Наверх

Настройка NetIQ Access Manager

В этом разделе

  1. Необходимая информация
  2. Регистрация NetIQ Access Manager как SAML IDP в Portal for ArcGIS
  3. Регистрация Portal for ArcGIS в качестве доверенного провайдера сервиса с NetIQ Access Manager

Вы можете настроить NetIQ Access Manager 3.2 более новые версии в качестве провайдера идентификации (IDP) для учетных записей SAML в Portal for ArcGIS. Процесс настройки состоит из двух основных шагов: регистрации вашего SAML IDP в Portal for ArcGIS и регистрации Portal for ArcGIS в SAML IDP.

Примечание:

Чтобы гарантировать защищенные настройки учетных записей SAML см. рекомендации по безопасности SAML.

Необходимая информация

Portal for ArcGIS должен получить определенную атрибутивную информацию от IDP, когда пользователь входит с использованием учетных записей SAML. Атрибут NameID является обязательным и должен отправляться IDP в ответ на запрос SAML для интеграции работы с Portal for ArcGIS. Так как Portal for ArcGIS использует значение NameID для уникальной идентификации именованного пользователя, рекомендуется для идентификации пользователя использовать постоянное значение. Когда пользователь из IDP осуществляет вход, Portal for ArcGIS создает нового пользователя с именем NameID в хранилище пользователей. Допустимыми символами значения, которое посылается атрибутом ,NameID являются буквы, цифры, _ (нижнее подчеркивание), . (точка) и @ (знак "собачка"). Другие символы будут заменены нижним подчеркиванием в имени пользователя, созданном Portal for ArcGIS.

Portal for ArcGIS поддерживает получение email-адреса пользователя, информацию о его участии в группах, указанного имени и фамилии от поставщика удостоверений SAML.

Регистрация NetIQ Access Manager как SAML IDP в Portal for ArcGIS

  1. Убедитесь, что вы вошли в систему в качестве администратора вашей организации.
  2. Щелкните Организация вверху сайта, затем выберите вкладку Настройки.
  3. Щелкните Безопасность в левой части страницы.
  4. В разделе Учетные записи щелкните кнопку Новая учетная запись SAML и выберите опцию Один провайдер аутентификаций. На странице Задать свойства введите имя своей организации (например, City of Redlands). При входе пользователя на портал веб-сайта данный текст отображается внутри строки входа SAML (например, Использование учетной записи City of Redlands).
    Примечание:

    Вы можете зарегистрировать только один корпоративный SAML IDP или одну интеграцию IDP для своего портала.

  5. Выберите Автоматически или По приглашению администратора, чтобы указать, как пользователи могут присоединиться к организации. Выбор первой опции позволяет пользователям входить в организацию с указанием учетной записи SAML без вмешательства администратора. Их учетные записи автоматически регистрируются в организации при первом входе. Во втором случае пользователям потребуется регистрация соответствующих учетных записей в организации, выполняемая администратором посредством специальной утилиты командной строки или скрипта Python. После регистрации учетных записей пользователи смогут входить в организацию.
    Подсказка:

    Рекомендуется назначить хотя бы одну корпоративную учетную запись в качестве администратора портала и отключить или удалить учетную запись основного администратора. Также рекомендуется отключить кнопку Создать учетную запись на веб-сайте портала, чтобы пользователи не могли создавать собственные учетные записи. Подробные инструкции см. в разделе Настройка SAML - совместимого провайдера идентификации для работы с порталом.

  6. Введите метаданные для IDP, используя один из трех приведенных ниже вариантов:
    • URL—выберите данную опцию, если URL-адрес интегрированных метаданных NetIQ Access Manager доступен для Portal for ArcGIS. URL-адрес обычно указывает на https://<host>:<port>/nidp/saml2/metadata на компьютер, где работает NetIQ Access Manager.
      Примечание:

      Если ваш SAML IDP имеет самозаверенный сертификат, возникнет ошибка при попытке указать URL по протоколу HTTPS для метаданных. Ошибка возникнет из-за того, что Portal for ArcGIS не сможет проверить самозаверенный сертификат провайдера идентификации. Либо используйте в URL протокол HTTP, как указано ниже, либо настройте IDP на работу с доверенным сертификатом.

