您的组织可以使用安全声明标记语言 (SAML) 对其计算机用户进行身份验证并授权访问其启用 web 的资源。为此,需要配置单个 SAML 兼容身份提供者 (IDP) 以处理用户身份验证。组织的 web 资源托管在一个或多个服务提供者上,这些提供者将处理访问 web 资源的授权。组织对其 IDP 和服务提供者具有完全管理控制。要支持基于 SAML 的身份验证和授权,组织的每个服务提供者必须进行注册才能使用其 IDP。每个服务提供者只能使用一个 IDP 进行注册。
您还可以使用 SAML 在多个独立管理的组织之间共享资源。可以通过联合管理实体实现上述操作,这些实体可以在其成员组织之间启用基于 SAML 的资源共享。要与联合共享其 web 资源的成员组织将保留其一个或多个服务提供者以专门在联合内部工作。要访问与联合共享的受保护资源,用户需要使用其归属组织的 IDP 来验证身份。成功通过身份验证后,该验证身份就将呈现给托管受保护资源的服务提供者。对用户的访问权限验证完成后,服务提供者将授予其对资源的访问权限。
在 10.6.1 中,您 ArcGIS Enterprise 门户可以使用基于 SAML 的 IDP 联合进行配置。门户可访问由联合托管的发现服务,该服务可提供参与联合的身份提供者和服务提供者的列表。
一些常见的基于 SAML 的身份提供者联合包括 InCommon、eduGAIN、SWITCHaai、DFN-AAI 和英国访问管理联盟。
通过门户配置联合
请按照以下步骤配置门户的基于 SAML 的身份提供者联合。
- 以管理员身份登录到门户网站,然后单击组织 > 设置 > 安全性。
- 在企业登录部分,选择身份提供者联合选项,单击设置企业登录按钮,然后在出现的窗口中输入联合的描述。此描述将作为 SAML 登录选项的一部分显示给访问门户网站的用户。
- 选择用户加入门户组织的方法:
- 自动 - 用户无需管理员授予权限即可使用企业登录帐户登录组织,原因是在首次登录时他们的帐户已自动在门户上注册
- 应管理员的邀请 - 要求门户管理员使用命令行实用程序或 Python 脚本将必要的帐户注册到组织
注:
Esri 建议您至少指定一个企业帐户作为您的门户的管理员,并禁用门户网站内的创建帐户按钮和注册页面 (signup.html),以禁止用户创建自己的帐户。有关详细说明,请参阅下面的将企业帐户指定为管理员部分
- 将 URL 提供给由联合托管的集中 IDP 发现服务,例如 https://wayf.samplefederation.com/WAYF。
- 将 URL 提供给联合元数据,该元数据是参与联合的所有身份提供者和服务提供者的元数据的聚合。
- 复制并粘贴以 Base64 格式编码的证书,门户可通过该证书验证联合元数据的有效性。
- 配置适用的高级设置:
- 加密声明 - 选择此选项以向 SAML 身份提供者指明您的门户支持加密 SAML 声明响应。选中此选项后,身份提供者将对 SAML 响应的声明部分进行加密。尽管已使用 HTTPS 对门户接收和发送的所有 SAML 通信进行了加密,此选项仍会添加其他加密图层。
- 启用签名请求 - 选择此选项可使门户对发送至 IDP 的 SAML 身份验证请求进行签名。门户发送的初始登录请求签名使 IDP 可以验证是否所有登录请求源自受信任服务提供者。
- 向身份提供者传递注销 - 选择此选项可使门户使用注销 URL 注销 IDP 中的用户。如选中此选项,请输入将在注销 URL 设置中使用的 URL。如果 IDP 需要对注销 URL 签名,则还必须选中启用签名请求选项。如未选中此选项,当在门户网站上单击登出时,用户将从门户而非 IDP 登出。如果未清除用户的 web 浏览器缓存,使用企业登录选项尝试立即重新登录门户即可实现立即登录,无需向 IDP 提供凭据。这是使用未授权用户或公众可轻松访问的计算机时可以利用的安全漏洞。
- 登录时更新个人资料 - 选中此选项使门户更新用户的 givenName 和电子邮件地址属性(如果自上次登入后已更改)。此选项默认为选中。
- 实体 ID - 可更新此值以使用新的实体 ID,以便将您的门户组织唯一识别到 SAML 联合。
