Sie können OpenAM 10.1.0 und höhere Versionen als IDP für SAML-Anmeldungen in ArcGIS Enterprise konfigurieren. Die Konfiguration umfasst zwei Hauptschritte: die Registrierung des SAML-IDP bei ArcGIS Enterprise und die Registrierung von ArcGIS Enterprise beim SAML-IDP.
Hinweis:
Um sicherzustellen, dass die SAML-Anmeldenamen sicher konfiguriert werden, informieren Sie sich über die Best Practices für die SAML-Sicherheit.
Erforderliche Informationen
ArcGIS Enterprise erfordert das Empfangen bestimmter Attributinformationen vom Identity-Provider, wenn ein Benutzer sich mit SAML-Anmeldenamen anmeldet. Das Attribut NameID ist ein erforderliches Attribut, das von Ihrem Identity-Provider in der SAML-Antwort gesendet werden muss, damit der Verbund hergestellt werden kann. Da ArcGIS Enterprise einen Named User anhand des Wertes NameID eindeutig identifiziert, empfiehlt sich die Verwendung eines konstanten Wertes zur eindeutigen Identifizierung des Benutzers. Wenn sich ein Benutzer des IDP anmeldet, erstellt die ArcGIS Enterprise-Organisation im eigenen Benutzerspeicher einen neuen Benutzer mit dem Benutzernamen NameID. Die zulässigen Zeichen für den von NameID gesendeten Wert sind alphanumerische Zeichen, _ (Unterstrich), . (Punkt) und @ (At-Zeichen). Für alle anderen Zeichen werden Escapezeichen verwendet, sodass der von ArcGIS Enterprise erstellte Benutzername stattdessen Unterstriche enthält.
ArcGIS Enterprise unterstützt die Übernahme der E-Mail-Adresse, der Gruppenmitgliedschaften, des angegebenen Namens und des Nachnamens eines Benutzers vom SAML-Identity-Provider.
Registrieren von OpenAM als SAML-IDP bei ArcGIS Enterprise
- Überprüfen Sie, ob Sie als Administrator Ihrer Organisation angemeldet sind.
- Klicken Sie im oberen Bereich der Seite auf Organisation und dann auf die Registerkarte Einstellungen.
- Klicken Sie links auf der Seite auf Sicherheit.
- Klicken Sie im Abschnitt Anmeldungen auf die Schaltfläche SAML-Anmeldung einrichten und wählen Sie die Option Ein Identity-Provider aus. Geben Sie auf der Seite Eigenschaften angeben den Namen der Organisation ein (z. B. City of Redlands). Wenn Benutzer auf die Website der Organisation zugreifen, wird dieser Text als Teil der SAML-Anmeldeoption angezeigt (z. B. Mit City of Redlands -Konto).
Hinweis:
Sie können nur einen SAML-Identity-Provider (IDP) oder einen Verbund von IDPs für Ihr Portal registrieren.
- Wählen Sie Automatisch oder Auf Einladung eines Administrators aus, um anzugeben, wie Benutzer der Organisation beitreten können. Durch Auswahl der ersten Option können sich Benutzer mit ihrem SAML-Anmeldenamen bei der Organisation anmelden, ohne dass ein Administrator eingreifen muss. Deren Konto wird bei der ersten Anmeldung automatisch bei der Organisation registriert. Die zweite Option erfordert, dass der Administrator die erforderlichen Konten mit einem Befehlszeilendienstprogramm beim Portal registriert. Nachdem die Konten registriert wurden, können sich die Benutzer bei der Organisation anmelden.
Tipp:
Es wird empfohlen, mindestens ein SAML-Konto als Administrator des Portals festzulegen und das initiale Administratorkonto herabzustufen oder zu löschen. Es wird empfohlen, die Schaltfläche Konto erstellen auf der Portal-Website zu deaktivieren, damit Benutzer keine eigenen Konten erstellen können. Vollständige Anweisungen finden Sie unter Konfigurieren eines SAML-kompatiblen Identity Providers mit dem Portal.
