Konfigurieren von NetIQ Access Manager

Sie können NetIQ Access Manager 3.2 und höhere Versionen als IDP für SAML-Anmeldungen in Portal for ArcGIS konfigurieren. Die Konfiguration umfasst zwei Hauptschritte: die Registrierung des SAML-IDPs bei Portal for ArcGIS und die Registrierung von Portal for ArcGIS beim SAML-IDP.

Hinweis:

Um sicherzustellen, dass die SAML-Anmeldenamen sicher konfiguriert werden, informieren Sie sich über die Best Practices für die SAML-Sicherheit.

Erforderliche Informationen

Portal for ArcGIS erfordert das Empfangen bestimmter Attributinformationen vom Identity-Provider, wenn ein Benutzer sich mit SAML-Anmeldenamen anmeldet. Das Attribut NameID ist ein erforderliches Attribut, das von Ihrem Identity-Provider in der SAML-Antwort gesendet werden muss, damit der Verbund mit Portal for ArcGIS hergestellt werden kann. Da Portal for ArcGIS einen Named User anhand des Wertes NameID eindeutig identifiziert, empfiehlt sich die Verwendung eines konstanten Wertes zur eindeutigen Identifizierung des Benutzers. Wenn sich ein Benutzer des IDP anmeldet, erstellt Portal for ArcGIS im eigenen Benutzerspeicher einen neuen Benutzer mit dem Benutzernamen NameID. Die zulässigen Zeichen für den von NameID gesendeten Wert sind alphanumerische Zeichen, _ (Unterstrich), . (Punkt) und @ (At-Zeichen). Für alle anderen Zeichen werden Escapezeichen verwendet, sodass der von Portal for ArcGIS erstellte Benutzername stattdessen Unterstriche enthält.

Portal for ArcGIS unterstützt die Übernahme der E-Mail-Adresse, der Gruppenmitgliedschaften, des angegebenen Namens und des Nachnamens eines Benutzers vom SAML-Identity-Provider.

Registrieren von NetIQ Access Manager als SAML-IDP bei Portal for ArcGIS

  1. Überprüfen Sie, ob Sie als Administrator Ihrer Organisation angemeldet sind.
  2. Klicken Sie im oberen Bereich der Seite auf Organisation und dann auf die Registerkarte Einstellungen.
  3. Klicken Sie links auf der Seite auf Sicherheit.
  4. Klicken Sie im Abschnitt Anmeldungen auf die Schaltfläche SAML-Anmeldung einrichten und wählen Sie die Option Ein Identity-Provider aus. Geben Sie auf der Seite Eigenschaften angeben den Namen der Organisation ein (z. B. City of Redlands). Wenn Benutzer auf die Website der Organisation zugreifen, wird dieser Text als Teil der SAML-Anmeldeoption angezeigt (z. B. Mit City of Redlands -Konto).
    Hinweis:

    Sie können nur einen SAML-Identity-Provider (IDP) oder einen Verbund von IDPs für Ihr Portal registrieren.

  5. Wählen Sie Automatisch oder Auf Einladung eines Administrators aus, um anzugeben, wie Benutzer der Organisation beitreten können. Durch Auswahl der ersten Option können sich Benutzer mit ihrem SAML-Anmeldenamen bei der Organisation anmelden, ohne dass ein Administrator eingreifen muss. Deren Konto wird bei der ersten Anmeldung automatisch bei der Organisation registriert. Die zweite Option erfordert, dass der Administrator die erforderlichen Konten mit einem Befehlszeilendienstprogramm oder Beispiel-Python-Skript beim Portal registrieren. Nachdem die Konten registriert wurden, können sich die Benutzer bei der Organisation anmelden.
    Tipp:

    Es wird empfohlen, mindestens ein Enterprise-Konto als Administrator des Portals festzulegen und das initiale Administratorkonto herabzustufen oder zu löschen. Es wird empfohlen, die Schaltfläche Konto erstellen auf der Portal-Website zu deaktivieren, damit Benutzer keine eigenen Konten erstellen können. Vollständige Anweisungen finden Sie unter Konfigurieren eines SAML-kompatiblen Identity Providers mit dem Portal.

  6. Stellen Sie mithilfe einer der folgenden drei Optionen Metadateninformationen für den Identity-Provider bereit:
    • URL: Wählen Sie diese Option aus, wenn NetIQ Access Manager Zugriff auf die URL der Portal for ArcGIS-Verbundmetadaten hat. Auf dem Computer, auf dem NetIQ Access Manager ausgeführt wird, lautet die URL in der Regel https://<host>:<port>/nidp/saml2/metadata.
      Hinweis:

      Wenn Ihr SAML-Identity-Provider ein selbstsigniertes Zertifikat beinhaltet, kann ein Fehler auftreten, wenn Sie versuchen, die HTTPS-URL der Metadaten anzugeben. Dieser Fehler tritt auf, da Portal for ArcGIS das selbstsignierte Zertifikat des Identity Providers nicht überprüfen kann. Verwenden Sie alternativ HTTP in der URL, eine der Optionen unten, oder konfigurieren Sie Ihren Identity-Provider mit einem vertrauenswürdigen Zertifikat.

