Организация может использовать Security Assertion Markup Language (SAML) для аутентификации пользователей ПК и авторизации доступа к своим веб-ресурсам. Для этого один провайдер аутентификации SAML настраивается на аутентификацию пользователей. Веб-ресурсы организации размещаются на одном или нескольких провайдерах сервисов, которые авторизуют доступ к веб-ресурсам. Организация имеет полный контроль над своими провайдерами аутентификации и сервисов. Для поддержки аутентификации и авторизации на основе SAML, каждый провайдер сервиса организации должен быть зарегистрирован на работу со своим провайдером аутентификации. Каждый провайдер сервиса должен быть зарегистрирован только с одним провайдером аутентификации.
Вы также можете использовать SAML для публикации ресурсов вреди нескольких независимо управляемых организаций. Это становится возможным при интеграции элементов управления, которые позволяют публикацию ресурсов на базе SAML среди организаций-участников. Организация-участник, которая хочет публиковать свои веб-ресурсы в интеграции, резервирует один или несколько своих провайдеров сервисов для работы исключительно с интеграцией. Для доступа к защищенным ресурсам, доступным в пределах интегрированных участников, пользователи проверяют подлинность с помощью IDP домашней организации. После успешной аутентификации данные об успешной проверки передаются провайдеру сервиса, размещающего защищенный ресурс. Далее провайдер сервиса предоставляет доступ к ресурсу после проверки прав доступа пользователя.
В версии 10.6.1 портал ArcGIS Enterprise можно настроить на интеграцию провайдеров аутентификации на базе SAML. Портал получает доступ к сервису обнаружения в интеграции, который обеспечивает список провайдеров аутентификации и провайдеров сервисов, участвующих в интеграции.
К часто используемым провайдерам аутентификации на базе SAML относятся InCommon, eduGAIN, SWITCHaai, DFN-AAI и UK Access Management Federation.
Настройка интеграции на портале
Для настройки интеграции поставщиков удостоверений на базе SAML выполните следующие шаги:
- Войдите на портал в качестве администратора и щелкните Организация > Настройки > Безопасность.
- В разделе Учетные записи щелкните кнопку Новая учетная запись SAML и выберите опцию Один провайдер аутентификаций. На странице Указать свойства введите имя интеграции. Это описание отображается у пользователей, входящих на портал как часть опции входа SAML.
- Выберите способ присоединения пользователей к организации портала:
- Автоматически - пользователи могут присоединяться к организации с использованием своих корпоративных учетных записей без всякого вмешательства администратора, т.к. их учетная запись автоматически регистрируется в организации во время первого входа.
- По приглашению от администратора - требуется, чтобы администратор организации зарегистрировал необходимые учетные записи в организации с помощью утилиты командной строки или скрипта Python.
Примечание:
Esri рекомендует выделить хотя бы одну учетную запись SAML в качестве администратора портала и отключить кнопку Создать учетную запись на портале, чтобы пользователи не могли создавать собственные учетные записи. Дополнительные сведения см. в разделе ниже Назначение учетной записи SAML в качестве администратора.
- Введите URL-адрес централизованного сервиса обнаружения провайдера аутентификации, размещенного интеграцией, например, https://wayf.samplefederation.com/WAYF.
- Введите URL в метаданные объединения, где агрегированы метаданные всех провайдеров аутентификации и сервисов, участвующих в объединении.
- Скопируйте и вставьте сертификат, закодированный в Base64, что позволяет порталу проверить подлинность метаданных объединения.
- Доступна расширенная настройка дополнительных опций:
- Шифровать утверждения – выберите эту опцию, чтобы показать провайдеру аутентификации SAML, что портал поддерживает шифрованные ответы утверждений SAML. Если эта опция выбрана, то провайдер аутентификации будет шифровать раздел утверждений ответов SAML. Весь трафик SAML шифруется в обе стороны при использовании HTTPS, эта опция добавляет дополнительный уровень шифрования.
- Включить подписанный запрос – включите эту опцию, чтобы портал подписывал запрос аутентификации SAML, направленный провайдеру аутентификации. Подпись исходного запроса аутентификации, отправленного порталом, позволяет провайдеру аутентификации проверить, что все запросы аутентификации исходят от доверенного провайдера сервисов.
- Произвести выход в провайдер аутентификации – включите эту опцию, чтобы в на портале использовался URL-адрес выхода, для выхода пользователя из провайдера идентификаций. Если эта опция выбрана, введите используемый URL в поле URL-адрес выхода. Если провайдеру аутентификации для выполнения входа требуется URL-адрес выхода, необходимо также отметить опцию Включить подписанный запрос. Если это опция не выбрана, кнопка Выйти на портале отключит пользователя от портала, но не от провайдера аутентификации. Если кэш веб-браузера пользователя не очищен, попытка немедленно выполнить вход обратно на портал, используя опцию корпоративной учетной записи, приведет к немедленному входу без необходимости предоставления учетных данных для провайдера аутентификации. Это уязвимость в системе безопасности, которая может быть использована при пользовании компьютером, доступным неавторизованным пользователям или широкой публике.