- Stellen Sie mithilfe einer der folgenden drei Optionen Metadateninformationen für den Identity-Provider bereit:
- URL: Wählen Sie diese Option aus, wenn ArcGIS Enterprise Zugriff auf die URL der OpenAM-Verbundmetadaten hat. Die URL lautet in der Regel https://<host>:<port>/openam/saml2/jsp/exportmetadata.jsp.
Hinweis:
Wenn Ihr SAML-Identity-Provider ein selbstsigniertes Zertifikat beinhaltet, kann ein Fehler auftreten, wenn Sie versuchen, die HTTPS-URL der Metadaten anzugeben. Dieser Fehler tritt auf, da ArcGIS Enterprise das selbstsignierte Zertifikat des Identity-Providers nicht überprüfen kann. Verwenden Sie alternativ HTTP in der URL, eine der Optionen unten, oder konfigurieren Sie Ihren Identity-Provider mit einem vertrauenswürdigen Zertifikat.
- Datei: Wählen Sie diese Option aus, wenn ArcGIS Enterprise keinen Zugriff auf die URL hat. Rufen Sie die Metadaten aus der obigen URL ab, speichern Sie sie als XML-Datei, und laden Sie die Datei hoch.
- Hier angegebene Parameter: Wählen Sie diese Option, wenn kein Zugriff auf die URL oder die Verbundmetadatendatei besteht. Geben Sie die Werte manuell ein, und stellen Sie die angeforderten Parameter bereit: die Anmelde-URL und das Zertifikat, codiert im Base64-Format. Wenden Sie sich an Ihren OpenAM-Administrator, um diese Informationen zu erhalten.
- URL: Wählen Sie diese Option aus, wenn ArcGIS Enterprise Zugriff auf die URL der OpenAM-Verbundmetadaten hat. Die URL lautet in der Regel https://<host>:<port>/openam/saml2/jsp/exportmetadata.jsp.
- Konfigurieren Sie die erweiterten Einstellungen je nach Bedarf:
- Assertion verschlüsseln: Aktivieren Sie diese Option, wenn OpenAM zur Verschlüsselung von Antworten auf SAML-Assertionen konfiguriert wird.
- Signierte Anforderung aktivieren: Aktivieren Sie diese Option, wenn ArcGIS Enterprise die an OpenAM gesendete SAML-Authentifizierungsanforderung signieren soll.
- Entitäts-ID: Aktualisieren Sie diesen Wert, wenn für die eindeutige Identifizierung Ihres Portals bei OpenAM eine neue Entitäts-ID verwendet werden soll.
- Profile beim Anmelden aktualisieren: Aktivieren Sie diese Option, wenn ArcGIS Enterprise die Attribute givenName und email address der Benutzer aktualisieren soll, falls diese sich seit der letzten Anmeldung geändert haben.
- SAML-basierte Gruppenmitgliedschaft aktivieren: Aktivieren Sie diese Option, damit Mitglieder der Organisation bestimmte SAML-basierte Gruppen während der Gruppenerstellung mit ArcGIS Enterprise-Gruppen verknüpfen können.
Die Einstellungen Assertion verschlüsseln und Signierte Anforderung aktivieren verwenden das Zertifikat samlcert im Keystore des Portals. Um ein neues Zertifikat zu verwenden, löschen Sie das Zertifikat samlcert, erstellen Sie ein Zertifikat mit demselben Alias (samlcert), führen Sie die Schritte unter Importieren eines Zertifikats in das Portal aus, und starten Sie das Portal neu.
Hinweis:
Abmeldung an Identity-Provider propagieren und Abmelde-URL werden derzeit nicht unterstützt.
- Klicken Sie auf Speichern.
Registrieren von ArcGIS Enterprise als vertrauenswürdiger Service-Provider bei OpenAM
- Konfigurieren Sie einen gehosteten Identity-Provider in OpenAM.
- Melden Sie sich bei der OpenAMOpenAM-Verwaltungskonsole an. Diese ist in der Regel unter https://servername:port/<deploy_uri>/console verfügbar.
- Klicken Sie auf der Registerkarte Gängige Tasks auf Gehosteten Identity-Provider erstellen.
- Erstellen Sie einen gehosteten Identity-Provider und fügen Sie diesen einem Circle of Trust hinzu. Sie können ihn einem bereits vorhandenen "Circle of Trust" hinzufügen oder Sie können einen neuen "Circle of Trust" erstellen.
