Наверх

Настройка Okta

В этом разделе

  1. Необходимая информация
  2. Регистрация Okta в качестве SAML IDP в Portal for ArcGIS
  3. Регистрация Portal for ArcGIS в качестве доверенного провайдера сервиса с Okta

Вы можете настроить Okta как провайдер идентификации (IDP) для SAML учетных записей в Portal for ArcGIS. Процесс настройки состоит из двух основных шагов: регистрации вашего SAML IDP в Portal for ArcGIS и регистрации Portal for ArcGIS в SAML IDP.

Примечание:

Чтобы гарантировать защищенные настройки учетных записей SAML см. рекомендации по безопасности SAML.

Необходимая информация

Portal for ArcGIS должен получить определенную атрибутивную информацию от IDP, когда пользователь входит с использованием учетных записей SAML. Атрибут NameID является обязательным и должен отправляться IDP в ответ на запрос SAML для интеграции работы с Portal for ArcGIS. Так как Portal for ArcGIS использует значение NameID для уникальной идентификации именованного пользователя, рекомендуется для идентификации пользователя использовать постоянное значение. Когда пользователь из IDP осуществляет вход, Portal for ArcGIS создает нового пользователя с именем NameID в хранилище пользователей. Допустимыми символами значения, которое посылается атрибутом ,NameID являются буквы, цифры, _ (нижнее подчеркивание), . (точка) и @ (знак "собачка"). Другие символы будут заменены нижним подчеркиванием в имени пользователя, созданном Portal for ArcGIS.

Portal for ArcGIS поддерживает получение email-адреса пользователя, информацию о его участии в группах, указанного имени и фамилии от поставщика удостоверений SAML.

Регистрация Okta в качестве SAML IDP в Portal for ArcGIS

  1. Убедитесь, что вы вошли в систему в качестве администратора вашей организации.
  2. Щелкните Организация вверху сайта, затем выберите вкладку Настройки.
  3. Щелкните Безопасность в левой части страницы.
  4. В разделе Учетные записи щелкните кнопку Новая учетная запись SAML и выберите опцию Один провайдер аутентификаций. На странице Задать свойства введите имя своей организации (например, City of Redlands). При входе пользователя на портал веб-сайта данный текст отображается внутри строки входа SAML (например, Использование учетной записи City of Redlands).
    Примечание:

    Вы можете зарегистрировать только один корпоративный SAML IDP или одну интеграцию IDP для своего портала.

  5. Выберите Автоматически или По приглашению администратора, чтобы указать, как пользователи могут присоединиться к организации. Выбор первой опции позволяет пользователям входить в организацию с указанием учетной записи SAML без вмешательства администратора. Их учетные записи автоматически регистрируются в организации при первом входе. Во втором случае пользователям потребуется регистрация соответствующих учетных записей в организации, выполняемая администратором посредством специальной утилиты командной строки или скрипта Python. После регистрации учетных записей пользователи смогут входить в организацию.
    Подсказка:

    Рекомендуется назначить хотя бы одну корпоративную учетную запись в качестве администратора портала и отключить или удалить учетную запись основного администратора. Также рекомендуется отключить кнопку Создать учетную запись на веб-сайте портала, чтобы пользователи не могли создавать собственные учетные записи. Подробные инструкции см. в разделе Настройка SAML - совместимого провайдера идентификации для работы с порталом.