    • Datei: Wählen Sie diese Option aus, wenn ArcGIS Enterprise keinen Zugriff auf die URL hat. Rufen Sie die Metadaten aus der obigen URL ab, speichern Sie sie als XML-Datei, und laden Sie die Datei hoch.
    • Hier angegebene Parameter: Wählen Sie diese Option, wenn kein Zugriff auf die URL oder die Verbundmetadatendatei besteht. Geben Sie die Werte manuell ein, und stellen Sie die angeforderten Parameter bereit: die Anmelde-URL und das Zertifikat, codiert im Base64-Format. Wenden Sie sich an Ihren NetIQ Access Manager-Administrator, um diese Informationen zu erhalten.
  7. Konfigurieren Sie die erweiterten Einstellungen je nach Bedarf:
    • Assertion verschlüsseln: Aktivieren Sie diese Option, wenn NetIQ Access Manager zur Verschlüsselung von Antworten auf SAML-Assertionen konfiguriert wird.
    • Signierte Anforderung aktivieren: Aktivieren Sie diese Option, wenn Portal for ArcGIS die an SAML gesendete NetIQ Access Manager-Authentifizierungsanforderung signieren soll.
    • Abmeldung an Identity-Provider propagieren: Aktivieren Sie diese Option, damit Portal for ArcGIS eine Abmelde-URL verwendet, um den Benutzer von Net IQ Access Manager abzumelden. Geben Sie die URL ein, die in der Einstellung Abmelde-URL verwendet werden soll. Wenn der IDP eine Signierung der Abmelde-URL erfordert, muss die Option Signierte Anforderung aktivieren aktiviert sein.
    • Profile beim Anmelden aktualisieren: Aktivieren Sie diese Option, wenn ArcGIS Enterprise die Attribute givenName und email address der Benutzer aktualisieren soll, falls diese sich seit der letzten Anmeldung geändert haben.
    • SAML-basierte Gruppenmitgliedschaft aktivieren: Aktivieren Sie diese Option, damit Mitglieder der Organisation bestimmte SAML-basierte Enterprise-Gruppen während der Gruppenerstellung mit ArcGIS Enterprise-Gruppen verknüpfen können.
    • Abmelde-URL: Die URL des Identity Providers, die zum Abmelden des aktuell angemeldeten Benutzers verwendet werden soll. Dieser Wert wird automatisch eingetragen, sofern er in der IDP-Metadatendatei definiert wurde. Gegebenenfalls muss diese URL aktualisiert werden.
    • Entitäts-ID: Aktualisieren Sie diesen Wert, wenn für die eindeutige Identifizierung Ihres Portals bei NetIQ Access Manager eine neue Entitäts-ID verwendet werden soll.

    Die Einstellungen Assertion verschlüsseln und Signierte Anforderung aktivieren verwenden das Zertifikat samlcert im Keystore des Portals. Um ein neues Zertifikat zu verwenden, löschen Sie das Zertifikat samlcert, erstellen Sie ein Zertifikat mit demselben Alias (samlcert), führen Sie die Schritte unter Importieren eines Zertifikats in das Portal aus, und starten Sie das Portal neu.

  8. Klicken Sie auf Speichern.

Registrieren von Portal for ArcGIS als vertrauenswürdiger Service-Provider bei NetIQ Access Manager

  1. Konfigurieren Sie ein Attribute Set.

    Führen Sie die folgenden Schritte aus, um ein neues Attribute Set zu erstellen, sodass die Attribute nach der Authentifizierung des Benutzers als Teil der Portal for ArcGIS-Assertion an SAML gesendet werden können. Wenn Sie über ein Attribute Set verfügen, das bereits in NetIQ Access Manager konfiguriert ist, können Sie es ebenso verwenden.

    1. Melden Sie sich bei der NetIQ Access ManagerNetIQ Access Manager-Verwaltungskonsole an. Diese ist in der Regel unter https://<host>:<port>/nps verfügbar.
    2. Navigieren Sie in der NetIQ-Verwaltungskonsole zu Ihrem Identity-Server, und klicken Sie auf die Registerkarte Shared Settings. Unter Attribute Sets werden alle Attribute Sets angezeigt, die Sie bereits erstellt haben. Klicken Sie auf New, und erstellten Sie ein neues Attribute Set. .Geben Sie unter Set Name Portal ein, und klicken Sie auf Next.
    3. Definieren Sie die Attributzuordnungen, und fügen Sie sie zum Attribut Set zu, die Sie im vorherigen Schritt erstellt haben.

