Настройка Active Directory Federation Services

Вы можете настроить Active Directory Federation Services (AD FS) в операционной системе Microsoft Windows Server как провайдер идентификации (IDP) для учетных записей SAML в ArcGIS Enterprise. Процесс настройки состоит из двух основных шагов: регистрации вашего SAML IDP в ArcGIS Enterprise и регистрации ArcGIS Enterprise в SAML IDP.

Примечание:

Чтобы гарантировать защищенные настройки учетных записей SAML см. рекомендации по безопасности SAML.

Необходимая информация

ArcGIS Enterprise должен получить определенную атрибутивную информацию от IDP, когда пользователь входит с использованием учетных записей SAML. Атрибут NameID является обязательным и должен отправляться IDP в ответ на запрос для интеграции работы с SAML. Так как ArcGIS Enterprise использует значение NameID для уникальной идентификации именованного пользователя, рекомендуется для идентификации пользователя использовать постоянное значение. Когда пользователь из IDP осуществляет вход, организация ArcGIS Enterprise создает в хранилище пользователей нового пользователя с именем NameID. Допустимыми символами значения, которое посылается атрибутом ,NameID являются буквы, цифры, _ (нижнее подчеркивание), . (точка) и @ (знак "собачка"). Другие символы будут заменены нижним подчеркиванием в имени пользователя, созданном ArcGIS Enterprise.

ArcGIS Enterprise поддерживает получение email-адреса пользователя, информацию о его участии в группах, указанного имени и фамилии от поставщика удостоверений SAML.

Регистрация AD FS в качестве SAML IDP с вашим порталом

  1. Убедитесь, что вы вошли в систему в качестве администратора вашей организации.
  2. Щелкните Организация вверху сайта, затем выберите вкладку Настройки.
  3. Щелкните Безопасность в левой части страницы.
  4. В разделе Учетные записи щелкните кнопку Новая учетная запись SAML и выберите опцию Один провайдер аутентификаций. На странице Задать свойства введите имя своей организации (например, City of Redlands). При входе пользователя на портал веб-сайта данный текст отображается внутри строки входа SAML (например, Использование учетной записи City of Redlands).
    Примечание:

    Вы можете зарегистрировать только один корпоративный SAML IDP или одну интеграцию IDP для своего портала.

  5. Выберите Автоматически или По приглашению администратора, чтобы указать, как пользователи могут присоединиться к организации. Выбор первой опции позволяет пользователям входить в организацию с указанием учетной записи SAML без вмешательства администратора. Их учетные записи автоматически регистрируются в организации при первом входе. Во втором случае пользователям потребуется регистрация соответствующих учетных записей в организации, выполняемая администратором посредством специальной утилиты командной строки. После регистрации учетных записей пользователи смогут входить в организацию.
    Подсказка:

    Рекомендуется назначить хотя бы одну учетную запись SAML в качестве администратора портала и отключить или удалить первичную учетную запись администратора. Также рекомендуется отключить кнопку Создать учетную запись на веб-сайте портала, чтобы пользователи не могли создавать собственные учетные записи. Подробные инструкции см. в разделе Настройка SAML - совместимого провайдера идентификации для работы с порталом.

  6. Введите метаданные для IDP, используя один из приведенных ниже вариантов:
    • URL – если URL метаданных AD FS доступен, выберите эту опцию и введите URL (к примеру, https://<adfs-server>/federationmetadata/2007-06/federationmetadata.xml).
      Примечание:

      Если ваш SAML IDP имеет самозаверенный сертификат, возникнет ошибка при попытке указать URL по протоколу HTTPS для метаданных. Ошибка возникнет из-за того, что ArcGIS Enterprise не сможет проверить самозаверенный сертификат IDP. Либо используйте в URL протокол HTTP, как указано ниже, либо настройте IDP на работу с доверенным сертификатом.

