Microsoft Azure Active Directory (AD) - это провайдер идентификации, совместимый с Security Assertion Markup Language (SAML). Вы можете настроить его в качестве провайдера идентификации (IDP) для учетных записей SAML в ArcGIS Enterprise. Процесс настройки состоит из двух основных шагов: регистрация Azure AD на портале ArcGIS Enterprise и регистрация ArcGIS Enterprise на портале Azure AD.
Примечание:
Чтобы гарантировать защищенные настройки учетных записей SAML см. рекомендации по безопасности SAML.
Чтобы настроить Azure AD на работу с ArcGIS Enterprise, необходима премиум-подписка Azure AD.
Необходимая информация
ArcGIS Enterprise должен получить определенную атрибутивную информацию от IDP, когда пользователь входит с использованием учетных записей SAML. Атрибут NameID является обязательным и должен отправляться IDP в ответ на запрос для интеграции работы с SAML. Так как ArcGIS Enterprise использует значение NameID для уникальной идентификации именованного пользователя, рекомендуется для идентификации пользователя использовать постоянное значение. Когда пользователь из IDP осуществляет вход, организация ArcGIS Enterprise создает в хранилище пользователей нового пользователя с именем NameID. Допустимыми символами значения, которое посылается атрибутом ,NameID являются буквы, цифры, _ (нижнее подчеркивание), . (точка) и @ (знак "собачка"). Другие символы будут заменены нижним подчеркиванием в имени пользователя, созданном ArcGIS Enterprise.
ArcGIS Enterprise поддерживает получение email-адреса пользователя, информацию о его участии в группах, указанного имени и фамилии от поставщика удостоверений SAML.
Регистрация Azure AD в качестве SAML IDP на портале
- Убедитесь, что вы вошли в систему в качестве администратора вашей организации.
- Щелкните Организация вверху сайта, затем выберите вкладку Настройки.
- Щелкните Безопасность в левой части страницы.
- В разделе Учетные записи щелкните кнопку Новая учетная запись SAML и выберите опцию Один провайдер аутентификаций. На странице Задать свойства введите имя своей организации (например, City of Redlands). При входе пользователя на портал веб-сайта данный текст отображается внутри строки входа SAML (например, Использование учетной записи City of Redlands).
Примечание:
Вы можете зарегистрировать только один корпоративный SAML IDP или одну интеграцию IDP для своего портала.
- Выберите Автоматически или По приглашению администратора, чтобы указать, как пользователи могут присоединиться к организации. Выбор первой опции позволяет пользователям входить в организацию с указанием учетной записи SAML без вмешательства администратора. Их учетные записи автоматически регистрируются в организации при первом входе. Во втором случае пользователям потребуется регистрация соответствующих учетных записей в организации, выполняемая администратором посредством специальной утилиты командной строки. После регистрации учетных записей пользователи смогут входить в организацию.
Подсказка:
Рекомендуется назначить хотя бы одну учетную запись SAML в качестве администратора портала и отключить или удалить первичную учетную запись администратора. Также рекомендуется отключить кнопку Создать учетную запись на веб-сайте портала, чтобы пользователи не могли создавать собственные учетные записи. Подробные инструкции см. в разделе Настройка SAML - совместимого провайдера идентификации для работы с порталом.
- Введите метаданные для IDP, используя один из приведенных ниже вариантов:
- Файл – скачайте файл метаданных Azure AD и загрузите его на ArcGIS Enterprise с помощью опции Файл.
Примечание:
Если вы регистрируете провайдера сервиса в Azure AD в первый раз, необходимо получить файл метаданных после регистрации ArcGIS Enterprise с Azure AD. - Параметры – выберите данную опцию, если недоступны URL-адрес или файл метаданных. Вручную введите значения и укажите запрашиваемые параметры: URL для входа и сертификат, закодированный в формате BASE 64. Для получения этих значений свяжитесь с администратором Azure AD.
- Файл – скачайте файл метаданных Azure AD и загрузите его на ArcGIS Enterprise с помощью опции Файл.
- Настройте следующие дополнительные опции необходимым образом:
- Шифровать утверждения – выберите эту опцию для шифровки ответов подтверждений Azure AD SAML.
- Включить подписанный запрос – Выберите эту опцию, чтобы ArcGIS Enterprise подписывал запрос аутентификации SAML, который отправляется на AD FS.
- Произвести выход в провайдер идентификации – включите эту опцию, чтобы ArcGIS Enterprise использовал URL-адрес выхода, чтобы выполнить выход пользователя из Azure AD. Введите URL для использования в настройках URL-адрес выхода. Если IDP для выполнения входа требуется URL-адрес выхода, включите опцию Включить подписанный запрос.
- Обновить профиль для входа — включите эту опцию, чтобы ArcGIS Enterprise обновил пользовательские атрибуты givenName и email address, если они с момента их последнего входа изменились.
- Включить участие в группе, основанное на SAML - выберите эту опцию, чтобы позволить пользователям организации связать основанные на SAML группы с группами ArcGIS Enterprise в процессе создания группы.
- URL-адрес выхода – URL-адрес IDP, который используется при выходе работающего в данный момент пользователя.
- ID объекта – Обновите это значение, чтобы использовать новый ID объекта, чтобы уникально идентифицировать ваш портал в Azure AD.
Для параметров Шифровать утверждения и Включить подписанный запрос используется сертификат samlcert из хранилища ключей портала. Чтобы воспользоваться новым сертификатом, удалите сертификат samlcert, создайте новый с тем же псевдонимом (samlcert), следуя шагам в разделе Импорт сертификата на портал, и перезапустите портал.
- Когда закончите, щелкните Обновить провайдера идентификации.
- Щелкните Загрузить метаданные провайдера сервиса, чтобы загрузить файл метаданных портала. Информация в этом файле будет использоваться для регистрации портала в качестве доверенного провайдера сервиса на Azure AD.
Регистрация ArcGIS Enterprise в качестве проверенного провайдера сервиса в Azure AD
- Войдите на портал Azure как участник с правами администратора.
- Следуя инструкциям в документации Azure, добавьте ArcGIS Enterprise в Azure AD в качестве приложения, отличного от галереи, и настройте единый вход. Необходимо указать файл Metadata.xml, загруженный с ArcGIS Enterprise.
ArcGIS Enterprise появится в списке Enterprise Applications в Azure AD.
- Добавьте пользователей и назначьте им приложение, если необходимо.
- Дополнительно настройте SAML-заявления, передаваемые в ArcGIS Enterprise. Интересующие вас атрибуты в ответе SAML - это givenName и emailaddress.