Вы можете настроить OpenAM 10.1.0 и более новые версии в качестве провайдера идентификации (IDP) для учетных записей SAML в ArcGIS Enterprise. Процесс настройки состоит из двух основных шагов: регистрации вашего SAML IDP в ArcGIS Enterprise и регистрации ArcGIS Enterprise в SAML IDP.
Примечание:
Чтобы гарантировать защищенные настройки учетных записей SAML см. рекомендации по безопасности SAML.
Необходимая информация
ArcGIS Enterprise должен получить определенную атрибутивную информацию от IDP, когда пользователь входит с использованием учетных записей SAML. Атрибут NameID является обязательным и должен отправляться IDP в ответ на запрос для интеграции работы с SAML. Так как ArcGIS Enterprise использует значение NameID для уникальной идентификации именованного пользователя, рекомендуется для идентификации пользователя использовать постоянное значение. Когда пользователь из IDP осуществляет вход, организация ArcGIS Enterprise создает в хранилище пользователей нового пользователя с именем NameID. Допустимыми символами значения, которое посылается атрибутом ,NameID являются буквы, цифры, _ (нижнее подчеркивание), . (точка) и @ (знак "собачка"). Другие символы будут заменены нижним подчеркиванием в имени пользователя, созданном ArcGIS Enterprise.
ArcGIS Enterprise поддерживает получение email-адреса пользователя, информацию о его участии в группах, указанного имени и фамилии от поставщика удостоверений SAML.
Регистрация OpenAM в качестве SAML IDP в ArcGIS Enterprise
- Убедитесь, что вы вошли в систему в качестве администратора вашей организации.
- Щелкните Организация вверху сайта, затем выберите вкладку Настройки.
- Щелкните Безопасность в левой части страницы.
- В разделе Учетные записи щелкните кнопку Новая учетная запись SAML и выберите опцию Один провайдер аутентификаций. На странице Задать свойства введите имя своей организации (например, City of Redlands). При входе пользователя на портал веб-сайта данный текст отображается внутри строки входа SAML (например, Использование учетной записи City of Redlands).
Примечание:
Вы можете зарегистрировать только один корпоративный SAML IDP или одну интеграцию IDP для своего портала.
- Выберите Автоматически или По приглашению администратора, чтобы указать, как пользователи могут присоединиться к организации. Выбор первой опции позволяет пользователям входить в организацию с указанием учетной записи SAML без вмешательства администратора. Их учетные записи автоматически регистрируются в организации при первом входе. Во втором случае пользователям потребуется регистрация соответствующих учетных записей в организации, выполняемая администратором посредством специальной утилиты командной строки. После регистрации учетных записей пользователи смогут входить в организацию.
Подсказка:
Рекомендуется назначить хотя бы одну учетную запись SAML в качестве администратора портала и отключить или удалить первичную учетную запись администратора. Также рекомендуется отключить кнопку Создать учетную запись на веб-сайте портала, чтобы пользователи не могли создавать собственные учетные записи. Подробные инструкции см. в разделе Настройка SAML - совместимого провайдера идентификации для работы с порталом.
- Введите метаданные для IDP, используя один из трех приведенных ниже вариантов:
- URL—выберите данную опцию, если URL-адрес метаданных OpenAM доступен для ArcGIS Enterprise. Обычно это URL-адрес вида https://<host>:<port>/openam/saml2/jsp/exportmetadata.jsp.
Примечание:
Если ваш SAML IDP имеет самозаверенный сертификат, возникнет ошибка при попытке указать URL по протоколу HTTPS для метаданных. Ошибка возникнет из-за того, что ArcGIS Enterprise не сможет проверить самозаверенный сертификат IDP. Либо используйте в URL протокол HTTP, как указано ниже, либо настройте IDP на работу с доверенным сертификатом.
- Файл — выберите данную опцию, если URL-адрес недоступен дляArcGIS Enterprise . Получите метаданные, используя указанный выше URL-адрес, и перед загрузкой сохраните их в виде файла XML.
- Указанные здесь параметры – выберите данную опцию, если недоступны URL-адрес или файл метаданных. Вручную введите значения и укажите запрашиваемые параметры: URL для входа и сертификат, закодированный в формате BASE 64. Для получения этих значений свяжитесь с администратором OpenAM.
- URL—выберите данную опцию, если URL-адрес метаданных OpenAM доступен для ArcGIS Enterprise. Обычно это URL-адрес вида https://<host>:<port>/openam/saml2/jsp/exportmetadata.jsp.
- Доступна расширенная настройка дополнительных опций:
- Шифровать утверждения—включите эту опцию, если OpenAM будет настроен на шифрование ответов утверждений SAML.
- Шифровать утверждения—включите эту опцию для входа в ArcGIS Enterprise запрос аутентификации SAML, отправляемый в OpenAM.
