您可以将 Okta 配置为 SAML 中的 Portal for ArcGIS 登录帐户的身份提供者 (IDP)。 配置过程包含两个主要步骤:将 SAML IDP 注册到Portal for ArcGIS,以及将 Portal for ArcGIS 注册到 SAML IDP。
注:
要确保安全配置 SAML 登录帐户,请参阅 SAML 安全性最佳实践。
所需信息
当用户使用 SAML 登录帐户进行登录时,Portal for ArcGIS 需要从 IDP 处接收某些属性信息。 NameID 属性为强制属性,并且必须由您的 IDP 在 SAML 响应中发送,才能使 Portal for ArcGIS 的联合身份验证起作用。 由于 Portal for ArcGIS 使用 NameID 的值唯一标识指定用户,因此建议使用常量值来唯一标识用户。 IDP 中的用户登录时,Portal for ArcGIS 会在其用户存储中创建用户名为 NameID 的新用户。 NameID 发送的值中允许使用的字符包括字母数字、_(下划线)、.(点)和 @(at 符号)。 任何其他字符均会进行转义,从而在 Portal for ArcGIS 创建的用户名中包含下划线。
Portal for ArcGIS 支持用户的电子邮件地址、群组成员资格、名字以及姓氏从 SAML 身份提供者处流入。
将 Okta 作为 SAML IDP 注册到 Portal for ArcGIS
- 确认您是否以组织管理员的身份登录。
- 单击站点顶部的组织,然后单击设置选项卡。
- 单击页面左侧的安全性。
- 在登录部分中,单击新建 SAML 登录帐户按钮,然后选择一位身份提供者选项。 在指定属性页面上,输入组织名称(例如,City of Redlands)。 当用户访问门户网站时,此文本将显示为 SAML 登录选项的一部分(例如,使用您的 City of Redlands 帐户)。
注:
您只能为门户注册一个 SAML IDP,或一个多 IDP 联合。
- 选择自动或应管理员的邀请来指定用户加入组织的方式。 选择第一个选项允许用户通过其 SAML 登录帐户登录组织,而不会受到管理员的任何干预。 首次登录时,用户的帐户即会自动注册到该组织。 第二个选项需要管理员使用命令行实用程序或 Python 脚本示例将必要的帐户注册到该组织。 帐户注册完成后,用户即可登录组织。
提示:
建议您至少将一个企业帐户指定为门户的管理员并下移或删除初始管理员帐户。 还建议您禁用门户网站中的创建帐户按钮,这样用户便无法创建自己的帐户。 有关完整说明,请参阅在门户中配置 SAML 兼容身份提供者。
- 要为 IDP 提供元数据信息,可选择以下选项之一:
- 文件 — 从 Okta 下载或获取联合身份验证元数据文件的副本,并使用文件选项将文件上传至 Portal for ArcGIS。
注:
如果这是您第一次使用 Okta 注册服务提供者,则在将 Portal for ArcGIS 注册到 Okta 后,您将需要获取元数据文件。 - 此处指定的参数 - 如果 URL 或联合身份验证元数据文件无法访问,请选择此选项。 手动输入值并提供所需参数:以 BASE 64 格式编码的登录 URL 和证书。 请联系 Okta 管理员获取这些参数。
- 文件 — 从 Okta 下载或获取联合身份验证元数据文件的副本,并使用文件选项将文件上传至 Portal for ArcGIS。
- 配置适用的高级设置:
- 加密声明 - 启用此选项可对 Okta SAML 声明响应进行加密。
- 启用签名请求 - 启用此选项可使 Portal for ArcGIS 对发送至 SAML 的 Okta 身份验证请求进行签名。
- 向身份提供者传递注销 - 启用此选项可使 Portal for ArcGIS 使用注销 URL 注销 Okta 中的用户。 输入将在注销 URL 设置中使用的 URL。 如果 IDP 需要对注销 URL 签名,则需打开启用签名请求。
- 登录时更新个人资料 - 如果选中此选项,则 ArcGIS Enterprise 将更新用户的 givenName 和 email address 属性(如果自上次登录后已更改)。
- 启用基于 SAML 的群组成员资格 - 启用此选项允许组织成员在群组创建过程中将指定基于 SAML 的群组链接到 ArcGIS Enterprise 群组。
- 注销 URL - 用于注销当前登录用户 IDP URL。
- 实体 ID - 可更新此值以使用新的实体 ID,以便将您的门户唯一识别到 Okta。
加密声明和启用签名请求设置将使用门户 keystore 中的证书 samlcert。 要使用新证书,请删除 samlcert 证书,按照将证书导入到门户中的步骤创建一个具有相同别名 (samlcert) 的证书,然后重新启动门户。
- 完成后,单击保存。
- 单击下载服务提供者元数据以下载门户的元数据文件。 该文件中的信息将用于将门户作为受信任服务提供者注册到 Okta。
将 Portal for ArcGIS 作为受信任的服务提供者注册到 Okta
- 以具有管理权限的成员身份登录到 Okta 组织。
- 在“应用程序”选项卡上,单击添加应用程序按钮。
- 单击新建应用程序,然后选择 SAML 2.0 选项。 单击创建。
- 在常规设置中,输入门户部署的应用程序名称,然后单击下一步。
- 在配置 SAML 选项卡中,进行以下操作:
- 输入单点登录 URL 的值,例如 https://portalhostname.domain.com/portalcontext/sharing/rest/oauth2/saml/signin。 此值可从服务提供者元数据文件中复制,该文件需从您的门户下载。
- 为受众 URI 输入值。 将默认值设为 portalhostname.domain.com.portalcontext。 此值可从服务提供者元数据文件中复制,该文件需从您的门户下载。
- 将名称 ID 格式保留为未指定。
- 在高级设置下,将声明签名选项更改为无符号。
- 在属性语句部分中,添加以下属性语句:
givenName 设置为 user.firstName
surname 设置为 user.lastName
email 设置为 user.email
- 单击下一步并单击完成。
- 您现在将看到新创建的 SAML 应用程序的“登录”部分。 要获得 Okta IDP 元数据,请单击登录选项卡,然后单击身份提供者元数据链接。
- 右键单击用户选项卡,并配置将具备您门户访问权限的经 Okta 验证的用户。