    • Файл — выберите данную опцию, если URL-адрес недоступен дляArcGIS Enterprise . Получите метаданные, используя указанный выше URL-адрес, и перед загрузкой сохраните их в виде файла XML.
    • Указанные здесь параметры – выберите данную опцию, если недоступны URL-адрес или файл метаданных. Вручную введите значения и укажите запрашиваемые параметры: URL для входа и сертификат, закодированный в формате BASE 64. Для получения этих значений свяжитесь с администратором NetIQ Access Manager.
  7. Доступна расширенная настройка дополнительных опций:
    • Шифровать утверждения—включите эту опцию, если NetIQ Access Manager будет настроен на шифрование ответов утверждений SAML.
    • Включить запрос с входом – включите эту опцию для входа Portal for ArcGIS в запрос аутентификации SAML, отправляемый в NetIQ Access Manager.
    • Произвести выход в провайдер идентификации — включите эту опцию, чтобы заставить Portal for ArcGIS использовать URL-адрес выхода для выхода пользователя из Net IQ Access Manager. Введите используемый URL в поле URL-адрес выхода. Если IDP для выполнения входа требуется URL-адрес выхода, необходимо включить опцию Включить подписанный запрос.
    • Обновить профиль для входа — включите эту опцию, чтобы ArcGIS Enterprise обновлял атрибуты givenName, и email address пользователей, если они изменились с момента их последнего входа.
    • Включить членство в группе, основанное на SAML—включите эту опцию, чтобы позволить пользователям организации связать заданные корпоративные группы, основанные на SAML с группами ArcGIS Enterprise во время процесса создания групп.
    • URL-адрес выхода – URL-адрес IDP, использующегося при выходе работающего в данный момент пользователя. Это значение автоматически заполняется, если задан файл метаданных IDP. При необходимости вы можете обновить этот URL-адрес.
    • ID объекта – обновите это значение, чтобы использовать новый ID объекта, чтобы уникально идентифицировать ваш портал в NetIQ Access Manager.

    Для параметров Шифровать утверждения и Включить подписанный запрос используется сертификат samlcert из хранилища ключей портала. Чтобы воспользоваться новым сертификатом, удалите сертификат samlcert, создайте новый с тем же псевдонимом (samlcert), следуя шагам в разделе Импорт сертификата на портал, и перезапустите портал.

  8. Щелкните Сохранить.

Регистрация Portal for ArcGIS в качестве доверенного провайдера сервиса с NetIQ Access Manager

  1. Настройте набор атрибутов.

    .Выполните указанные ниже шаги для создания нового набора атрибутов, чтобы их можно было отправить на Portal for ArcGIS в качестве SAML-подтверждения после аутентификации пользователя. Если у вас уже имеется настроенный набор атрибутов в NetIQ Access Manager, можно использовать его.

    1. Выполните вход в консоль администрирования NetIQ Access Manager. Обычно она доступна по адресу https://<host>:<port>/nps.
    2. В административной консоли NetIQ перейдите к серверу аутентификации и щёлкните вкладку Настройки общего доступа. В разделе Наборы атрибутов можно увидеть все уже созданные наборы. Щелкните Новый и создайте новый набор атрибутов. Войдите в Portal в раздел Настроить имя и щелкните Далее.
    3. Задайте сопоставление атрибутов и добавьте их в набор атрибутов, созданный в предыдущем шаге.

    Щелкните ссылку Новый и добавьте любые новые сопоставления атрибутов. На снимках экрана ниже показано добавление сопоставления атрибутов для givenName, email address и uid. Вы можете выбрать любые атрибуты из вашего источника аутентификации вместо этих примеров.