- ID объекта – Обновите это значение, чтобы использовать новый ID объекта, чтобы уникально идентифицировать ваш портал в OpenAM.
- Обновить профиль для входа — включите эту опцию, чтобы ArcGIS Enterprise обновлял атрибуты givenName, и email address пользователей, если они изменились с момента их последнего входа.
- Включить членство в группе, основанное на SAML—Включите эту опцию, чтобы позволить пользователям организации связать основанные на SAML группы с группами ArcGIS Enterprise во время процесса создания групп.
Для параметров Шифровать утверждения и Включить подписанный запрос используется сертификат samlcert из хранилища ключей портала. Чтобы воспользоваться новым сертификатом, удалите сертификат samlcert, создайте новый с тем же псевдонимом (samlcert), следуя шагам в разделе Импорт сертификата на портал, и перезапустите портал.
Примечание:
В данный момент, Произвести выход в провайдер аутентификации и URL-адрес выхода не поддерживаются.
- Щелкните Сохранить.
Регистрация ArcGIS Enterprise в качестве доверенного провайдера сервиса с OpenAM
- Настройте размещаемого провайдера IDP в OpenAM.
- Выполните вход в консоль администрирования OpenAM. Обычно она доступна по адресу https://servername:port/<deploy_uri>/console.
- На вкладке Общие задачи щелкните Создать провайдера аутентификации.
- Создайте провайдера идентификации IDP и добавьте его в Круг доверия. Вы можете добавить его в существующий круг, если он уже есть, или создать новый.
- По умолчанию размещенный провайдер идентификации IDP работает с OpenDJ, встроенным хранилищем пользователей, которое входит в комплект OpenAM. Если вы хотите подключить OpenAM к любому другому хранилищу пользователей, например, Active Directory, необходимо создать новый источник данных на вкладке Управление доступом основной консоли администрированияOpenAM.
- Настройте ArcGIS Enterprise в качестве доверенного провайдера сервиса с помощью OpenAM.
- Получите файл метаданных для вашего портала и сохраните его как файл XML.
Для получения файла метаданных войдите в вашу организацию в качестве администратора и откройте страницу вашей организации. Щелкните вкладку Настройки, затем Безопасность в левой части страницы. В разделе Учетные записи в Учетные записи SAML щелкните кнопку Загрузить метаданные провайдера сервиса.
- В консоли администрирования OpenAM в разделе Общие задачи щелкните Зарегистрировать удаленного провайдера сервиса.
- Выберите опцию Файл для метаданных и загрузите XML-файл метаданных, сохраненный в предыдущем шаге.
- Добавьте этого провайдера сервиса в тот же круг доверия, в который вы добавили своего провайдера идентификации.
- Получите файл метаданных для вашего портала и сохраните его как файл XML.
- .Настройте формат и атрибуты NameID, которые OpenAM должен отправить в ArcGIS Enterprise после аутентификации пользователя.
- В консоли администрирования OpenAM щелкните вкладку Интеграция. На этой вкладке находится круг доверия, который вы добавили ранее, провайдер сервиса и идентификации.
- В разделе Провайдеры аутентификаций щелкните на вашем провайдере идентификации IDP.
- На вкладке Содержание утверждений в поле Формат ID имени, убедитесь, что urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified указан наверху. Это формат NameID, которое ArcGIS Enterprise будет запрашивать при запросе SAML к OpenAM.
- В поле Карта значений ID имени сопоставьте атрибут пользовательского профиля, например, mail или upn, который будет возвращаться как NameID в ArcGIS Enterprise после аутентификации пользователя.
Пример: urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified =upn
- Щелкните вкладку Содержание утверждений для провайдера идентификации. В разделе Сопоставление атрибутов, вы можете настроить атрибуты из профиля пользователя, которые вы бы хотели отправлять в ArcGIS Enterprise.
Щёлкните Сохранить, чтобы сохранить формат NameID, и содержание атрибутов будет изменено.
- На вкладке Интеграция в консоли администрирования OpenAM перейдите к провайдеру сервиса ArcGIS Enterprise в разделе Провайдеры аутентификаций.
- На вкладке Содержание утверждений в разделе Шифрование выберите опцию Утверждения, если была выбрана дополнительная настройка Шифровать утверждения при регистрации OpenAM в качествепровайдера аутентификации SAML IDP в ArcGIS Enterprise.
- В разделе Формат ID имени убедитесь, что urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified указан наверху списка. Это формат NameID, который ArcGIS Enterprise будет запрашивать в SAML запросе к OpenAM.
- Щелкните вкладку Обработка утверждений в IDP. В разделе Сопоставление атрибутов настройте атрибуты из профиля пользователя, которые вы бы хотели отправлять в ArcGIS Enterprise.
- Щёлкните Сохранить, чтобы сохранить формат Name ID, и содержание атрибутов будет изменено.
- Перезапустите веб-сервер, на котором развернут OpenAM.