIS обновил пользовательские атрибуты givenName и email address, если они с момента их последнего входа изменились. Эта опция выбрана по умолчанию.
- Включить SAML на основе участия в группе – выберите эту опцию, чтобы администраторы портала могли подключаться к группам в вашем провайдере идентификации SAML, которые созданы на вашем портале ArcGIS Enterprise. При выборе этой опции Portal for ArcGIS будет читать ответ утверждения SAML, чтобы определить, к каким группам принадлежит участник. Вы можете затем указать одну или несколько групп организации, предоставленную вашим провайдером идентификации на вопрос Кто может присоединиться к этой группе? при создании новой группы на портале. Эта функция не выбрана по умолчанию.
- URL-адрес выхода – введите URL-адрес провайдера аутентификации, используемого при выходе работающего в данный момент пользователя. Если это свойство указано в файле метаданных провайдера идентификации, то оно будет установлено автоматически.
- ID объекта – обновите это значение, чтобы для уникальной идентификации вашей организации Portal for ArcGIS провайдер идентификации SAML использовал новый ID объекта.
Настройка соответствующий SAML IDP для отказоустойчивого портала.
Portal for ArcGIS использует сертификат с псевдонимом samlcert при отправке подписанных запросов (для входа и выхода) к IDP и при расшифровке зашифрованных ответов от IDP. При настройке отказоустойчивого портала ArcGIS Enterprise и использовании соответствующего SAML IDP нужно убедиться в том, что все экземпляры Portal for ArcGIS используют одинаковый сертификат при коммуникации с IDP.
Лучший способ убедиться в том, что все экземпляры используют одинаковый сертификат для SAML, - это создать новый сертификат с псевдонимом samlcert и импортировать его в каждый экземпляр Portal for ArcGIS вашего отказоустойчивого развертывания.
- Войдите в Portal Administrator Directory по адресу https://example.domain.com:7443/arcgis/portaladmin.
- Выберите Безопасность > sslcertificates и щелкните существующий сертификат samlcert.
- Щелкните удалить.
- Повторите шаги с 1 по 3, чтобы удалить существующие сертификаты samlcert во всех экземплярах вашего отказоустойчивого портала.
- Создайте новый самозаверенный сертификат в ArcGIS Portal Administrator Directory.
- При настройке сертификата укажите samlcert в качестве псевдонима и имя хоста балансировщика нагрузки вашего развертывания в качестве имени для Обычного имени и псевдонима DNS в поле Альтернативное имя субъекта.
- После создания сертификата экспортируйте его в файл .pfx:
- Запустите сеанс терминала и авторизуйтесь как пользователь, установивший Portal for ArcGIS.
- В командной строке перейдите к папке <Portal installation location>/etc/ssl.
- Введите следующую команду для экспорта samlcert в файл формата .pfx:
..../framework/runtime/jre/bin/keytool.exe -importkeystore -srckeystore portal.ks -destkeystore samlcert.pfx -srcstoretype JKS -deststoretype PKCS12 -srcstorepass portal.secret -deststorepass password -srcalias samlcert -destalias samlcert -destkeypass password
- Импортируйте новый сертификат в каждый экземпляр Portal for ArcGIS на странице Безопасность > sslcertificates > Импортировать существующий сертификат сервера.
- Перезапустите Portal for ArcGIS на каждом экземпляре вашего отказоустойчивого портала.
С помощью файла метаданных поставщика сервиса на портале ArcGIS Enterprise можно убедиться, что сертификаты, используемые для связи с SAML IDP, одинаковы во всем отказоустойчивом развертывании.
- На вкладке Организация выберите Изменить настройки > Безопасность.
- В элементе Корпоративные учетные записи через SAML, на странице Безопасность, щелкните Редактировать провайдер идентификации. Откройте меню Показать дополнительные параметры и убедитесь, что выбрана опция Шифровать утверждения . Если нет, выберите ее и щелкните Обновить провайдера идентификации, чтобы сохранить изменения.
- Возвратитесь к элементам Корпоративные учетные записи через SAML и выберите Добавить провайдер сервиса. Это позволит экспортировать метаданные провайдера сервиса в файл .xml на вашем компьютере.
- Откройте загруженный файл .xml. Убедитесь в наличии следующей фразы: <md:KeyDescriptor use="encryption">. Она говорит о наличии сертификата шифрования.