    Атрибут givenName
    Атрибут email
    Атрибут uid

    Щелкните Готово в мастере Создание набора атрибутов. Появится новый набор атрибутов с именем Portal.

  2. Выполните указанные ниже шаги, чтобы добавить Portal for ArcGIS в качестве доверенного провайдера NetIQ Access Manager.
    1. Выполните вход в административную консоль NetIQ, выберите сервер аутентификации и щелкните ссылку Редактировать.
      Консоль администрирования

      Откроется вкладка Общие.

    2. Щелкните закладку SAML 2.0 и выберите Новый > Провайдер сервиса.

      В окне Провайдер сервиса можно добавить Portal for ArcGIS в качестве доверенного провайдера сервисов с NetIQ Access Manager.

    3. В мастере Создать доверенный провайдер сервиса щелкните Текст метаданных в поле Источник и вставьте метаданные вашей организации Portal for ArcGIS в поле Тект.

      .Чтобы получить метаданные вашего портала ArcGIS Enterprise войдите в организацию от имени администратора, щелкните вкладку Настройки, щелкните Безопасность на левой стороне страницы. В разделе Учетные записи в Учетные записи SAML щелкните кнопку Загрузить метаданные провайдера сервиса, чтобы загрузить файл метаданных в организацию.

      Щелкните Далее и Готово, чтобы завершить создание доверенного провайдера сервиса.

  3. Выполните указанные ниже шаги, чтобы настроить свойства интеграции Portal for ArcGIS и NetIQ Access Manager.
    1. На вкладке SAML 2.0 щелкните ссылку провайдера сервиса в разделе Провайдеры сервисов. Открывается вкладка Настройка. Щелкните вкладку Метаданные и убедитесь, что метаданные вашей организации Portal for ArcGIS правильны.
    2. Щёлкните вкладку Конфигурация, чтобы вернуться к разделу настроек Доверенные. Выберите опцию Шифровать утверждения, если была выбрана дополнительная настройка Шифровать утверждения при регистрации NetIQ Access Manager as the SAML IDP в Portal for ArcGIS.
    3. Щёлкните вкладку Атрибуты.

      В этом шаге вы добавите сопоставление атрибутов из заранее созданного набора, чтобы NetIQ Access Manager мог отправить атрибуты в Portal for ArcGIS в качестве подтверждения SAML.

      Выберите набор атрибутов, заданный в шаге 2.1. После выбора набора атрибутов соответствующие атрибуты появятся в поле Доступно. Переместите атрибуты givenName и email в поле Отправить вместе с аутентификацией.

    4. Щёлкните вкладку Ответ аутентификации под вкладкой Конфигурация провайдера сервиса и настройте ответ аутентификации.

      Щелкните Закрепить в ниспадающем меню Привязка.

      В столбце Идентификатор имени включите опцию Не указано.

      В столбце По умолчанию выберите опцию Не указано.

      В столбце Значение выберите Ldap Attribute uid.

      Примечание:

      Вы можете настроить любые другие уникальные атрибуты из списка атрибутов вашего источника, которые будут отправляться как NameID. Значение этого параметра будет использоваться в качестве имени пользователя в организации.

      Щелкните Применить.

    5. В разделе Конфигурация щелкните закладку Опции и выберите контракт аутентификации пользователей, например, Имя/Пароль – форма и щелкните Применить.
  4. Перезапустите NetIQ Access Manager, выбрав сервер аутентификации и щелкнув ссылку Обновить все.

    Перезапуск NetIQ

Отзыв по этому разделу?

В этом разделе
  1. Необходимая информация
  2. Регистрация NetIQ Access Manager как SAML IDP в Portal for ArcGIS
  3. Регистрация Portal for ArcGIS в качестве доверенного провайдера сервиса с NetIQ Access Manager