Вы можете настроить OpenAM 10.1.0 и более новые версии в качестве провайдера идентификации (IDP) для корпоративных учетных записей в Portal for ArcGIS. Процесс настройки состоит из двух основных шагов: регистрации вашего корпоративного IDP в Portal for ArcGIS и регистрации Portal for ArcGIS в корпоративном IDP.
Необходимая информация
Portal for ArcGIS должен получить определенную атрибутивную информацию от IDP, когда пользователь входит с использованием учетных записей SAML. Атрибут NameID является обязательным и должен отправляться IDP в ответ на запрос SAML для интеграции работы с Portal for ArcGIS. Так как Portal for ArcGIS использует значение NameID для уникальной идентификации именованного пользователя, рекомендуется для идентификации пользователя использовать постоянное значение. Когда пользователь из IDP осуществляет вход, Portal for ArcGIS создает нового пользователя с именем NameID в хранилище пользователей. Допустимыми символами значения, которое посылается атрибутом NameID, являются буквы, цифры, _ (нижнее подчеркивание), . (точка) и @ (знак). Другие символы будут заменены нижним подчеркиванием в имени пользователя, созданном Portal for ArcGIS.
Portal for ArcGIS поддерживает получение email-адреса пользователя, информацию о его участии в группах, указанного имени и фамилии от поставщика удостоверений SAML.
Регистрация OpenAM в качестве корпоративного IDP в Portal for ArcGIS
- Убедитесь, что вы вошли в систему в качестве администратора вашей организации.
- Щелкните Организация вверху сайта, затем выберите вкладку Настройки.
- Щелкните Безопасность в левой части страницы.
- В разделе Учетные записи в Учетная запись SAML, щелкните кнопку Задать учетную запись SAML и выберите опцию Один провайдер идентификации. На странице Задайте свойства введите имя вашей организации (например, City of Redlands). При входе пользователя на портал веб-сайта данный текст отображается внутри строки входа SAML (например, Использование учетной записи City of Redlands).
Примечание:
Вы можете зарегистрировать только один корпоративный SAML IDP или одну интеграцию IDP для своего портала.
- Выберите Автоматически или По приглашению администратора, чтобы указать, как пользователи могут присоединиться к организации. Выбор первой опции позволяет пользователям входить в организацию с указанием учетной записи SAML без вмешательства администратора. Их учетные записи автоматически регистрируются в организации при первом входе. Во втором случае пользователям потребуется регистрация соответствующих учетных записей в организации, выполняемая администратором посредством специальной утилиты командной строки или скрипта Python. После регистрации учетных записей пользователи смогут входить в организацию.
Подсказка:
Рекомендуется назначить хотя бы одну корпоративную учетную запись в качестве администратора портала и отключить или удалить первичную учетную запись администратора. Также рекомендуется отключить кнопку Создать учетную запись на веб-сайте портала, чтобы пользователи не могли создавать собственные учетные записи. Подробные инструкции см. в разделе Настройка SAML-совместимого провайдера идентификации для работы с порталом.
- Введите метаданные для IDP, используя один из трех приведенных ниже вариантов:
- URL – выберите данную опцию, если доступен URL-адрес метаданных OpenAM в Portal for ArcGIS. Обычно это URL-адрес вида http(s)://<host>:<port>/openam/saml2/jsp/exportmetadata.jsp.
Примечание:
Если ваш корпоративный IDP имеет самозаверенный сертификат, возникнет ошибка при попытке указать URL по протоколу HTTPS для метаданных. Ошибка возникнет из-за того, что Portal for ArcGIS не сможет проверить самозаверенный сертификат IDP. Либо используйте в URL протокол HTTP, как указано ниже, либо настройте IDP на работу с доверенным сертификатом.
- Файл — выберите данную опцию, если URL-адрес недоступен дляArcGIS Enterprise . Получите метаданные, используя указанный выше URL-адрес, и перед загрузкой сохраните их в виде файла XML.
- Указанные здесь параметры – выберите данную опцию, если недоступны URL-адрес или файл метаданных. Вручную введите значения и укажите запрашиваемые параметры: URL для входа и сертификат, закодированный в формате BASE 64. Для получения этих значений свяжитесь с администратором OpenAM.
- URL – выберите данную опцию, если доступен URL-адрес метаданных OpenAM в Portal for ArcGIS. Обычно это URL-адрес вида http(s)://<host>:<port>/openam/saml2/jsp/exportmetadata.jsp.
- Доступна расширенная настройка дополнительных опций:
- Шифровать утверждения – включите эту опцию, если OpenAM будет настроен на шифрование ответов утверждений SAML.
- Включить подписанный запрос – Выберите эту опцию, чтобы заставить Portal for ArcGIS подписывать запрос аутентификации SAML, который отправляется на OpenAM.
- ID объекта – Обновите это значение, чтобы использовать новый ID объекта, чтобы уникально идентифицировать ваш портал в OpenAM.