将门户作为受信任的服务提供者注册到 SAML 联合
要完成配置过程,请将门户的服务提供者元数据注册到联合的发现服务和组织的 IDP 以与二者建立信任。此元数据有两种方法获得:
- 在组织编辑设置页面的安全性部分,单击获取服务提供者按钮。这样即可显示组织的元数据,然后将其作为 XML 文件保存在您的计算机上。
- 打开元数据的 URL,然后将其作为 XML 文件保存到您的计算机上。URL 为 https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>,例如:https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY。可使用 https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken 生成令牌。在生成令牌页面输入 URL 后,指定 Webapp URL 字段中身份提供者服务器的完全限定域名。不支持选择任何其他选项,如 IP 地址或此请求源的 IP 地址,如若选择,则可能生成无效标记。
下载服务提供者元数据后,请与 SAML 联合的管理员联系,以获取有关如何将元数据集成到联合的聚合元数据文件中的说明。您还需要从 SAML 联合获取说明,将您的 IDP 注册到联合。
将企业帐户指定为管理员
作为门户管理员,您如何指定企业帐户将取决于用户是否能自动或在门户中添加帐户之后加入该组织。
自动加入组织
如果您选择了允许用户自动加入组织的选项,请在打开门户网站主页时登录您想用作门户管理员的企业帐户。
首次将帐户自动添加到门户时,会给帐户分配“用户”角色。只有组织的管理员可以更改帐户上的角色;因此必须使用初始管理员帐户登录门户,并将企业帐户分配给管理员角色。
- 请打开门户网站,单击“使用 SAML 身份提供者登录”选项,然后提供您想要用作管理员的企业帐户的凭据。如果此帐户属于其他人,则将用户登录到门户,以在门户中注册此帐户。
- 请验证是否已在门户中添加该帐户,然后单击登出。清除浏览器缓存和 cookies。
- 在浏览器中打开门户网站,单击“使用内置门户帐户登录”选项,然后在设置 Portal for ArcGIS 时,提供由您创建的初始管理员帐户的凭据。
- 找到将用于管理门户的企业帐户,并将此角色更改为管理员。单击登出。
您选择的企业帐户现在是门户的管理员。
手动将企业帐户添加到门户
如果您选择只允许用户在门户添加帐户之后加入组织,您将需要使用命令行实用程序或 Python 脚本示例来注册组织的必要帐户。针对用来管理门户的企业帐户,请确保选择管理员角色。
下移或删除初始管理员帐户
现在您拥有备选门户管理员帐户,可以将初始管理员帐户分配给用户角色或删除帐户。有关详细信息,请参阅关于初始管理员帐户。
防止用户创建自己的帐户
安全设置好门户的访问权限后,建议您禁用门户网站中的创建帐户按钮和注册页面 (signup.html),这样用户便无法创建自己的帐户。这意味着所有成员都使用其企业帐户和凭据登录到门户,且无法创建不必要的内置帐户。有关完整说明,请参阅禁止用户创建内置门户帐户。
禁用使用 ArcGIS 帐户登录
如果希望阻止用户使用 ArcGIS 帐户登录门户,可按照以下步骤禁用登录页面上的使用 ArcGIS 帐户按钮。
- 以组织管理员的身份登录门户网站,然后单击组织 > 编辑设置 > 安全性。
- 在登录选项部分中,选择仅限 SAML IDP 帐户单选按钮,其中 IDP 将根据门户的配置情况而有所不同。
- 单击保存。
登录页面会显示使用身份提供者帐户登录门户按钮,而使用 ArcGIS 帐户登录按钮不可用。您可以使用 ArcGIS 帐户重新启用成员登录,方法是:在登录选项下选择 SAML IDP 帐户或 Portal for ArcGIS 帐户,其中门户的 IDP 和名称将根据配置情况而有所不同。
修改或移除 SAML 身份提供者
您可以使用编辑企业登录按钮更新联合设置,或者使用移除企业登录按钮从门户中移除联合。与门户的联合建立后,这些按钮随即出现。联合移除后,您可以根据需要设置新的身份提供者或身份提供者联合。