    • Файл – Укажите эту опцию, если URL недоступен. Скачайте или получите копию файла метаданных с AD FS и загрузите его на портал ArcGIS Enterprise с помощью опции Файл.
    • Указанные здесь параметры – выберите данную опцию, если недоступны URL-адрес или файл метаданных. Вручную введите значения и укажите запрашиваемые параметры: URL для входа и сертификат, закодированный в формате BASE 64. Для получения этих значений свяжитесь с администратором AD FS.
  7. Доступна расширенная настройка дополнительных опций:
    • Шифровать утверждения – включите эту опцию для шифровки ответов подтверждений AD FS SAML.
    • Включить запрос с входом – включите эту опцию для входа ArcGIS Enterprise в запрос аутентификации SAML, отправляемый в AD FS.
    • Произвести выход в провайдер идентификации – включите эту опцию, чтобы ArcGIS Enterprise использовал URL-адрес выхода, чтобы выполнить выход пользователя из AD FS. Введите URL для использования в настройках URL-адрес выхода. Если IDP для выполнения входа требуется URL-адрес выхода, необходимо включить опцию Включить подписанный запрос.
      Примечание:

      По умолчанию, для AD FS необходимы запросы на выход из системы, подписанные с помощью SHA-256, поэтому необходимо проверить, что включены опции Включить подписанный запрос и выбрать Вход с помощью SHA256.

    • Обновить профиль для входа — включите эту опцию, чтобы ArcGIS Enterprise обновлял атрибуты givenName, и email address пользователей, если они изменились с момента их последнего входа.
    • Включить членство в группе, основанное на SAML—Включите эту опцию, чтобы позволить пользователям организации связать основанные на SAML группы с группами ArcGIS Enterprise во время процесса создания групп.
    • URL-адрес выхода – URL-адрес, который использует IDP для выхода работающего в данный момент пользователя.
    • ID объекта – Обновите это значение, чтобы использовать новый ID объекта, чтобы уникально идентифицировать ваш портал в AD FS.

    Для параметров Шифровать утверждения и Включить подписанный запрос используется сертификат samlcert из хранилища ключей портала. Чтобы воспользоваться новым сертификатом, удалите сертификат samlcert, создайте новый с тем же псевдонимом (samlcert), следуя шагам в разделе Импорт сертификата на портал, и перезапустите портал.

  8. Щелкните Сохранить.

Регистрация в качестве доверенного провайдера сервиса с AD FS

  1. Откройте консоль управления AD FS.
  2. Выберите Отношение доверия проверяющей стороны > Добавить отношение доверия проверяющей стороны.
  3. В мастере Добавить отношение доверия проверяющей стороны щелкните кнопку Пуск.
  4. Для Выбора источника данных укажите одну опцию для получения данных проверяющей стороны: импорт из URL-адреса, импорт из файла или ввод вручную.

    Для опций URL-адреса и файла необходимо получение метаданных из вашей организации. Если у Вас нет доступа к URL-адресу метаданных или файлу, вы можете ввести информацию вручную. В некоторых случаях ввод данных вручную оказывается наиболее простым вариантом.

    • Импорт данных о проверяющей стороне, опубликованных в Интернет или в локальной сети

      Эта опция использует метаданные URL вашей организации ArcGIS Enterprise. URL-адрес – это https://organization.example.com/<context>/sharing/rest/portals/self/sp/metadata?token=<token>, например, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Вы можете создать токен с помощью https://organization.example.com/<context>/sharing/rest/generateToken. При указании URL на странице Создать токен укажите полное доменное имя сервера AD FS в поле Webapp URL. Выбор любой другой опции, как то IP-адрес или IP-адрес происхождения запроса, не поддерживается и может привести к генерации неверного токена.

    • Импорт данных о проверяющей стороне из файла

      Данная опция использует файл metadata.xml вашей организации ArcGIS Enterprise. Есть два способа получения файла метаданных .xml:

      • На странице организации щелкните вкладку Настройки, затем Безопасность в левой части страницы. В разделе Учетные записи под Входом SAML, щелкните Загрузить метаданные провайдера сервиса, чтобы загрузить файл метаданных организации в организации.
      • Откройте URL метаданных вашей организации ArcGIS Enterprise и сохраните файл .xml на свой компьютер. URL-адрес – это https://organization.example.com/<context>/sharing/rest/portals/self/sp/metadata?token=<token>, например, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Вы можете создать токен с помощью https://organization.example.com/<context>/sharing/rest/generateToken. При указании URL на странице Создать токен укажите полное доменное имя сервера AD FS в поле Webapp URL. Выбор любой другой опции, как то IP-адрес или IP-адрес происхождения запроса, не поддерживается и может привести к генерации неверного токена.
    • Введите данные о проверяющей стороне вручную

      В этом случае мастер Добавить отношение доверия проверяющей стороны отобразит дополнительные окна, в которых вы сможете вручную ввести данные. Это описано ниже – в шагах с 6 по 8.

  5. В окне Укажите имя отображения введите имя отображения.

