Настройка Azure Active Directory

Microsoft Azure Active Directory (AD) - это провайдер идентификации, совместимый с Security Assertion Markup Language (SAML). Вы можете настроить его в качестве провайдера идентификации (IDP) для учетных записей SAML в ArcGIS Enterprise. Процесс настройки состоит из двух основных шагов: регистрация Azure AD на портале ArcGIS Enterprise и регистрация ArcGIS Enterprise на портале Azure AD.

Примечание:

Чтобы гарантировать защищенные настройки учетных записей SAML см. рекомендации по безопасности SAML.

Чтобы настроить Azure AD на работу с ArcGIS Enterprise, необходима премиум-подписка Azure AD.

Необходимая информация

ArcGIS Enterprise должен получить определенную атрибутивную информацию от IDP, когда пользователь входит с использованием учетных записей SAML. Атрибут NameID является обязательным и должен отправляться IDP в ответ на запрос для интеграции работы с SAML. Так как ArcGIS Enterprise использует значение NameID для уникальной идентификации именованного пользователя, рекомендуется для идентификации пользователя использовать постоянное значение. Когда пользователь из IDP осуществляет вход, организация ArcGIS Enterprise создает в хранилище пользователей нового пользователя с именем NameID. Допустимыми символами значения, которое посылается атрибутом ,NameID являются буквы, цифры, _ (нижнее подчеркивание), . (точка) и @ (знак "собачка"). Другие символы будут заменены нижним подчеркиванием в имени пользователя, созданном ArcGIS Enterprise.

ArcGIS Enterprise поддерживает получение email-адреса пользователя, информацию о его участии в группах, указанного имени и фамилии от поставщика удостоверений SAML.

Регистрация Azure AD в качестве SAML IDP на портале

  1. Убедитесь, что вы вошли в систему в качестве администратора вашей организации.
  2. Щелкните Организация вверху сайта, затем выберите вкладку Настройки.
  3. Щелкните Безопасность в левой части страницы.
  4. В разделе Учетные записи щелкните кнопку Новая учетная запись SAML и выберите опцию Один провайдер аутентификаций. На странице Задать свойства введите имя своей организации (например, City of Redlands). При входе пользователя на портал веб-сайта данный текст отображается внутри строки входа SAML (например, Использование учетной записи City of Redlands).
    Примечание:

    Вы можете зарегистрировать только один корпоративный SAML IDP или одну интеграцию IDP для своего портала.

  5. Выберите Автоматически или По приглашению администратора, чтобы указать, как пользователи могут присоединиться к организации. Выбор первой опции позволяет пользователям входить в организацию с указанием учетной записи SAML без вмешательства администратора. Их учетные записи автоматически регистрируются в организации при первом входе. Во втором случае пользователям потребуется регистрация соответствующих учетных записей в организации, выполняемая администратором посредством специальной утилиты командной строки. После регистрации учетных записей пользователи смогут входить в организацию.
    Подсказка:

    Рекомендуется назначить хотя бы одну учетную запись SAML в качестве администратора портала и отключить или удалить первичную учетную запись администратора. Также рекомендуется отключить кнопку Создать учетную запись на веб-сайте портала, чтобы пользователи не могли создавать собственные учетные записи. Подробные инструкции см. в разделе Настройка SAML - совместимого провайдера идентификации для работы с порталом.

  6. Введите метаданные для IDP, используя один из приведенных ниже вариантов:
    • Файлскачайте файл метаданных Azure AD и загрузите его на ArcGIS Enterprise с помощью опции Файл.
      Примечание:
      Если вы регистрируете провайдера сервиса в Azure AD в первый раз, необходимо получить файл метаданных после регистрации ArcGIS Enterprise с Azure AD.
    • Параметры – выберите данную опцию, если недоступны URL-адрес или файл метаданных. Вручную введите значения и укажите запрашиваемые параметры: URL для входа и сертификат, закодированный в формате BASE 64. Для получения этих значений свяжитесь с администратором Azure AD.
  7. Настройте следующие дополнительные опции необходимым образом:
    • Шифровать утверждения – выберите эту опцию для шифровки ответов подтверждений Azure AD SAML.
    • Включить подписанный запрос – Выберите эту опцию, чтобы ArcGIS Enterprise подписывал запрос аутентификации SAML, который отправляется на AD FS.
    • Произвести выход в провайдер идентификации – включите эту опцию, чтобы ArcGIS Enterprise использовал URL-адрес выхода, чтобы выполнить выход пользователя из Azure AD. Введите URL для использования в настройках URL-адрес выхода. Если IDP для выполнения входа требуется URL-адрес выхода, включите опцию Включить подписанный запрос.
    • Обновить профиль для входа — включите эту опцию, чтобы ArcGIS Enterprise обновил пользовательские атрибуты givenName и email address, если они с момента их последнего входа изменились.
    • Включить участие в группе, основанное на SAML - выберите эту опцию, чтобы позволить пользователям организации связать основанные на SAML группы с группами ArcGIS Enterprise в процессе создания группы.
    • URL-адрес выхода – URL-адрес IDP, который используется при выходе работающего в данный момент пользователя.
    • ID объекта – Обновите это значение, чтобы использовать новый ID объекта, чтобы уникально идентифицировать ваш портал в Azure AD.

    Для параметров Шифровать утверждения и Включить подписанный запрос используется сертификат samlcert из хранилища ключей портала. Чтобы воспользоваться новым сертификатом, удалите сертификат samlcert, создайте новый с тем же псевдонимом (samlcert), следуя шагам в разделе Импорт сертификата на портал, и перезапустите портал.

  8. Когда закончите, щелкните Обновить провайдера идентификации.
  9. Щелкните Загрузить метаданные провайдера сервиса, чтобы загрузить файл метаданных портала. Информация в этом файле будет использоваться для регистрации портала в качестве доверенного провайдера сервиса на Azure AD.

Регистрация ArcGIS Enterprise в качестве проверенного провайдера сервиса в Azure AD

  1. Войдите на портал Azure как участник с правами администратора.
  2. Следуя инструкциям в документации Azure, добавьте ArcGIS Enterprise в Azure AD в качестве приложения, отличного от галереи, и настройте единый вход. Необходимо указать файл Metadata.xml, загруженный с ArcGIS Enterprise.

    ArcGIS Enterprise появится в списке Enterprise Applications в Azure AD.

  3. Добавьте пользователей и назначьте им приложение, если необходимо.
  4. Дополнительно настройте SAML-заявления, передаваемые в ArcGIS Enterprise. Интересующие вас атрибуты в ответе SAML - это givenName и emailaddress.