Настройка SAML-совместимого провайдера идентификации для работы с порталом

Security Assertion Markup Language (SAML) - это открытый стандарт, который используется для безопасного обмена данными аутентификации и авторизации между провайдером идентификации организации и провайдером сервиса (в данном случае Portal for ArcGIS). Этот подход известен как Единый веб-вход SAML.

Портал совместим с SAML 2.0 и работает с провайдерами идентификации, поддерживающими стандарт SAML 2 Web Single Sign On. Преимущество настройки SAML состоит в том, что вам не нужно создавать для пользователей дополнительные учетные записи для доступа к ArcGIS Enterprise; они могут использовать уже настроенную в хранилище учетную запись. Данный процесс называют в документации настройкой корпоративных учетных записей.

Вы также можете ввести в портал метаданные, относящиеся к корпоративным группам в вашем хранилище идентификаций. Это позволит создавать группы на портале, которые используют существующие корпоративные группы из хранилища идентификаций.

Когда участники входят на портал, доступ к ресурсам, элементам и данным обеспечивается правилами, заданными в корпоративной группе. Если вы не предоставите необходимых метаданных о корпоративных группах, вы все равно сможете создавать группы. Однако правила участия контролируются порталом ArcGIS Enterprise, а не хранилищем идентификаций.

Сопоставление имен пользователей ArcGIS Online на портале ArcGIS Enterprise

Если в вашей организации ArcGIS Online и на портале используется тот же провайдер идентификации SAML, то корпоративные имена пользователей можно настраивать, чтобы они совпадали. У всех корпоративных имен пользователей в организации ArcGIS Online есть короткие имена, присоединенные в конце. Такие же корпоративные имена пользователей можно использовать на портале, задав свойство defaultIDPUsernameSuffix портала в ArcGIS Enterprise и указав его в соответствии с коротким именем организации. Это необходимо, если включено отслеживание правок для сервиса объектов, редактируемого корпоративными пользователями ArcGIS Online и портала.

Вход в SAML

Portal for ArcGIS поддерживает корпоративные учетные записи, инициированные провайдером сервиса (SP) и провайдером идентификаций (IDP). Процедуры входа с их использованием отличаются.

Учетные записи, полученные от провайдера сервиса

При использовании учетных записей провайдера сервиса пользователи получают доступ к порталу напрямую, и у них есть возможность входа с использованием встроенных учетных записей (управляемых порталом) или учетных записей, которые хранятся в провайдере идентификации с поддержкой SAML. Если пользователь выбирает опцию использования провайдера идентификаций SAML, он перенаправляется на веб-страницу (известную как диспетчер входа в систему), где ему предлагается указать свое имя пользователя SAML и пароль. После проверки учетных данных пользователя соответствующий SAML провайдер идентификации сообщает Portal for ArcGIS о подтвержденной личности пользователя, который входит в систему, и пользователь перенаправляется обратно на веб-сайт портала.

Если участник выбирает опцию использования встроенной учетной записи, то открывается страница входа на веб-сайт портала ArcGIS Enterprise организации. Затем пользователь вводит свое встроенное имя пользователя и пароль для доступа к веб-сайту. Встроенную учетную запись можно использовать в качестве отказоустойчивой, если провайдер идентификации, совместимый с SAML, недоступен при условии, что опция входа с использованием учетной записи ArcGIS не была отключена.

Учетные записи, полученные от провайдера идентификации

С учетными записями, полученными от провайдера идентификации, пользователи сразу производят доступ к менеджеру корпоративной аутентификации и производят вход с использованием их учетных записей. Когда пользователь сообщает сведения о своей учетной записи, провайдер идентификаций посылает SAML-ответ непосредственно в Portal for ArcGIS. Пользователь входит и перенаправляется на веб-сайт портала своей организации, где он может сразу получить доступ к ресурсам без необходимости выполнения повторного входа в организацию.

