Die Organisation kann mithilfe von SAML (Security Assertion Markup Language) ihre Computerbenutzer authentifizieren und den Zugriff auf webfähige Ressourcen autorisieren. Dazu wird ein einziger SAML-kompatibler Identity-Provider (IDP) für die Benutzerauthentifizierung konfiguriert. Die Webressourcen der Organisation werden auf einem oder mehreren Service-Providern gehostet, die die Autorisierung des Zugriffs auf die Webressourcen übernehmen. Die Organisation selbst verfügt über die vollständige Kontrolle für die Verwaltung des IDPs und der Service-Provider. Damit die SAML-basierte Authentifizierung und Autorisierung unterstützt wird, muss jeder Service-Provider der Organisation für die Arbeit beim IDP registriert werden. Jeder Service-Provider kann nur bei einem einzigen IDP registriert werden.
Über SAML können Sie Ressourcen auch für mehrere unabhängig voneinander verwaltete Organisationen freigeben. Möglich wird dies durch Entitäten für die Verbundverwaltung, die die SAML-basierte Freigabe von Ressourcen zwischen den Mitgliedsorganisationen ermöglichen. Eine Mitgliedsorganisation, die ihre Webressourcen im Verbund freigeben möchte, reserviert einen oder mehrere Service-Provider ausschließlich für die Arbeit im Verbund. Um auf eine gesicherte Ressource, die für den Verbund freigegeben wurde, zuzugreifen, authentifiziert ein Benutzer seine Identität beim IDP seiner Home-Organisation. Nach der erfolgreichen Authentifizierung wird diese geprüfte Identität für den Service-Provider, der die gesicherte Ressource hostet, bereitgestellt. Der Service-Provider erteilt dann den Zugriff auf die Ressource, nachdem die Zugriffsberechtigungen des Benutzers überprüft wurden.
In 10.6.1 kann Ihr ArcGIS Enterprise-Portal mit einem SAML-basierten Verbund aus IDPs konfiguriert werden. Das Portal greift auf den im Verbund gehosteten Discovery-Service zu, der eine Liste der am Verbund beteiligten Identity-Provider und Service-Provider bereitstellt.
Einige gängige SAML-basierte Identity-Provider im Verbund sind InCommon, eduGAIN, SWITCHaai, DFN-AAI und die UK Access Management Federation.
Konfigurieren des Verbunds mit dem Portal
Gehen Sie folgendermaßen vor, um einen SAML-basierten Verbund von Identity-Providern für Ihr Portal zu konfigurieren:
- Melden Sie sich als Administrator bei der Portal-Website an, und klicken Sie auf Organisation > Einstellungen > Sicherheit.
- Klicken Sie im Abschnitt Anmeldungen auf die Schaltfläche SAML-Anmeldung einrichten und wählen Sie die Option Ein Identity-Provider aus. Geben Sie auf der Seite Eigenschaften angeben den Namen Ihres Verbunds ein. Die Beschreibung wird den Benutzern beim Zugriff auf das Portal als Teil der SAML-Anmeldeoption angezeigt.
- Wählen Sie aus, wie Ihre Benutzer der Portal-Organisation beitreten können:
- Automatisch: Bei dieser Option können sich Benutzer mit ihrem organisationsspezifischen Anmeldenamen bei der Organisation anmelden, ohne die entsprechende Berechtigung von ihrem Administrator zu benötigen, da ihr Konto bei der ersten Anmeldung automatisch beim Portal registriert wird.
- Auf Einladung eines Administrators: Bei dieser Option muss der Administrator der Organisation die erforderlichen Konten mit einem Befehlszeilendienstprogramm oder Python-Skript bei der Organisation registrieren.
Hinweis:
Esri empfiehlt, mindestens ein SAML-Konto als Administrator Ihres Portals festzulegen und die Schaltfläche Konto erstellen im Portal zu deaktivieren, damit Benutzer keine eigenen Konten erstellen können. Weitere Informationen finden Sie weiter unten im Abschnitt Festlegen eines SAML-Kontos als Administrator.
- Geben Sie die URL zum im Verbund gehosteten zentralen IDP-Discovery-Service an, wie zum Beispiel https://wayf.samplefederation.com/WAYF.
- Geben Sie die URL zu den Verbundmetadaten an. Dies ist eine Aggregation der Metadaten aller am Verbund beteiligten Identity-Provider und Service-Provider.
- Kopieren Sie das im Base64-Format codierte Zertifikat über die Zwischenablage. Dieses Zertifikat ermöglicht dem Portal die Prüfung der Gültigkeit der Verbundmetadaten.