- Обновить профиль для входа — Включите эту опцию, чтобы ArcGIS Enterprise обновил пользовательские атрибуты givenName и email address, если они с момента их последнего входа изменились.
- Включить членство в группе, основанное на SAML—включите эту опцию, чтобы позволить пользователям организации связать заданные корпоративные группы, основанные на SAML, с группами ArcGIS Enterprise во время процесса создания групп.
Для параметров Шифровать утверждения и Включить подписанный запрос используется сертификат samlcert из хранилища ключей портала. Чтобы воспользоваться новым сертификатом, удалите сертификат samlcert, создайте новый с тем же псевдонимом (samlcert), следуя шагам в разделе Импорт сертификата на портал, и перезапустите портал.
Примечание:
В данный момент, Произвести выход в провайдер аутентификации и URL-адрес выхода не поддерживаются.
- Щелкните Сохранить.
Регистрация Portal for ArcGIS в качестве проверенного провайдера сервиса в OpenAM
- Настройте размещаемого провайдера IDP в OpenAM.
- Выполните вход в консоль администрирования OpenAM. Обычно она доступна по адресу https://servername:port/<deploy_uri>/console.
- На вкладке Общие задачи щелкните Создать провайдера аутентификации.
- Создайте провайдера идентификации IDP и добавьте его в Круг доверия. Вы можете добавить его в существующий круг, если он уже есть, или создать новый.
- По умолчанию размещенный провайдер идентификации IDP работает с OpenDJ, встроенным хранилищем пользователей, которое входит в комплект OpenAM. Если вы хотите подключить OpenAM к любому другому хранилищу пользователей, например, Active Directory, необходимо создать новый источник данных на вкладке Управление доступом основной консоли администрирования OpenAM.
- Настройка Portal for ArcGIS в качестве доверенного провайдера сервиса в OpenAM.
- Получите файл метаданных вашей организации портала и сохраните его как XML-файл.
Для получения файла метаданных войдите в вашу организацию в качестве администратора и откройте страницу вашей организации. Щелкните вкладку Настройки, затем Безопасность в левой части страницы. В разделе Учетные записи, секции Корпоративные, щелкните кнопку Загрузить метаданные провайдера сервиса.
- В консоли администрирования OpenAM, в разделе Общие задачи щелкните Зарегистрировать удаленного провайдера сервиса.
- Выберите опцию Файл для метаданных и загрузите XML-файл метаданных, сохраненный в предыдущем шаге.
- Добавьте этого провайдера сервиса в тот же круг доверия, в который вы добавили своего провайдера идентификации.
- Получите файл метаданных вашей организации портала и сохраните его как XML-файл.
- Настройте формат NameID и атрибуты, которые OpenAM будет отправлять в Portal for ArcGIS после аутентификации пользователя.
- В консоли администрирования OpenAM щелкните вкладку Интеграция. На этой вкладке находится круг доверия, который вы добавили ранее, провайдер сервиса и идентификации.
- В разделе Провайдеры аутентификаций щелкните на вашем провайдере идентификации IDP.
- На вкладке Содержание утверждений в поле Формат ID имени, убедитесь, что urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified указан наверху. Это формат поля NameID, которое Portal for ArcGIS будет запрашивать при SAML-запросе к OpenAM.
- В поле Карта значений ID имени сопоставьте атрибут пользовательского профиля, например, mail или upn, который будет возвращаться как NameID в Portal for ArcGIS после аутентификации пользователя.
Пример: urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified =upn
- Щелкните вкладку Содержание утверждений для провайдера идентификации. В разделе Сопоставление атрибутов настройте атрибуты из профиля пользователя, которые вы бы хотели отправлять в Portal for ArcGIS.
Щёлкните Сохранить, чтобы сохранить формат NameID, и содержание атрибутов будет изменено.
- На вкладке Интеграция в консоли администрирования OpenAM к провайдеру сервиса Portal for ArcGIS в разделе Провайдеры аутентификаций.
- На вкладке Содержание утверждений в разделе Шифрование выберите опцию Утверждения, если была выбрана дополнительная настройка Шифровать утверждения при регистрации OpenAM в качестве корпоративного провайдера идентификации IDP Portal for ArcGIS.
- На вкладке Формат ID имени проверьте, что urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified указан наверху списка. Это формат поля NameID, которое Portal for ArcGIS будет запрашивать при SAML-запросе к OpenAM..
- Щелкните вкладку Содержание утверждений для провайдера идентификации. В разделе Сопоставление атрибутов настройте атрибуты из профиля пользователя, которые вы бы хотели отправлять в Portal for ArcGIS.
- Щёлкните Сохранить, чтобы сохранить формат Name ID, и содержание атрибутов будет изменено.
- Перезапустите веб-сервер, на котором развернут OpenAM.