Опция входа с помощью встроенных учетных записей из менеджера аутентификации будет недоступна. Чтобы войти в организацию с использованием встроенных учетных записей, участники должны произвести доступ к веб-сайту портала напрямую.

Примечание:

Если аутентификации SAML перестали работать из-за вашего провайдера идентификации, и опция встроенных учетных записей неактивна, вы не сможете получить доступ к вашему порталу ArcGIS Enterprise, пока не сделаете активной эту опцию. См. этот вопрос в разделе Общие проблемы и решения для получения инструкций.

Провайдеры идентификации SAML

Portal for ArcGIS поддерживает все SAML-совместимые провайдеры идентификации. В следующих руководствах описывается порядок настройки некоторых SAML-совместимых провайдеров идентификации с Portal for ArcGIS:

Процесс получения необходимых метаданных от провайдера идентификации, перечисленных выше, описан в каждой ссылке. Процесс настройки провайдера идентификации с Portal for ArcGIS описан ниже. Перед продолжением рекомендуется связаться с администратором вашего провайдера идентификации SAML для получения параметров, необходимых для настройки.

Необходимая информация

Portal for ArcGIS должен получить определенную атрибутивную информацию от IDP, когда пользователь входит с использованием учетных записей SAML. Атрибут NameID является обязательным и должен отправляться IDP в ответ на запрос SAML для интеграции работы с Portal for ArcGIS. Так как Portal for ArcGIS использует значение NameID для уникальной идентификации именованного пользователя, рекомендуется для идентификации пользователя использовать постоянное значение. Когда пользователь из IDP осуществляет вход, Portal for ArcGIS создает нового пользователя с именем NameID в хранилище пользователей. Допустимыми символами значения, которое посылается атрибутом ,NameID являются буквы, цифры, _ (нижнее подчеркивание), . (точка) и @ (знак "собачка"). Другие символы будут заменены нижним подчеркиванием в имени пользователя, созданном Portal for ArcGIS.

Portal for ArcGIS поддерживает получение email-адреса пользователя, информацию о его участии в группах, указанного имени и фамилии от поставщика удостоверений SAML.

Настройка SAML-совместимого провайдера идентификации для работы с порталом

Портал можно настроить так, чтобы пользователи выполняли вход, используя то же имя и пароль, которые используются для входа в локальные системы. Перед настройкой Корпоративных учетных записей вам необходимо настроить тип пользователя по умолчанию для своей организации.

  1. Войдите на веб-сайт портала в качестве администратора вашей организации и щелкните Организация > Настройки > Безопасность.
  2. В разделе Учетные записи щелкните кнопку Новая учетная запись SAML и выберите опцию Один провайдер аутентификаций. На странице Задать свойства введите имя своей организации (например, City of Redlands).

    При входе пользователей на веб-сайт портала данный текст отображается внутри строки входа SAML (например, Использование учетной записи City of Redlands).

  3. Выберите Автоматически или По приглашению администратора, чтобы указать, могут ли пользователи присоединяться к организации автоматически или по приглашению.
    Первый вариант позволяет пользователям входить в организацию со своей учетной записью для конкретной организации без вмешательства администратора. Их учетные записи автоматически регистрируются в организации при первом входе. Второй вариант требует, чтобы администратор зарегистрировал необходимые учетные записи в организации с помощью утилиты командной строки или примера скрипта Python. После регистрации учетных записей пользователи смогут входить в организацию.
    Подсказка:

    Рекомендуется назначить хотя бы одну учетную запись SAML в качестве администратора портала и отключить или удалить первичную учетную запись администратора. Также рекомендуется отключить кнопку Создать учетную запись на веб-сайте портала, чтобы пользователи не могли создавать собственные учетные записи. Инструкции см. в разделе ниже Назначение учетной записи для конкретной организации администратором.