- Konfigurieren Sie erweiterte Einstellungen je nach Bedarf:
- Assertion verschlüsseln: Aktivieren Sie diese Option, um den SAML-Identity-Provider darüber zu informieren, dass Ihr Portal verschlüsselte Antworten auf SAML-Assertionen unterstützt. Wenn diese Option ausgewählt ist, verschlüsselt der Identity-Provider den Assertionsteil der SAML-Antwort. Obwohl der gesamte SAML-Datenverkehr zum und vom Portal durch die Verwendung von HTTPS bereits verschlüsselt ist, wird mit dieser Option eine weitere Verschlüsselungsebene hinzugefügt.
- Signierte Anforderung aktivieren: Aktivieren Sie diese Option, wenn das Portal die an den IDP gesendete SAML-Authentifizierungsanforderung signieren soll. Durch das Signieren der ersten Anmeldeanforderung, die durch das Portal gesendet wird, kann der IDP überprüfen, ob alle Anmeldeanforderungen von einem vertrauenswürdigen Service-Provider stammen.
- Abmeldung an Identity-Provider propagieren: Aktivieren Sie diese Option, damit das Portal eine Abmelde-URL verwendet, um den Benutzer vom IDP abzumelden. Wenn Sie diese Option auswählen, dann geben Sie die URL ein, die in der Einstellung Abmelde-URL verwendet werden soll. Wenn der IDP eine Signierung der Abmelde-URL erfordert, muss die Option Signierte Anforderung aktivieren ebenfalls aktiviert sein. Wenn diese Option nicht aktiviert wurde, wird der Benutzer beim Klicken auf Abmelden im Portal vom Portal, jedoch nicht vom Identity-Provider abgemeldet. Wenn der Web-Browser-Cache des Benutzers nicht gelöscht wird, führt der Versuch, sich mit der Option für organisationsspezifische Anmeldenamen direkt wieder beim Portal anzumelden, zur sofortigen Anmeldung, ohne Anmeldeinformationen für den IDP eingeben zu müssen. Dies stellt ein Sicherheitsrisiko dar, wenn ein Computer verwendet wird, der für nicht autorisierte Benutzer oder die allgemeine Öffentlichkeit leicht zugänglich ist.
- Profile beim Anmelden aktualisieren: Aktivieren Sie diese Option, wenn das Portal die Attribute "givenName" und "email address" der Benutzer aktualisieren soll, falls diese sich seit der letzten Anmeldung geändert haben. Diese Option ist standardmäßig ausgewählt.
- Entitäts-ID: Aktualisieren Sie diesen Wert, wenn für die eindeutige Identifizierung der Portal-Organisation beim SAML-Verbund eine neue Entitäts-ID verwendet werden soll.
Registrieren des Portals als vertrauenswürdiger Service-Provider beim SAML-Verbund
Um den Konfigurationsprozess abzuschließen, müssen Sie eine vertrauenswürdige Verbindung mit dem Discovery-Service des Verbunds und dem IDP Ihrer Organisation einrichten, indem Sie die Service-Provider-Metadaten des Portals bei ihnen registrieren. Zum Abrufen dieser Metadaten gibt es zwei Möglichkeiten:
- Klicken Sie im Abschnitt Sicherheit der Seite Einstellungen Ihrer Organisation auf die Schaltfläche Service-Provider-Metadaten herunterladen, um die Metadatendatei für Ihre Organisation herunterzuladen.
- Öffnen Sie die URL der Metadaten, und speichern Sie sie als XML-Datei auf Ihrem Computer. Die URL lautet https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, beispielsweise https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Sie können ein Token mit https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken generieren. Wenn Sie die URL auf der Seite Token erstellen eingeben, geben Sie den vollständig qualifizierten Domänennamen des Identity-Provider-Servers in das Feld Webanwendungs-URL ein. Die Auswahl einer anderen Option wie IP-Adresse oder IP-Adresse des Ursprungs dieser Anforderung wird nicht unterstützt und kann dazu führen, dass ein ungültiges Token erstellt wird.
Nachdem Sie die Service-Provider-Metadaten heruntergeladen haben, bitten Sie die Administratoren des SAML-Verbunds um Anweisungen zum Integrieren der Metadaten in die aggregierte Metadatendatei des Verbunds. Sie benötigen von den Administratoren auch Anweisungen zum Registrieren Ihres Identity Providers beim Verbund.
Definieren Sie ein SAML-Konto als Administratorkonto.
Die Vorgehensweise beim Festlegen eines SAML-Kontos als Administrator des Portals hängt davon ab, ob Benutzer der Organisation Automatisch oder Auf Einladung eines Administrators beitreten können.