    Имя отображения используется для идентификации проверяющей стороны в AD FS. Для других случаев оно не используется. Установите для него либо ArcGIS, либо имя организации в ArcGIS, например, ArcGIS-SamITest.

    Подсказка:

    Если вы выбрали импорт исходных данных из URL или файла, перейдите к шагу 9.

  6. (Выбор источника данных только вручную) В качестве опции Выбрать профиль укажите профиль AD FS, который применяется в вашей среде.
  7. (Только ручной выбор источника данных) Для Настройки URL выберите опцию Включить поддержку протокола SAML 2.0 WebSSO и введите URL сервиса SAML 2.0 сервиса SSO проверяющей стороны.

    URL проверяющей стороны – это URL-адрес, на который AD FS посылает ответ SAML после аутентификации пользователя. Это должен быть HTTPS URL-адрес: https://organization.example.com/<context>/sharing/rest/oauth2/saml/signin.

  8. (Только ручной выбор источника данных) Чтобы Настроить идентификаторы (Configure Identifiers), введите URL идентификатора отношения доверия проверяющей стороны.

    Это должен быть portal.domain.com.arcgis.

  9. Для Выбора правил авторизации нажмите Разрешить всем пользователям доступ к проверяющей стороне (Permit all users to access this relying party).
  10. В окне Готов добавить доверительное отношение проверьте все настройки проверяющей стороны.

    URL метаданных заполняется, только если вы решили импортировать источник данных из URL.

    Подсказка:

    При активации опции Отслеживать проверяющую сторону AD FS будет периодически проверять URL метаданных и сравнивать его с текущим состоянием доверительного отношения проверяющей стороны. Однако отслеживание не работает, когда срок работы токена в URL метаданных истечет. Ошибки записываются в журнале событий AD FS. Чтобы не получать эти сообщения, отключите отслеживание или обновите токен.

  11. Щелкните Далее.
  12. Чтобы Завершить, выберите опцию автоматического открытия диалогового окна Редактировать правила заявления (Edit Claim Rules) после нажатия на кнопку Закрыть.
  13. Чтобы установить правила заявления, откройте мастер Редактировать правила заявления (Edit Claim Rules) и щелкните Добавить правило (Add Rule).
  14. В окне Выбрать шаблон правила выберите шаблон Послать атрибуты LDAP как заявления для правила заявления, которое вы создаете. Щелкните Далее.
  15. В шаге Настройка правила заявления следуйте инструкциям ниже и выполните редактирование правил заявлений.
    1. В окне Имя правила заявления (Claim rule name) введите имя правила, такое как DefaultClaims.
    2. Для Хранилища атрибутов выберите Active Directory.
    3. Для Отображение атрибутов LDAP в выходных типах заявлений выберите значения из ниспадающего меню, чтобы задать, как атрибуты LDAP будут сопоставлены выходным типам заявлений, которые вытекают из этого правила.

      Используйте следующую таблицу как инструкцию:

      Атрибут LDAPТип исходящего заявления

      Атрибут LDAP, который содержит имена пользователей (например, User-Principal-Name или SAM-Account-Name)

      Name ID

      Given-Name

      Имя

      Фамилия

      Фамилия

      E-Mail-Addresses

      Адрес email

      Token-Groups - Незаданные имена

      Группа

    Правило Настроить - DefaultClaims

    Внимание:

    Ввод значений вручную вместо выбора их из ниспадающего меню создает заданные пользователем атрибуты и может привести к ошибкам. Для лучшего результата используйте ниспадающие меню, чтобы задать значения.

    С данным заявлением AD FS посылает атрибуты с именами givenname, surname, email и group membership в ArcGIS Enterprise после аутентификации пользователя. ArcGIS Enterprise затем использует значения, полученные в атрибутах givenname, surname и email, и заполняет полное имя и адрес электронной почты учетной записи пользователя. Значения в атрибуте группы нужны для обновления участия пользователя в группе.

    Примечание:

    Если вы выберете опцию Включить участие в группе на основании SAML при регистрации AD FS в качестве корпоративного SAML IDP, участие каждого пользователя будет получено из ответа на выражение SAML от провайдера идентификации при каждом успешном входе пользователя. Более подробно о связывании корпоративных групп SAMLсм. Создание групп.

  16. .Щёлкните Готово, чтобы завершить настройку AD FS IDP, чтобы включать ArcGIS Enterprise в качестве надежной стороны.