  4. Укажите источник, к которому портал будет обращаться для получения информации о метаданных. Это предоставляет необходимую информацию о метаданных о вашем SAML-совместимом провайдере идентификации. Для доступа к инструкции о получении метаданных от сертифицированных провайдеров перейдите к разделу Провайдеры идентификации SAML выше. Имеется три возможных источника этих метаданных:
    • URL-адрес – введите URL-адрес, который возвращает метаданные о провайдере идентификации.
      Примечание:

      Если ваш провайдер идентификации включает самозаверенный сертификат, вы можете столкнуться с ошибкой при указании URL-адреса HTTPS для метаданных. Ошибка возникнет из-за того, что Portal for ArcGIS не сможет проверить самозаверенный сертификат провайдера идентификации. Либо используйте в URL протокол HTTP, как указано ниже, либо настройте провайдер идентификации на работу с доверенным сертификатом.

    • Файл – загрузите файл, который содержит метаданные о провайдере идентификации.
    • Параметры, указанные здесь - Непосредственно введите информацию метаданных о провайдере идентификации, указав следующее:
      • URL учетной записи (Перенаправление) – Введите URL провайдера идентификации (поддерживающее привязку перенаправления HTTP), который будет использоваться в Portal for ArcGIS для входа участника.
      • URL учетной записи (POST) – введите адрес URL провайдера идентификации (поддерживающий привязку HTTP POST), который будет использоваться в Portal for ArcGIS для входа участника.
      • Сертификат – укажите сертификат корпоративного провайдера идентификации в формате BASE 64. Это сертификат, который включает Portal for ArcGIS для проверки цифровых подписей в ответах SAML, направляемых в ArcGIS Online провайдером идентификации.
    Примечание:

    Свяжитесь с администратором провайдера идентификации, если вам требуется помощь при определении источника метаданных.

  5. Зарегистрируйте метаданные провайдера сервиса портала у своего провайдера идентификации, чтобы завершить процесс настройки и установить доверительные отношения с провайдером идентификации. Чтобы получить метаданные с вашего портала, выполните одно из следующих действий:
    • В разделе Безопасность вкладки Настройки вашей организации щелкните кнопку Загрузить метаданные провайдера сервиса, чтобы загрузить файл метаданных для вашей организации.
    • Откройте URL-адрес метаданных и сохраните его как файл .xml на своем компьютере. URL-адрес – это https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, например, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Вы можете создать токен с помощью https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. При указании URL на странице Создать токен укажите полное доменное имя сервера провайдера идентификации в текстовом окне URL веб-приложения. Никакой другой вариант, такой как IP-адрес или IP-адрес происхождения запроса, не поддерживается и может генерировать недопустимый токен.

    Для доступа к инструкции о регистрации метаданных сервиса провайдера портала в сертифицированных провайдерах перейдите к разделу Провайдеры идентификации SAML выше.

  6. Доступна расширенная настройка дополнительных опций:
    • Шифровать утверждения – показывает провайдеру идентификации SAML, что Portal for ArcGIS поддерживаются шифрованные ответы утверждений SAML. Если эта опция выбрана, то провайдер идентификации будет шифровать раздел утверждений ответов SAML. Весь трафик SAML шифруется в обе стороны по отношению к Portal for ArcGIS при использовании HTTPS, эта опция добавляет дополнительный уровень шифрования.
    • Включить подписанный запросPortal for ArcGIS подписывает запрос аутентификации SAML, направленный провайдеру идентификации. Подпись исходного запроса аутентификации, отправленного Portal for ArcGIS, позволяет провайдеру идентификации проверять, что все запросы аутентификации исходят от доверенного провайдера сервисов.
      Подсказка:

      Включите этот параметр, чтобы обеспечить целостность запросов SAML. Вы можете включить эту опцию в любое время в расширенных настройках, даже если вы пропустили ее при первоначальной настройке портала.