Wenn Benutzer der Organisation automatisch beitreten können
Wenn Sie die Option ausgewählt haben, die Benutzern den Beitritt zur Organisation Automatisch gewährt, öffnen Sie das Portal, während Sie mit dem SAML-Konto angemeldet sind, das Sie als Administrator der Organisation verwenden möchten.
Wenn ein Konto dem Portal automatisch hinzugefügt wird, wird ihm die Rolle „Benutzer“ zugewiesen. Nur ein Administrator der Organisation kann die Rolle eines Kontos ändern. Sie müssen sich deshalb mit dem initialen Administratorkonto beim Portal anmelden und der Administratorrolle ein SAML-Konto zuweisen.
- Öffnen Sie das Portal, klicken Sie auf die Option zum Anmelden mit einem Identity-Provider für SAML, und geben Sie die Anmeldeinformationen des SAML-Kontos ein, das Sie als Administrator verwenden möchten. Wenn dieses Konto einem anderen Benutzer zugeordnet ist, muss dieser Benutzer sich bei dem Portal anmelden, damit das Konto beim Portal registriert wird.
- Überprüfen Sie, ob das Konto dem Portal hinzugefügt wurde, und klicken Sie auf Abmelden. Löschen Sie den Browser-Cache und die Cookies.
- Öffnen Sie im Browser das Portal, klicken Sie auf die Option zum Anmelden mit einem integrierten Portal-Konto, und geben Sie die Anmeldeinformationen des initialen Administratorkontos ein, das Sie beim Einrichten von Portal for ArcGIS erstellt haben.
- Suchen Sie das SAML-Konto, das Sie zum Verwalten des Portals verwenden, und ändern Sie die Rolle in Administrator. Klicken Sie auf Abmelden.
Das ausgewählte SAML-Konto ist nun ein Administrator des Portals.
Manuelles Hinzufügen von SAML-Konten zum Portal
Wenn Sie die Option ausgewählt haben, damit Benutzer der Organisation nur Auf Einladung eines Administrators beitreten können, müssen Sie die erforderlichen Konten mit dem Befehlszeilendienstprogramm oder dem Beispiel-Python-Skript bei der Organisation registrieren. Vergewissern Sie sich, dass für ein Enterprise-Konto, das zum Verwalten des Portals verwendet wird, die Rolle Administrator ausgewählt ist.
Herabstufen oder Löschen des initialen Administratorkontos
Da Sie nun über ein alternatives Administratorkonto für die Organisation verfügen, können Sie dem initialen Administratorkonto die Rolle Benutzer zuweisen oder das Konto löschen. Weitere Informationen finden Sie unter Initiales Administratorkonto.
Verhindern einer Erstellung eigener Konten durch Benutzer
Sie können verhindern, dass Benutzer eigene integrierte Konten erstellen, indem Sie die Möglichkeit der Erstellung neuer integrierter Konten durch Benutzer in den Organisationseinstellungen deaktivieren.
Deaktivieren der Anmeldung mit ArcGIS-Konten
Wenn Sie verhindern möchten, dass sich Benutzer mit einem ArcGIS-Konto beim Portal anmelden, können Sie die Schaltfläche ArcGIS-Anmeldung auf der Anmeldeseite deaktivieren, indem Sie die folgenden Schritte ausführen.
- Melden Sie sich als Administrator Ihrer Organisation beim Portal an, und klicken Sie auf Organisation > Einstellungen > Sicherheit.
- Deaktivieren Sie im Abschnitt Anmeldungen die Umschaltfläche für ArcGIS-Anmeldung.
Auf der Anmeldeseite wird die Schaltfläche zur Anmeldung beim Portal mithilfe des Identity-Provider-Kontos angezeigt, und die Schaltfläche zur Anmeldung unter Verwendung einer ArcGIS-Anmeldung ist nicht verfügbar. Sie können Mitglieder-Anmeldenamen für ArcGIS-Konten erneut aktivieren, indem Sie die Option ArcGIS-Anmeldung unter Anmeldungen aktivieren.
Ändern oder Entfernen des Identity-Providers für SAML
Wenn Sie einen Verbund eingerichtet haben, können Sie dessen Einstellungen aktualisieren, indem Sie neben dem Verbund auf die Schaltfläche Bearbeiten klicken. Aktualisieren Sie die Einstellungen im Fenster SAML-Anmeldung bearbeiten.
Um den Verbund aus dem Portal zu entfernen, klicken Sie neben dem Verbund auf die Schaltfläche Bearbeiten und dann im Fenster SAML-Anmeldung bearbeiten auf Anmeldung löschen. Wenn Sie ihn entfernt haben, können Sie optional einen neuen Identity-Provider oder Verbund aus Identity-Providern einrichten.