- Обратите внимание на значения в подразделе <ds:KeyInfo>.
- Повторите эти действия для каждого экземпляра Portal for ArcGIS вашего развертывания для получения из каждого из них файла метаданных провайдера сервиса.
Все экспортированные файлы метаданных должны содержать одинаковую информацию в подразделе <ds:KeyInfo>, что означает, что один и тот же сертификат используется каждым экземпляром Portal for ArcGIS при обмене данными с вашим SAML-совместимым IDP.
Назначение корпоративной учетной записи прав администратора
Процесс определения для корпоративной учетной записи прав администратора портала зависит от того, смогут ли ваши пользователи зарегистрироваться в организации Автоматически или По приглашению администратора.
Автоматическое присоединение к организации
Если вы выбрали опцию Автоматического добавления пользователей в организацию, то откройте главную страницу веб-сайта портала; при этом вы должны войти из-под корпоративной учетной записи, которую вы хотите использовать в качестве администратора портала.
Когда учетная запись впервые добавляется на портал автоматически, ей назначается роль по умолчанию, настроенная для новых участников. Только Администратор организации может изменить роль учетной записи; следовательно, вы должны войти на портал, используя первичную учетную запись администратора и назначить корпоративной учетной записи роль администратора.
- Откройте веб-сайт портала и щелкните на опции входа с использованием провайдера идентификации SAML и введите учетные данные корпоративной учетной записи, которую вы хотите использовать в качестве администратора. Если эта учетная запись принадлежит кому-то другому, попросите этого пользователя подключиться к порталу, чтобы эта учетная запись была зарегистрирована на портале.
- Убедитесь, что учетная запись была добавлена в портале, и щелкните Выйти. Очистите кэш и cookies вашего браузера.
- Не выходя из браузера, откройте веб-сайт портала , щелкните на опции входа с использованием встроенной учетной записи портала и укажите имя пользователя и пароль первичной учетной записи администратора, которая была создана вами при настройке Portal for ArcGIS.
- Найдите корпоративную учетную запись, которую вы будете использовать для администрирования вашего портала, и измените ее роль на Администратор. Щелкните Выйти.
Выбранная вами корпоративная учетная запись будет теперь иметь права администратора портала.
Добавление корпоративных учетных записей на портал вручную
Если вы выбрали опцию, которая позволит пользователям стать членами организации По приглашению администратора, то вам будет нужно зарегистрировать соответствующие учетные записи в организации с помощью утилиты командной строки или скрипта Python. Убедитесь в том, что для корпоративной учетной записи, которая будет использоваться для администрирования портала, была выбрана роль Администратор.
Отмена прав или удаление первичной учетной записи администратора
Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить начальной учетной записи администратора другую роль или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.
Запрет создания собственных учетных записей для пользователей
Запретите создание собственных учетных записей пользователями, отключив эту возможность в настройках организации.
Отключение входа под учетными записями ArcGIS
Чтобы запретить пользователям вход на портал под учетными записями ArcGIS, выключите кнопку Использование учетной записи ArcGIS, находящуюся на странице входа. Для этого выполните следующие шаги:
- Войдите на веб-сайт портала в качестве администратора вашей организации и щелкните Организация > Настройки > Безопасность.
- В разделе Учетные записи, под пунктом Опции входа, отключите переключатель Учетные записи <Имя организации>.
На странице входа появится кнопка для входа на портал под учетной записью провайдера аутентификации, а кнопка для входа Под учетной записью ArcGIS станет недоступной. Вы можете повторно активировать учетные записи участников, включив Учетные записи <Имя организации> под пунктом Учетные записи > Опции входа.
Изменение провайдера корпоративной аутентификации SAML
Если настроен корпоративный провайдер идентификации, вы можете обновить его настройки, щелкнув кнопку рядом с текущим зарегистрированным провайдером и выбрав Редактировать. Обновите настройки в окне Редактировать корпоративную учетную запись. Эти кнопки станут активны только после настройки SAML-совместимого провайдера аутентификации.
Чтобы удалить текущего зарегистрированного провайдера идентификации, щелкните кнопку рядом с провайдером и выберите Удалить. После удаления провайдера аутентификации можно произвести настройку нового провайдера, если это необходимо.