    • Произвести выход в провайдер идентификацииPortal for ArcGIS использует URL-адрес выхода для выхода пользователя из провайдера идентификации. Введите используемый URL в поле URL-адрес выхода. Если провайдер идентификации потребует подписать URL-адрес выхода, то в этом случает опция Включить подписанный запрос также должна быть включена. Если отключить эту настройку и щелкнуть Выйти в Portal for ArcGIS, то произойдет выход пользователя из Portal for ArcGIS, но не из провайдера идентификации. Если кэш веб-браузера пользователя не очищен, немедленный повторный вход в Portal for ArcGIS с использованием параметра входа в систему для конкретной организации приведет к входу в систему без предоставления учетных данных пользователя поставщику удостоверений SAML. Это уязвимость в системе безопасности, которая может быть использована при работе на компьютере, доступным неавторизованным пользователям или широкой публике.
    • Обновить профиль для входаPortal for ArcGIS обновляет пользовательские атрибуты givenName и email address, если они с момента их последнего входа изменились. Это свойство включено по умолчанию.
    • Включить SAML на основе участия в группе – позволяет администраторам портала подключаться к группам в вашем провайдере идентификации SAML, которые созданы на вашем портале ArcGIS Enterprise. Когда этот параметр включен, Portal for ArcGIS анализирует ответ с утверждением SAML, чтобы определить группы, к которым принадлежит участник. Вы можете затем указать одну или несколько групп организации, предоставленную вашим провайдером идентификации на вопрос Кто может присоединиться к этой группе? при создании новой группы на портале. Эта функция по умолчанию отключена.
    • URL-адрес выхода – введите URL-адрес провайдера аутентификации, используемого при выходе работающего в данный момент пользователя. Если это свойство указано в файле метаданных провайдера идентификации, то оно будет установлено автоматически.
    • ID объекта – обновите это значение, чтобы для уникальной идентификации вашей организации Portal for ArcGIS провайдер идентификации SAML использовал новый ID объекта.

Назначение корпоративной учетной записи прав администратора

Процесс определения для корпоративной учетной записи прав администратора портала зависит от того, смогут ли ваши пользователи зарегистрироваться в организации Автоматически или По приглашению администратора.

Автоматическое присоединение к организации

Если вы выбрали опцию Автоматического добавления пользователей в организацию, то откройте главную страницу веб-сайта портала; при этом вы должны войти из-под корпоративной учетной записи, которую вы хотите использовать в качестве администратора портала.

Когда учетная запись впервые добавляется на портал автоматически, ей назначается роль по умолчанию, настроенная для новых участников. Только Администратор организации может изменить роль учетной записи; вы должны войти на портал, используя первичную учетную запись администратора и назначить корпоративной учетной записи роль администратора.

  1. Откройте веб-сайт портала и щелкните на опции входа с использованием провайдера идентификации SAML и введите учетные данные учетной записи SAML, которую вы хотите использовать в качестве администратора. Если эта учетная запись принадлежит кому-то другому, попросите этого пользователя подключиться к порталу, чтобы эта учетная запись была зарегистрирована на портале.
  2. Убедитесь, что учетная запись была добавлена в портале, и щелкните Выйти. Очистите кэш и cookies вашего браузера.
  3. Не выходя из браузера, откройте веб-сайт портала, щелкните на опции входа с использованием встроенной учетной записи портала и укажите имя пользователя и пароль первичной учетной записи администратора, которая была создана вами при установке Portal for ArcGIS.
  4. Найдите учетную запись SAML, которую вы хотите использовать для администрирования портала, и измените ее роль на Администратор. Щелкните Выйти.

Выбранная вами учетная запись SAML будет теперь иметь права администратора портала.

Добавление на портал корпоративных учетных записей вручную

Если вы выбрали вариант По приглашению администратора, чтобы разрешить пользователям присоединяться к организации только по приглашению, вы должны зарегистрировать необходимые учетные записи в организации с помощью утилиты командной строки или образца скрипта Python. Выберите роль Администратор для учетной записи SAML, которая будет использоваться для администрирования портала.

Отмена прав или удаление первичной учетной записи администратора

Теперь, когда у вас появилась дополнительная учетная запись администратора портала, вы можете назначить начальной учетной записи администратора другую роль или удалить ее. Более подробно см. в разделе О учетной записи главного администратора.