- Der gehostete Identity-Provider arbeitet standardmäßig mit OpenDJ, einem eingebetteten Benutzerspeicher, der in OpenAM integriert wird. Wenn Sie OpenAM mit anderen Benutzerspeichern wie Active Directory verbinden möchten, müssen Sie eine neue Datenquelle auf der Registerkarte Zugriffssteuerung der Haupt-OpenAM-Verwaltungskonsole erstellen.
- Konfigurieren von ArcGIS Enterprise als vertrauenswürdigen Service-Provider bei OpenAM
- Rufen Sie die Metadatendatei Ihres Portals auf, und speichern Sie sie als XML-Datei.
Um die Metadatendatei abzurufen, melden Sie sich als Administrator bei der Organisation an, und öffnen Sie die Organisationsseite. Klicken Sie auf die Registerkarte Einstellungen und dann links auf der Seite auf Sicherheit. Klicken Sie im Abschnitt Anmeldungen unter SAML-Anmeldung auf die Schaltfläche Service-Provider-Metadaten herunterladen.
- Klicken Sie in der OpenAM-Verwaltungskonsole unter Gängige Tasks auf Remote-Service-Provider registrieren.
- Wählen Sie die Option Datei für die Metadaten und laden Sie die im vorherigen Schritt gespeicherte Metadaten-XML hoch.
- Fügen Sie diesen Service-Provider demselben "Circle of Trust" hinzu, dem Sie Ihren Identity-Provider hinzugefügt haben.
- Rufen Sie die Metadatendatei Ihres Portals auf, und speichern Sie sie als XML-Datei.
- Konfigurieren Sie das NameID-Format und die Attribute, die OpenAM zum Senden an ArcGIS Enterprise benötigt, nachdem der Benutzer authentifiziert wurde.
- Klicken Sie in der OpenAM-Verwaltungskonsole auf die Registerkarte Verbindung. Die Registerkarte enthält den zuvor hinzugefügten "Circle of Trust" sowie die Service- und Identity-Provider.
- Klicken Sie unter Entity Providers auf Ihren Identity-Provider.
- Überprüfen Sie auf der Registerkarte Assertion Content unter Name ID Format, ob urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified oben aufgelistet ist. Dies ist das Format der NameID, die ArcGIS Enterprise in seiner SAML-Anforderung an OpenAM anfordert.
- Ordnen Sie unter Name ID Value Map ein Attribut aus dem Profil des Benutzers zu, beispielsweise mail oder upn, das nach der Authentifizierung des Benutzers als NameID an ArcGIS Enterprise zurückgegeben wird.
Beispiel: urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified =upn
- Klicken Sie im Identity-Provider auf die Registerkarte Assertion Processing. Konfigurieren Sie unter Attribute Mapper die Attribute aus dem Benutzerprofil, die an ArcGIS Enterprise gesendet werden sollen.
Klicken Sie auf Speichern, um das NameID-Format und die Änderungen der Attributinhalte zu speichern.
- Navigieren Sie auf der Registerkarte Verbindung der OpenAM-Verwaltungskonsole unter Entitäts-Provider zum ArcGIS Enterprise-Service-Provider.
- Aktivieren Sie auf der Registerkarte Assertion Content unter Verschlüsselung die Option Assertion, wenn Sie bei der Registrierung von OpenAM als SAML-IDP bei ArcGIS Enterprise die erweiterte Einstellung Assertion verschlüsseln ausgewählt haben.
- Überprüfen Sie unter Name ID Format, ob urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified oben aufgelistet ist. Dies ist das Format der NameID, die ArcGIS Enterprise in seiner SAML-Anforderung an OpenAM anfordert.
- Klicken Sie im IDP auf die Registerkarte Assertion Processing. Konfigurieren Sie unter Attribute Mapper die Attribute aus dem Benutzerprofil, die an ArcGIS Enterprise gesendet werden sollen.
- Klicken Sie auf Speichern, um das Name ID Format und die Änderungen der Attributinhalte zu speichern.
- Starten Sie den Webserver neu, auf dem OpenAM bereitgestellt wird.