- Обновить профили для входа – включите эту опцию для обновления на портале пользовательских атрибутов givenName и email address, если они изменились с момента последнего входа. Эта опция выбрана по умолчанию.
- ID объекта – обновите это значение, чтобы для уникальной идентификации организации портала в провайдере аутентификации SAML использовался новый ID объекта.
Регистрация портала на работу с интеграцией SAML в качестве доверенного провайдера сервиса
Чтобы завершить процесс настройки, установите доверительные отношения между сервисом обнаружения интеграции и провайдером аутентификации вашей организации, зарегистрировав в ней метаданные сервиса портала. Получить метаданные можно двумя способами:
- В разделе Безопасность страницы Настройки вашей организации, нажмите кнопку Загрузить метаданные провайдера сервиса, чтобы скачать файл метаданных для вашей организации.
- Перейдите по URL-ссылке метаданных и сохраните его как файл XML на вашем компьютере. URL-адрес – это https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, например, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Вы можете создать токен с помощью https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. При указании URL на странице Создать токен укажите полное доменное имя сервера провайдера аутентификации в поле Webapp URL. Выбор любой другой опции, как то IP-адрес или IP-адрес происхождения запроса, не поддерживается и может привести к генерации неверного токена.
После загрузки метаданных поставщика услуг обратитесь к администраторам интеграции SAML за инструкциями по интеграции метаданных в файл агрегированных метаданных интеграции. Вам также потребуются инструкции от них для регистрации вашего IDP в интеграции.
Назначение учетной записи SAML прав администратора
Назначение учетной записи SAML как администратора портала будет зависит от, того могут ли пользователи присоединиться к организации Автоматически или По приглашению администратора.
Автоматическое присоединение к организации
Если вы выбрали опцию, чтобы пользователи присоединялись к организации Автоматически, откройте портал, выполнив вход с помощью учетной записи SAML, которую вы хотите использовать в качестве администратора организации.
При первом добавлении учетной записи в портал автоматически ей назначается роль Пользователь. Только Администратор организации может изменить роль учетной записи; следовательно, вы должны войти на портал, используя первичную учетную запись администратора и назначить учетной записи SAML роль администратора.
- Откройте портал и щелкните на опции входа с использованием провайдера аутентификации SAML и введите учетные данные учетной записи SAML, которую вы хотите использовать в качестве администратора. Если эта учетная запись принадлежит кому-то другому, попросите этого пользователя подключиться к порталу, чтобы эта учетная запись была зарегистрирована на портале.
- Убедитесь, что учетная запись была добавлена в портале, и щелкните Выйти. Очистите кэш и cookies вашего браузера.
- Не выходя из браузера, откройте портал, щелкните на опции входа с использованием встроенной учетной записи портала и укажите имя пользователя и пароль первичной учетной записи администратора, которая была создана вами при настройке Portal for ArcGIS.
- Найдите учетную запись SAML, которую вы будете использовать для администрирования вашего портала, и измените ее роль на Администратор. Щелкните Выйти.
Выбранная вами учетная запись SAML будет теперь иметь права администратора портала.
Добавление учетных записей SAML на портал вручную
Если вы выбрали опцию, которая позволяет пользователям присоединяться к организации По приглашению администратора, то вам нужно зарегистрировать соответствующие учетные записи в организации с помощью утилиты командной строки или скрипта Python. Обязательно выберите роль Администратор для учетной записи SAML, которая будет использоваться для администрирования портала.
Отмена прав или удаление первичной учетной записи администратора
Теперь, когда у вас появилась дополнительная учетная запись администратора организации, вы можете назначить начальной учетной записи администратора роль Пользователя или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.
Запрет создания собственных учетных записей для пользователей
Запретите создание собственных учетных записей пользователями, отключив эту возможность в настройках организации.
Отключение входа под учетными записями ArcGIS
Чтобы запретить пользователям вход на портал под учетными записями ArcGIS, выключите кнопку Учетная запись ArcGIS, находящуюся на странице входа, выполнив следующие шаги.
- Войдите на портал в качестве администратора вашей организации и щелкните Организация > Настройки > Безопасность.
- В разделе Учетные записи отключите кнопку Учетная запись ArcGIS.
На странице входа будет отображаться кнопка для входа на портал с использованием учетной записи провайдера аутентификации, а кнопка для входа Учетная запись ArcGIS будет недоступна. Вы можете повторно включить вход участников, используя учетные записи ArcGIS, включив опцию Учетная запись ArcGIS в разделе Учетные записи.
Изменение или удаление провайдера аутентификации SAML
Когда вы настроили интеграцию, вы можете обновить ее настройки, нажав кнопку Редактировать рядом с ней. Обновите настройки в окне Редактировать учетную запись SAML.
Чтобы удалить интеграцию с вашего портала, нажмите кнопку Редактировать рядом с ней и нажмите Удалить учетную запись в окне Редактировать учетную запись SAML. После удаления интеграции, можно задать нового провайдера аутентификации или интеграцию поставщиков удостоверений, если необходимо.