Запрет создания собственных учетных записей для пользователей

Запретите создание собственных учетных записей пользователями, отключив эту возможность в настройках организации.

Запрет для пользователей входить в систему с учетной записью ArcGIS

Чтобы запретить пользователям входить на портал с использованием учетной записи ArcGIS, выключите кнопку переключателя Учетная запись ArcGIS на странице входа.

  1. Войдите на веб-сайт портала в качестве администратора вашей организации и щелкните Организация > Настройки > Безопасность.
  2. В разделе Учетные записи выключите кнопку переключателя Учетная запись ArcGIS.

На странице входа отображается кнопка для входа на портал с использованием учетной записи провайдера идентификации, а кнопка Учетной записи ArcGIS недоступна. Чтобы повторно включить вход для участников с учетными записями ArcGIS, включите кнопку переключателя Учетная запись ArcGIS в разделе Учетные записи.

Изменение или удаление SAML IDP

Если провайдер идентификации SAML настроен, вы можете обновить его настройки, нажав кнопку Редактировать Редактировать рядом с текущим зарегистрированным провайдером идентификации SAML. Обновите настройки в окне Редактировать учетную запись SAML.

Чтобы удалить текущий зарегистрированный IDP, щелкните кнопку Редактировать Редактировать рядом с IDP и затем Удалить учетную запись в окне Редактировать учетную запись SAML. После удаления IDP можно настроить новый IDP или объединение нескольких IDP, если необходимо.

Рекомендации по SAML-безопасности

Чтобы включить учетные записи на базе SAML, вы можете настроить ArcGIS Enterprise в качестве SP для вашего SAML IDP. Чтобы обеспечить надежную безопасность, рассмотрите передовые методы, описанные ниже.

В цифровой форме подписать запросы на вход и выход из SAML и подписать ответ подтверждения SAML

Подписи используются для обеспечения целостности сообщений SAML и защиты от атак типа человек посередине (MITM). Цифровая подпись запроса SAML также гарантирует, что запрос отправляется доверенным SP, что позволяет IDP лучше справляться с атаками типа «отказ в обслуживании» (DOS). Включите опцию Включить подписанный запрос в расширенных настройках при настройке учетных записей SAML.

Примечание:

Включение подписанных запросов требует обновления IDP всякий раз, когда сертификат подписи, используемый SP, обновляется или заменяется.

Настройте IDP SAML для подписания ответа SAML, чтобы избежать изменения ответа подтверждения SAML при передаче.

Примечание:

Включение подписанных запросов требует, чтобы SP (ArcGIS Enterprise) обновлялся всякий раз, когда сертификат подписи, используемый IDP, обновляется или заменяется.

Использование HTTPS как конечной точки IDP

Любой обмен данными между SP, IDP и браузером пользователя, который отправляется по внутренней сети или через Интернет в незашифрованном формате, может быть перехвачен злоумышленниками. Если ваш SAML IDP поддерживает HTTPS, рекомендуется использовать конечную точку HTTPS для обеспечения конфиденциальности данных, передаваемых во время входа в систему SAML.

Шифрование ответа подтверждения SAML

Использование HTTPS для сообщения SAML защищает сообщения SAML, которые отправляются между SP и IDP. Однако вошедшие в систему пользователи могут декодировать и просматривать сообщения SAML через веб-браузер. Включение шифрования ответа на утверждение не позволяет пользователям просматривать конфиденциальную или конфиденциальную информацию, передаваемую между IDP и SP.

Примечание:

Включение зашифрованных утверждений требует обновления IDP при каждом обновлении или замене сертификата шифрования, используемого SP (ArcGIS Enterprise).

Безопасное управление сертификатами подписи и шифрования

Используйте сертификаты с надежными криптографическими ключами для цифровой подписи или шифрования сообщений SAML и обновляйте или заменяйте сертификаты каждые три-пять лет.