Наверх

Настройка Azure Active Directory

В этом разделе

  1. Необходимая информация
  2. Регистрация Azure AD в качестве SAML IDP на портале
  3. Регистрация Portal for ArcGIS в качестве проверенного провайдера сервиса в Azure AD

Microsoft Azure Active Directory (AD) - это провайдер идентификации, совместимый с Security Assertion Markup Language (SAML). Вы можете настроить его в качестве провайдера идентификации (IDP) для учетных записей SAML в Portal for ArcGIS. Процесс настройки состоит из двух основных шагов: регистрация Azure AD на портале ArcGIS Enterprise и регистрация Portal for ArcGIS на портале Azure AD.

Примечание:

Чтобы гарантировать защищенные настройки учетных записей SAML см. рекомендации по безопасности SAML.

Чтобы настроить Azure AD на работу с ArcGIS Enterprise, необходима премиум-подписка Azure AD.

Необходимая информация

Portal for ArcGIS должен получить определенную атрибутивную информацию от IDP, когда пользователь входит с использованием учетных записей SAML. Атрибут NameID является обязательным и должен отправляться IDP в ответ на запрос SAML для интеграции работы с Portal for ArcGIS. Так как Portal for ArcGIS использует значение NameID для уникальной идентификации именованного пользователя, рекомендуется для идентификации пользователя использовать постоянное значение. Когда пользователь из IDP осуществляет вход, Portal for ArcGIS создает нового пользователя с именем NameID в хранилище пользователей. Допустимыми символами значения, которое посылается атрибутом ,NameID являются буквы, цифры, _ (нижнее подчеркивание), . (точка) и @ (знак "собачка"). Другие символы будут заменены нижним подчеркиванием в имени пользователя, созданном Portal for ArcGIS.

Portal for ArcGIS поддерживает получение email-адреса пользователя, информацию о его участии в группах, указанного имени и фамилии от поставщика удостоверений SAML.

Регистрация Azure AD в качестве SAML IDP на портале

  1. Убедитесь, что вы вошли в систему в качестве администратора вашей организации.
  2. Щелкните Организация вверху сайта, затем выберите вкладку Настройки.
  3. Щелкните Безопасность в левой части страницы.
  4. В разделе Учетные записи щелкните кнопку Новая учетная запись SAML и выберите опцию Один провайдер аутентификаций. На странице Задать свойства введите имя своей организации (например, City of Redlands). При входе пользователя на портал веб-сайта данный текст отображается внутри строки входа SAML (например, Использование учетной записи City of Redlands).
    Примечание:

    Вы можете зарегистрировать только один корпоративный SAML IDP или одну интеграцию IDP для своего портала.

  5. Выберите Автоматически или По приглашению администратора, чтобы указать, как пользователи могут присоединиться к организации. Выбор первой опции позволяет пользователям входить в организацию с указанием учетной записи SAML без вмешательства администратора. Их учетные записи автоматически регистрируются в организации при первом входе. Во втором случае пользователям потребуется регистрация соответствующих учетных записей в организации, выполняемая администратором посредством специальной утилиты командной строки или скрипта Python. После регистрации учетных записей пользователи смогут входить в организацию.
    Подсказка:

    Рекомендуется назначить хотя бы одну корпоративную учетную запись в качестве администратора портала и отключить или удалить учетную запись основного администратора. Также рекомендуется отключить кнопку Создать учетную запись на веб-сайте портала, чтобы пользователи не могли создавать собственные учетные записи. Подробные инструкции см. в разделе Настройка SAML - совместимого провайдера идентификации для работы с порталом.

  6. Введите метаданные для IDP, используя один из приведенных ниже вариантов:
    • Файл – скачайте файл метаданных Azure AD и загрузите его на Portal for ArcGIS с помощью опции Файл.
      Примечание:
      Если вы регистрируете провайдера сервиса в Azure AD в первый раз, необходимо получить файл метаданных после регистрации Portal for ArcGIS с Azure AD.
    • Параметры – выберите данную опцию, если недоступны URL-адрес или файл метаданных. Вручную введите значения и укажите запрашиваемые параметры: URL для входа и сертификат, закодированный в формате BASE 64. Для получения этих значений свяжитесь с администратором Azure AD.
  7. Настройте следующие дополнительные опции необходимым образом:
    • Шифровать утверждения – выберите эту опцию для шифровки ответов подтверждений Azure AD SAML.
    • Включить подписанный запрос – Выберите эту опцию, чтобы Portal for ArcGIS подписывал запрос аутентификации SAML, который отправляется на AD FS.
    • Произвести выход в провайдер идентификации – включите эту опцию, чтобы Portal for ArcGIS использовал URL-адрес выхода, чтобы выполнить выход пользователя из Azure AD. Введите URL для использования в настройках URL-адрес выхода. Если IDP для выполнения входа требуется URL-адрес выхода, включите опцию Включить подписанный запрос.
    • Обновить профиль для входа — включите эту опцию, чтобы Portal for ArcGIS обновил пользовательские атрибуты givenName и email address, если они с момента их последнего входа изменились.
    • Включить членство в группе, основанное на SAML - выберите эту опцию, чтобы позволить пользователям организации связать основанные на SAML группы с группами Portal for ArcGIS в процессе создания группы.
    • URL-адрес выхода – URL-адрес IDP, который используется при выходе работающего в данный момент пользователя.
    • ID объекта – Обновите это значение, чтобы использовать новый ID объекта, чтобы уникально идентифицировать ваш портал в Azure AD.

    Для параметров Шифровать утверждения и Включить подписанный запрос используется сертификат samlcert из хранилища ключей портала. Чтобы воспользоваться новым сертификатом, удалите сертификат samlcert, создайте новый с тем же псевдонимом (samlcert), следуя шагам в разделе Импорт сертификата на портал, и перезапустите портал.

  8. Когда закончите, щелкните Обновить провайдера идентификации.
  9. Щелкните Загрузить метаданные провайдера сервиса, чтобы загрузить файл метаданных портала. Информация в этом файле будет использоваться для регистрации портала в качестве доверенного провайдера сервиса на Azure AD.

Регистрация Portal for ArcGIS в качестве проверенного провайдера сервиса в Azure AD

  1. Войдите на портал Azure как участник с правами администратора.
  2. Следуя инструкциям в документации Azure, добавьте Portal for ArcGIS в Azure AD в качестве приложения, отличного от галереи, и настройте единый вход. Необходимо указать файл Metadata.xml, загруженный с Portal for ArcGIS.

    Portal for ArcGIS появится в списке Enterprise Applications в Azure AD.

  3. Добавьте пользователей и назначьте им приложение, если необходимо.
  4. Дополнительно настройте SAML-заявления, передаваемые в ArcGIS Enterprise. Интересующие вас атрибуты в ответе SAML - это givenName и emailaddress.

Отзыв по этому разделу?

В этом разделе
  1. Необходимая информация
  2. Регистрация Azure AD в качестве SAML IDP на портале
  3. Регистрация Portal for ArcGIS в качестве проверенного провайдера сервиса в Azure AD