Вы можете настроить NetIQ Access Manager 3.2 более новые версии в качестве провайдера идентификации (IDP) для учетных записей SAML в ArcGIS Enterprise. Процесс настройки состоит из двух основных шагов: регистрации вашего SAML IDP в ArcGIS Enterprise и регистрации ArcGIS Enterprise в SAML IDP.
Примечание:
Чтобы гарантировать защищенные настройки учетных записей SAML см. рекомендации по безопасности SAML.
Необходимая информация
ArcGIS Enterprise должен получить определенную атрибутивную информацию от IDP, когда пользователь входит с использованием учетных записей SAML. Атрибут NameID является обязательным и должен отправляться IDP в ответ на запрос для интеграции работы с SAML. Так как ArcGIS Enterprise использует значение NameID для уникальной идентификации именованного пользователя, рекомендуется для идентификации пользователя использовать постоянное значение. Когда пользователь из IDP осуществляет вход, организация ArcGIS Enterprise создает в хранилище пользователей нового пользователя с именем NameID. Допустимыми символами значения, которое посылается атрибутом ,NameID являются буквы, цифры, _ (нижнее подчеркивание), . (точка) и @ (знак "собачка"). Другие символы будут заменены нижним подчеркиванием в имени пользователя, созданном ArcGIS Enterprise.
ArcGIS Enterprise поддерживает получение email-адреса пользователя, информацию о его участии в группах, указанного имени и фамилии от поставщика удостоверений SAML.
Регистрация NetIQ Access Manager как SAML IDP в ArcGIS Enterprise
- Убедитесь, что вы вошли в систему в качестве администратора вашей организации.
- Щелкните Организация вверху сайта, затем выберите вкладку Настройки.
- Щелкните Безопасность в левой части страницы.
- В разделе Учетные записи щелкните кнопку Новая учетная запись SAML и выберите опцию Один провайдер аутентификаций. На странице Задать свойства введите имя своей организации (например, City of Redlands). При входе пользователя на портал веб-сайта данный текст отображается внутри строки входа SAML (например, Использование учетной записи City of Redlands).
Примечание:
Вы можете зарегистрировать только один корпоративный SAML IDP или одну интеграцию IDP для своего портала.
- Выберите Автоматически или По приглашению администратора, чтобы указать, как пользователи могут присоединиться к организации. Выбор первой опции позволяет пользователям входить в организацию с указанием учетной записи SAML без вмешательства администратора. Их учетные записи автоматически регистрируются в организации при первом входе. Во втором случае пользователям потребуется регистрация соответствующих учетных записей в организации, выполняемая администратором посредством специальной утилиты командной строки. После регистрации учетных записей пользователи смогут входить в организацию.
Подсказка:
Рекомендуется назначить хотя бы одну учетную запись SAML в качестве администратора портала и отключить или удалить первичную учетную запись администратора. Также рекомендуется отключить кнопку Создать учетную запись на веб-сайте портала, чтобы пользователи не могли создавать собственные учетные записи. Подробные инструкции см. в разделе Настройка SAML - совместимого провайдера идентификации для работы с порталом.
- Введите метаданные для IDP, используя один из трех приведенных ниже вариантов:
- URL—выберите данную опцию, если URL-адрес интегрированных метаданных NetIQ Access Manager доступен для ArcGIS Enterprise. URL-адрес обычно указывает на https://<host>:<port>/nidp/saml2/metadata на компьютер, где работает NetIQ Access Manager.
Примечание:
Если ваш SAML IDP имеет самозаверенный сертификат, возникнет ошибка при попытке указать URL по протоколу HTTPS для метаданных. Ошибка возникнет из-за того, что ArcGIS Enterprise не сможет проверить самозаверенный сертификат провайдера идентификации. Либо используйте в URL протокол HTTP, как указано ниже, либо настройте IDP на работу с доверенным сертификатом.
- Файл — выберите данную опцию, если URL-адрес недоступен дляArcGIS Enterprise . Получите метаданные, используя указанный выше URL-адрес, и перед загрузкой сохраните их в виде файла XML.
- Указанные здесь параметры – выберите данную опцию, если недоступны URL-адрес или файл метаданных. Вручную введите значения и укажите запрашиваемые параметры: URL для входа и сертификат, закодированный в формате BASE 64. Для получения этих значений свяжитесь с администратором NetIQ Access Manager.
- URL—выберите данную опцию, если URL-адрес интегрированных метаданных NetIQ Access Manager доступен для ArcGIS Enterprise. URL-адрес обычно указывает на https://<host>:<port>/nidp/saml2/metadata на компьютер, где работает NetIQ Access Manager.
- Доступна расширенная настройка дополнительных опций:
- Шифровать утверждения—включите эту опцию, если NetIQ Access Manager будет настроен на шифрование ответов утверждений SAML.
- Включить запрос с входом – включите эту опцию для входа ArcGIS Enterprise в запрос аутентификации SAML, отправляемый в NetIQ Access Manager.
- Произвести выход в провайдер идентификации — включите эту опцию, чтобы заставить ArcGIS Enterprise использовать URL-адрес выхода для выхода пользователя из Net IQ Access Manager. Введите используемый URL в поле URL-адрес выхода. Если IDP для выполнения входа требуется URL-адрес выхода, необходимо включить опцию Включить подписанный запрос.
- Обновить профиль для входа — включите эту опцию, чтобы ArcGIS Enterprise обновлял атрибуты givenName, и email address пользователей, если они изменились с момента их последнего входа.