  6. Введите метаданные для IDP, используя один из приведенных ниже вариантов:
    • Файл—Скачайте или получите копию файла метаданных с Okta и загрузите его на Portal for ArcGIS с помощью опции Файл.
      Примечание:
      Если вы регистрируете провайдера сервиса в Okta в первый раз, необходимо получить файл метаданных после регистрации Portal for ArcGIS в Okta.
    • Указанные здесь параметры – выберите данную опцию, если недоступны URL-адрес или файл метаданных. Вручную введите значения и укажите запрашиваемые параметры: URL для входа и сертификат, закодированный в формате BASE 64. Для получения этих значений свяжитесь с администратором Okta.
  7. Доступна расширенная настройка дополнительных опций:
    • Шифровать утверждения—включите эту опцию для шифровки ответов подтверждений Okta SAML.
    • Включить запрос с входом – включите эту опцию для входа Portal for ArcGIS в запрос аутентификации SAML, отправляемый в Okta.
    • Произвести выход в провайдер идентификации – включите эту опцию, чтобы Portal for ArcGIS использовал URL-адрес выхода, чтобы выполнить выход пользователя из Okta. Введите URL для использования в настройках URL-адрес выхода. Если IDP для выполнения входа требуется URL-адрес выхода, необходимо включить опцию Включить подписанный запрос.
    • Обновить профиль для входа — включите эту опцию, чтобы ArcGIS Enterprise обновлял атрибуты givenName, и email address пользователей, если они изменились с момента их последнего входа.
    • Включить членство в группе, основанное на SAML—включите эту опцию, чтобы позволить пользователям организации связать заданные корпоративные группы, основанные на SAML с группами ArcGIS Enterprise во время процесса создания групп.
    • URL-адрес выхода – URL-адрес IDP, использующегося при выходе работающего в данный момент пользователя.
    • ID объекта – Обновите это значение, чтобы использовать новый ID объекта, чтобы уникально идентифицировать ваш портал в Okta.

    Для параметров Шифровать утверждения и Включить подписанный запрос используется сертификат samlcert из хранилища ключей портала. Чтобы воспользоваться новым сертификатом, удалите сертификат samlcert, создайте новый с тем же псевдонимом (samlcert), следуя шагам в разделе Импорт сертификата на портал, и перезапустите портал.

  8. По завершении нажмите Сохранить.
  9. Щелкните Загрузить метаданные провайдера сервиса, чтобы загрузить файл метаданных портала. Информация в этом файле будет использоваться для регистрации портала в качестве доверенного провайдера сервиса на Okta.

Регистрация Portal for ArcGIS в качестве доверенного провайдера сервиса с Okta

  1. Войдите в организацию Okta, как участник с правами администратора.
  2. На вкладке Приложения щелкните кнопку Добавить приложение.
  3. Щелкните Создать новое приложение и выберите опцию SAML 2.0. Нажмите Создать.
  4. В Общих настройках введите Имя приложения для развертывания вашего портала и щелкните Далее.
  5. На вкладке Настройка SAML выполните следующее:
    1. Введите значение Адрес URL единого входа, например, https://portalhostname.domain.com/portalcontext/sharing/rest/oauth2/saml/signin. Это значение может быть скопировано из файла метаданных провайдера сервиса, загруженного с вашего портала.
    2. Введите значение для URL аудитории. По умолчанию значение установлено на portalhostname.domain.com.portalcontext. Это значение может быть скопировано из файла метаданных провайдера сервиса, загруженного с вашего портала.
    3. Оставьте значение параметра Формат ID имени равным Не указано.
    4. В Дополнительных настройках измените опцию Подпись утверждения на Не подписано.
    5. В разделе Выражения атрибутов добавьте следующие выражения атрибутов:

      givenName равно user.firstName

      surname равно user.lastName

      email равно user.email

  6. Щелкните Далее и выберите Готово.
  7. Теперь вы увидите раздел Вход для нового созданного приложения SAML. Чтобы получить метаданные для Okta IDP, щелкните вкладку Вход и щелкните ссылку Метаданные провайдера идентификации.
  8. Щелкните правой кнопкой вкладку Пользователи и укажите, какие аутентифицированные пользователи Okta будут иметь доступ к вашему порталу.

Отзыв по этому разделу?

В этом разделе
  1. Необходимая информация
  2. Регистрация Okta в качестве SAML IDP в Portal for ArcGIS
  3. Регистрация Portal for ArcGIS в качестве доверенного провайдера сервиса с Okta