Microsoft Azure Active Directory (AD) 是兼容安全声明标记语言 (SAML) 的身份提供者 (IDP)。可将其配置为本地和云中 Portal for ArcGIS 的企业登录帐户的 IDP。配置过程涉及两个主要步骤:在您的 ArcGIS Enterprise 门户中注册 Azure AD 以及在您的 Azure AD 门户中注册 Portal for ArcGIS。
要使用 ArcGIS Enterprise 配置 Azure AD,您需要高级 Azure AD 订阅。
所需信息
当用户使用企业登录帐户进行登录时,Portal for ArcGIS 需要从 IDP 处接收某些属性信息。NameID 属性为强制属性,并且必须由您的 IDP 在 SAML 响应中发送,联合才能使用 Portal for ArcGIS。由于 Portal for ArcGIS 使用 NameID 的值唯一标识指定用户,因此建议使用常量值来唯一标识用户。IDP 中的用户登录时,Portal for ArcGIS 会在其用户存储中创建用户名为 NameID 的新用户。NameID 发送的值中允许使用的字符包括字母数字、_(下划线)、. (圆点)和 @(at 符号)。任何其他字符均会更改为由 Portal for ArcGIS 创建的用户名中的下划线。
Portal for ArcGIS 支持企业登录帐户的 givenName 和 email address 属性从企业级 IDP 流入。当用户使用企业登录帐户进行登录时,如果 Portal for ArcGIS 收到名为 givenname 和 email 或 mail 的属性(无论哪种),则 Portal for ArcGIS 将使用从 IDP 处接收的值来填充用户帐户的全称和电子邮件地址。建议您从企业级 IDP 传递 email address,以便用户能够接收通知。
将 Azure AD 注册为门户的企业 IDP
- 以组织默认管理员的身份登录门户网站,然后单击组织 > 编辑设置 > 安全性。
- 在通过 SAML 登录企业帐户部分,选择一位身份提供者选项,单击设置企业登录按钮,并在随即出现的窗口中输入组织名称(例如,City of Redlands)。当用户访问门户网站时,此文本将显示为 SAML 登录选项的一部分(例如,Using your City of Redlands account)。
- 选择用户是否可以自动或在门户中添加帐户之后加入组织。选择自动选项可以使用户通过其企业登录帐户登录组织,而不会受到管理员的任何干预。首次登录时,用户的帐户即会自动注册到该组织。在门户中添加帐户之后选项需要管理员使用命令行实用程序或 Python 脚本示例将必要的帐户注册到该组织。帐户注册完成后,用户即可登录组织。
提示:
建议您至少将一个企业帐户指定为门户的管理员并下移或删除初始管理员帐户。还建议您禁用门户中的创建帐户按钮和注册页面 (signup.html),这样用户便无法创建自己的帐户。有关完整说明,请参阅在门户中配置 SAML 兼容身份提供者。
- 要为 IDP 提供元数据信息,可选择以下选项之一:
- 文件 - 使用文件选项下载 Azure AD 元数据文件并将文件上传至 Portal for ArcGIS。
注:
如果这是您第一次使用 Azure AD 注册服务提供者,则在将 Portal for ArcGIS 注册到 Azure AD 后,您将需要获取元数据文件。 - 参数 - 如果 URL 或联合身份验证元数据文件无法访问,请选择此选项。手动输入值并提供所需参数:以 BASE 64 格式编码的登录 URL 和证书。请联系 Azure AD 管理员获取这些参数。
- 文件 - 使用文件选项下载 Azure AD 元数据文件并将文件上传至 Portal for ArcGIS。
- 配置以下适用的高级设置:
- 加密声明 - 选择此选项可对 Azure AD SAML 声明响应进行加密。
- 启用签名请求 - 选择此选项可使 Portal for ArcGIS 对发送至 Azure AD 的 SAML 身份验证请求进行签名。
- 向身份提供者传递注销 - 选择此选项可使 Portal for ArcGIS 使用注销 URL 注销 Azure AD 中的用户。输入将在注销 URL 设置中使用的 URL。如果 IDP 需要对注销 URL 签名,则请选中启用签名请求。
- 登录时更新个人资料 - 如果属性自上次登录后已经发生改变,选中此选项使 Portal for ArcGIS 更新用户的 givenName 和 email address 属性。
- 注销 URL - 用于注销当前登录用户 IDP URL。
- 实体 ID - 可更新此值以使用新的实体 ID,以便将您的门户唯一识别到 Azure AD。
加密声明和启用签名请求设置将使用门户 keystore 中的证书 samlcert。要使用新证书,请删除 samlcert 证书,按照将证书导入到门户中的步骤创建一个具有相同别名的 (samlcert) 新证书,然后重新启动门户。
- 完成后,单击更新身份提供者。
- 单击获取服务提供者以下载门户的元数据文件。该文件中的信息将用于将门户作为受信任服务提供者注册到 Azure AD。
将 Portal for ArcGIS 作为受信服务提供者注册到 Azure AD
- 以具有管理权限的成员身份登录到 Azure 门户。
- 遵照 Azure 文档中的步骤,将 Portal for ArcGIS 作为非图库应用程序添加到 Azure AD 并配置单点登录。您将需要提供从 Portal for ArcGIS 下载的 Metadata.xml 文件。
Portal for ArcGIS 将显示在 Azure AD 的企业级应用程序列表中。
- 可根据需要向应用程序添加并分配用户。
- 或者,配置并自定义传递到 ArcGIS Enterprise 的 SAML 声明。SAML 响应中的感兴趣属性为 givenName 和 emailaddress。