    Klicken Sie auf den Link Neu, und fügen Sie beliebige neue Attributzuordnungen hinzu. Die folgenden Bildschirmaufnahmen zeigen, wie Attributzuordnungen für givenName, email address und uid hinzugefügt werden. Sie können anstelle dieser Beispiele beliebige Attribute aus der Authentifizierungsquelle auswählen.

    givenName attribute
    email attribute
    uid attribute

    Klicken Sie im Assistenten Create Attribute Set auf Finish. Damit wird ein neues Attribute Set mit dem Namen Portal erstellt.

  2. Führen Sie die folgenden Schritte aus, um Portal for ArcGIS als vertrauenswürdigen Provider zu NetIQ Access Manager hinzuzufügen.
    1. Melden Sie sich bei der NetIQ-Verwaltungskonsole an, wählen Sie den Identity-Server aus, und klicken Sie auf den Link Edit.
      Admin-Konsole

      Die Registerkarte General wird geöffnet.

    2. Klicken Sie auf die Registerkarte SAML 2.0, und klicken Sie auf New > Service Provider.

      Fügen Sie im Fenster Service Provider Portal for ArcGIS als vertrauenswürdigen Service-Provider zu NetIQ Access Manager hinzu.

    3. Klicken Sie im Assistenten Create Trusted Service Provider auf Metadata Text als Source, und fügen Sie die Metadaten der Portal for ArcGIS-Organisation in das Feld Text ein.

      Um die Metadaten des ArcGIS Enterprise-Portals abzurufen, melden Sie sich bei der Organisation als Administrator an, klicken Sie auf die Registerkarte Einstellungen und dann links auf der Seite auf Sicherheit. Klicken Sie in den Abschnitten Anmeldungen unter SAML-Anmeldung auf die Schaltfläche Service-Provider-Metadaten herunterladen, um die Metadatendatei für Ihre Organisation herunterzuladen.

      Klicken Sie auf Weiter und auf Fertig stellen, wenn Sie den vertrauenswürdigen Service-Provider hinzugefügt haben.

  3. Führen Sie die folgenden Schritte aus, um die Verbindungseigenschaften von Portal for ArcGIS und NetIQ Access Manager zu konfigurieren.
    1. Klicken Sie auf der Registerkarte SAML 2.0 unter Service Provider auf den Link "Service Providers". Die Registerkarte Configuration wird geöffnet. Klicken Sie auf die Registerkarte Metadata, und überprüfen Sie, ob die Metadaten für die Portal for ArcGIS-Organisation korrekt sind.
    2. Klicken Sie auf die Registerkarte Configuration, um zum Abschnitt Trust der Konfiguration zurückzukehren. Aktivieren Sie die Option Encrypt assertions, wenn Sie bei der Registrierung von NetIQ Access Manager als SAML-IDP bei Portal for ArcGIS die erweiterte Einstellung Encrypt Assertion ausgewählt haben.
    3. Klicken Sie auf die Registerkarte Attribute.

      In diesem Schritt fügen Sie die Attributzuordnung aus dem Set hinzu, das Sie zuvor erstellt haben, sodass NetIQ Access Manager die Attribute in der Portal for ArcGIS-Assertion an SAML senden kann.

      Wählen Sie das in Schritt 2.1 oben definierte Attribute Set aus. Nachdem Sie das Attribute Set ausgewählt haben, werden die in der Gruppe definierten Attribute im Feld Available angezeigt. Verschieben Sie die Attribute givenName und email in das Feld Mit Authentifizierung senden.

    4. Klicken Sie unter der Registerkarte Configuration des Service-Providers auf die Registerkarte Authentication Response, und richten Sie die Authentifizierungsantwort ein.

      Klicken Sie im Dropdown-Menü Binding auf Post.

      Aktivieren Sie in der Spalte Name Identifier das Kontrollkästchen neben Unspecified.

      Aktivieren Sie in der Spalte Default die Optionsschaltfläche neben Unspecified.

      Wählen Sie in der Spalte Value Ldap Attribut uid aus.

      Hinweis:

      Sie können jedes andere eindeutige Attribut im Attribute Set aus der Authentifizierungsquelle konfigurieren, das als NameID gesendet werden soll. Der Wert dieses Parameters wird als Benutzername in der Organisation verwendet.

      Klicken Sie auf Übernehmen.

    5. Klicken Sie unter Configuration auf die Registerkarte Options, und wählen Sie den Benutzerauthentifizierungsvertrag aus, beispielsweise Name/Password - Form, und klicken Sie auf Apply.
  4. Starten Sie NetIQ Access Manager neu, indem Sie zu Ihrem Identitätsserver navigieren und auf den Link Update All klicken.

    NetIQ neu starten