- Включить членство в группе, основанное на SAML—Включите эту опцию, чтобы позволить пользователям организации связать основанные на SAML группы с группами ArcGIS Enterprise во время процесса создания групп.
- URL-адрес выхода – URL-адрес IDP, использующегося при выходе работающего в данный момент пользователя. Это значение автоматически заполняется, если задан файл метаданных IDP. При необходимости вы можете обновить этот URL-адрес.
- ID объекта – обновите это значение, чтобы использовать новый ID объекта, чтобы уникально идентифицировать ваш портал в NetIQ Access Manager.
Для параметров Шифровать утверждения и Включить подписанный запрос используется сертификат samlcert из хранилища ключей портала. Чтобы воспользоваться новым сертификатом, удалите сертификат samlcert, создайте новый с тем же псевдонимом (samlcert), следуя шагам в разделе Импорт сертификата на портал, и перезапустите портал.
- Щелкните Сохранить.
Регистрация ArcGIS Enterprise в качестве доверенного провайдера сервиса с NetIQ Access Manager
- Настройте набор атрибутов.
Выполните указанные ниже шаги для создания нового набора атрибутов, чтобы их можно было отправить на ArcGIS Enterprise в качестве SAML-подтверждения после аутентификации пользователя. Если у вас уже имеется настроенный набор атрибутов в NetIQ Access Manager, можно использовать его.
- Выполните вход в консоль администрирования NetIQ Access Manager. Обычно она доступна по адресу https://<host>:<port>/nps.
- В административной консоли NetIQ перейдите к серверу аутентификации и щёлкните вкладку Настройки общего доступа. В разделе Наборы атрибутов можно увидеть все уже созданные наборы. Щелкните Новый и создайте новый набор атрибутов. Войдите в Portal в раздел Настроить имя и щелкните Далее.
- Задайте сопоставление атрибутов и добавьте их в набор атрибутов, созданный в предыдущем шаге.
Щелкните ссылку Новый и добавьте любые новые сопоставления атрибутов. На снимках экрана ниже показано добавление сопоставления атрибутов для givenName, email address и uid. Вы можете выбрать любые атрибуты из вашего источника аутентификации вместо этих примеров.
Щелкните Готово в мастере Создание набора атрибутов. Появится новый набор атрибутов с именем Portal.
- Выполните указанные ниже шаги, чтобы добавить ArcGIS Enterprise в качестве доверенного провайдера NetIQ Access Manager.
- Выполните вход в административную консоль NetIQ, выберите сервер аутентификации и щелкните ссылку Редактировать.
Откроется вкладка Общие.
- Щелкните закладку SAML 2.0 и выберите Новый > Провайдер сервиса.
В окне Провайдер сервиса можно добавить ArcGIS Enterprise в качестве доверенного провайдера сервисов с NetIQ Access Manager.
- В мастере Создать доверенный провайдер сервиса щелкните Текст метаданных в поле Источник и вставьте метаданные вашей организации ArcGIS Enterprise в поле Текст.
.Чтобы получить метаданные вашего портала ArcGIS Enterprise войдите в организацию от имени администратора, щелкните вкладку Настройки, щелкните Безопасность на левой стороне страницы. В разделе Учетные записи в Учетные записи SAML щелкните кнопку Загрузить метаданные провайдера сервиса, чтобы загрузить файл метаданных в организацию.
Щелкните Далее и Готово, чтобы завершить создание доверенного провайдера сервиса.
- Выполните вход в административную консоль NetIQ, выберите сервер аутентификации и щелкните ссылку Редактировать.
- Выполните указанные ниже шаги, чтобы настроить свойства интеграции ArcGIS Enterprise и NetIQ Access Manager.
- На вкладке SAML 2.0 щелкните ссылку провайдера сервиса в разделе Провайдеры сервисов. Открывается вкладка Настройка. Щелкните вкладку Метаданные и убедитесь, что метаданные вашей организации ArcGIS Enterprise правильны.
- Щёлкните вкладку Конфигурация, чтобы вернуться к разделу настроек Доверенные. Выберите опцию Шифровать утверждения, если была выбрана дополнительная настройка Шифровать утверждения при регистрации NetIQ Access Manager as the SAML IDP в ArcGIS Enterprise.
- Щёлкните вкладку Атрибуты.
В этом шаге вы добавите сопоставление атрибутов из заранее созданного набора, чтобы NetIQ Access Manager мог отправить атрибуты в ArcGIS Enterprise в качестве подтверждения SAML.
Выберите набор атрибутов, заданный в шаге 2.1. После выбора набора атрибутов соответствующие атрибуты появятся в поле Доступно. Переместите атрибуты givenName и email в поле Отправить вместе с аутентификацией.
- Щёлкните вкладку Ответ аутентификации под вкладкой Конфигурация провайдера сервиса и настройте ответ аутентификации.
Щелкните Закрепить в ниспадающем меню Привязка.
В столбце Идентификатор имени включите опцию Не указано.
В столбце По умолчанию выберите опцию Не указано.
В столбце Значение выберите Ldap Attribute uid.
Примечание:
Вы можете настроить любые другие уникальные атрибуты из списка атрибутов вашего источника, которые будут отправляться как NameID. Значение этого параметра будет использоваться в качестве имени пользователя в организации.
Щелкните Применить.
- В разделе Конфигурация щелкните закладку Опции и выберите контракт аутентификации пользователей, например, Имя/Пароль – форма и щелкните Применить.
- Перезапустите NetIQ Access Manager, выбрав сервер аутентификации и щелкнув ссылку Обновить все.