Вы можете настроить Okta как провайдер аутентификаций (IDP) для SAML учетных записей в ArcGIS Enterprise. Процесс настройки состоит из двух основных шагов: регистрации вашего SAML IDP в ArcGIS Enterprise и регистрации ArcGIS Enterprise в SAML IDP.
Примечание:
Чтобы гарантировать защищенные настройки учетных записей SAML см. рекомендации по безопасности SAML.
Необходимая информация
ArcGIS Enterprise должен получить определенную атрибутивную информацию от IDP, когда пользователь входит с использованием учетных записей SAML. Атрибут NameID является обязательным и должен отправляться IDP в ответ на запрос для интеграции работы с SAML. Так как ArcGIS Enterprise использует значение NameID для уникальной идентификации именованного пользователя, рекомендуется для идентификации пользователя использовать постоянное значение. Когда пользователь из IDP осуществляет вход, организация ArcGIS Enterprise создает в хранилище пользователей нового пользователя с именем NameID. Допустимыми символами значения, которое посылается атрибутом ,NameID являются буквы, цифры, _ (нижнее подчеркивание), . (точка) и @ (знак "собачка"). Другие символы будут заменены нижним подчеркиванием в имени пользователя, созданном ArcGIS Enterprise.
ArcGIS Enterprise поддерживает получение email-адреса пользователя, информацию о его участии в группах, указанного имени и фамилии от поставщика удостоверений SAML.
Регистрация Okta в качестве SAML IDP в ArcGIS Enterprise
- Убедитесь, что вы вошли в систему в качестве администратора вашей организации.
- Щелкните Организация вверху сайта, затем выберите вкладку Настройки.
- Щелкните Безопасность в левой части страницы.
- В разделе Учетные записи щелкните кнопку Новая учетная запись SAML и выберите опцию Один провайдер аутентификаций. На странице Задать свойства введите имя своей организации (например, City of Redlands). При входе пользователя на портал веб-сайта данный текст отображается внутри строки входа SAML (например, Использование учетной записи City of Redlands).
Примечание:
Вы можете зарегистрировать только один корпоративный SAML IDP или одну интеграцию IDP для своего портала.
- Выберите Автоматически или По приглашению администратора, чтобы указать, как пользователи могут присоединиться к организации. Выбор первой опции позволяет пользователям входить в организацию с указанием учетной записи SAML без вмешательства администратора. Их учетные записи автоматически регистрируются в организации при первом входе. Во втором случае пользователям потребуется регистрация соответствующих учетных записей в организации, выполняемая администратором посредством специальной утилиты командной строки. После регистрации учетных записей пользователи смогут входить в организацию.
Подсказка:
Рекомендуется назначить хотя бы одну учетную запись SAML в качестве администратора портала и отключить или удалить первичную учетную запись администратора. Также рекомендуется отключить кнопку Создать учетную запись на веб-сайте портала, чтобы пользователи не могли создавать собственные учетные записи. Подробные инструкции см. в разделе Настройка SAML - совместимого провайдера идентификации для работы с порталом.
- Введите метаданные для IDP, используя один из приведенных ниже вариантов:
- Файл—Скачайте или получите копию файла метаданных с Okta и загрузите его на ArcGIS Enterprise с помощью опции Файл.
Примечание:
Если вы регистрируете провайдера сервиса в Okta в первый раз, необходимо получить файл метаданных после регистрации ArcGIS Enterprise в Okta. - Указанные здесь параметры – выберите данную опцию, если недоступны URL-адрес или файл метаданных. Вручную введите значения и укажите запрашиваемые параметры: URL для входа и сертификат, закодированный в формате BASE 64. Для получения этих значений свяжитесь с администратором Okta.
- Файл—Скачайте или получите копию файла метаданных с Okta и загрузите его на ArcGIS Enterprise с помощью опции Файл.
- Доступна расширенная настройка дополнительных опций:
- Шифровать утверждения—включите эту опцию для шифровки ответов подтверждений Okta SAML.
- Включить запрос с входом – включите эту опцию для входа ArcGIS Enterprise в запрос аутентификации SAML, отправляемый в Okta.
- Произвести выход в провайдер идентификации – включите эту опцию, чтобы ArcGIS Enterprise использовал URL-адрес выхода, чтобы выполнить выход пользователя из Okta. Введите URL для использования в настройках URL-адрес выхода. Если IDP для выполнения входа требуется URL-адрес выхода, необходимо включить опцию Включить подписанный запрос.
- Обновить профиль для входа — включите эту опцию, чтобы ArcGIS Enterprise обновлял атрибуты givenName, и email address пользователей, если они изменились с момента их последнего входа.
- Включить членство в группе, основанное на SAML—Включите эту опцию, чтобы позволить пользователям организации связать основанные на SAML группы с группами ArcGIS Enterprise во время процесса создания групп.
- URL-адрес выхода – URL-адрес IDP, использующегося при выходе работающего в данный момент пользователя.
- ID объекта – Обновите это значение, чтобы использовать новый ID объекта, чтобы уникально идентифицировать ваш портал в Okta.
Для параметров Шифровать утверждения и Включить подписанный запрос используется сертификат samlcert из хранилища ключей портала. Чтобы воспользоваться новым сертификатом, удалите сертификат samlcert, создайте новый с тем же псевдонимом (samlcert), следуя шагам в разделе Импорт сертификата на портал, и перезапустите портал.
- По завершении нажмите Сохранить.
- Щелкните Загрузить метаданные провайдера сервиса, чтобы загрузить файл метаданных портала. Информация в этом файле будет использоваться для регистрации портала в качестве доверенного провайдера сервиса на Okta.
Регистрация ArcGIS Enterprise в качестве доверенного провайдера сервиса с Okta
- Войдите в организацию Okta, как участник с правами администратора.
- На вкладке Приложения щелкните кнопку Добавить приложение.
- Щелкните Создать новое приложение и выберите опцию SAML 2.0. Нажмите Создать.
- В Общих настройках введите Имя приложения для развертывания вашего портала и щелкните Далее.
- На вкладке Настройка SAML выполните следующее:
- Введите значение Адрес URL единого входа, например, https://portalhostname.domain.com/portalcontext/sharing/rest/oauth2/saml/signin. Это значение может быть скопировано из файла метаданных провайдера сервиса, загруженного с вашего портала.
- Введите значение для URL аудитории. По умолчанию значение установлено на portalhostname.domain.com.portalcontext. Это значение может быть скопировано из файла метаданных провайдера сервиса, загруженного с вашего портала.
- Оставьте значение параметра Формат ID имени равным Не указано.
- В Дополнительных настройках измените опцию Подпись утверждения на Не подписано.
- В разделе Выражения атрибутов добавьте следующие выражения атрибутов:
givenName равно user.firstName
surname равно user.lastName
email равно user.email
- Щелкните Далее и выберите Готово.
- Теперь вы увидите раздел Вход для нового созданного приложения SAML. Чтобы получить метаданные для Okta IDP, щелкните вкладку Вход и щелкните ссылку Метаданные провайдера идентификации.
- Щелкните правой кнопкой вкладку Пользователи и укажите, какие аутентифицированные пользователи Okta будут иметь доступ к вашему порталу.