配置 NetIQ Access Manager

您可以将 NetIQ Access Manager 3.2 及更高版本配置为 SAML 中的 ArcGIS Enterprise 登录帐户的身份提供者 (IDP)。 配置过程包含两个主要步骤:将 SAML IDP 注册到 ArcGIS Enterprise,以及将 ArcGIS Enterprise 注册到 SAML IDP。

注:

要确保安全配置 SAML 登录帐户,请参阅 SAML 安全性最佳实践

所需信息

当用户使用 SAML 登录帐户进行登录时,ArcGIS Enterprise 需要从 IDP 处接收某些属性信息。 NameID 属性为强制属性,并且必须由您的 IDP 在 SAML 响应中发送,才能使联合起作用。 由于 ArcGIS Enterprise 使用 NameID 的值唯一标识指定用户,因此建议使用常量值来唯一标识用户。 IDP 中的用户登录时,ArcGIS Enterprise 组织会在其用户存储中创建用户名为 NameID 的新用户。 NameID 发送的值中允许使用的字符包括字母数字、_(下划线)、.(点)和 @(at 符号)。 任何其他字符均会进行转义,从而在 ArcGIS Enterprise 创建的用户名中包含下划线。

ArcGIS Enterprise 支持用户的电子邮件地址、群组成员资格、名字以及姓氏从 SAML 身份提供者处流入。

NetIQ Access Manager 作为 SAML IDP 注册到 ArcGIS Enterprise

  1. 确认您是否以组织管理员的身份登录。
  2. 单击站点顶部的组织,然后单击设置选项卡。
  3. 单击页面左侧的安全性
  4. 登录部分中,单击新建 SAML 登录帐户按钮,然后选择一位身份提供者选项。 在指定属性页面上,输入组织名称(例如,City of Redlands)。 当用户访问门户网站时,此文本将显示为 SAML 登录选项的一部分(例如,使用您的 City of Redlands 帐户)。
    注:

    您只能为门户注册一个 SAML IDP,或一个多 IDP 联合

  5. 选择自动应管理员的邀请来指定用户加入组织的方式。 选择第一个选项允许用户通过其 SAML 登录帐户登录组织,而不会受到管理员的任何干预。 首次登录时,用户的帐户即会自动注册到该组织。 第二个选项需要管理员使用命令行实用程序将必要的帐户注册到该组织。 帐户注册完成后,用户即可登录组织。
    提示:

    建议您至少将一个 SAML 帐户指定为门户的管理员并降级或删除初始管理员帐户。 还建议您禁用门户网站中的创建帐户按钮,这样用户便无法创建自己的帐户。 有关完整说明,请参阅在门户中配置 SAML 兼容身份提供者

  6. 要为 IDP 提供元数据信息,可选择以下三个选项之一:
    • URL - 如果 NetIQ Access Manager 联合身份验证元数据的 URL 可供 ArcGIS Enterprise 访问,请选择此选项。 URL 通常是运行 NetIQ Access Manager 的计算机上的 https://<host>:<port>/nidp/saml2/metadata
      注:

      如果您的 SAML IDP 包含自签名证书,则可能在尝试指定元数据的 HTTPS URL 时遇到错误。 出现此类错误的原因是 ArcGIS Enterprise 不能验证身份提供者的自签名证书。 此外,可使用 URL 中的 HTTP(以下选项中的另一选项),或为您的 IDP 配置受信任的证书。

    • 文件 - 如果 ArcGIS Enterprise 无法访问 URL,请选择此选项。 从以上 URL 获取元数据,将其保存为 XML 文件,然后上传文件。
    • 此处指定的参数 - 如果 URL 或联合身份验证元数据文件无法访问,请选择此选项。 手动输入值并提供所需参数:以 BASE 64 格式编码的登录 URL 和证书。 请联系 NetIQ Access Manager 管理员获取这些参数。
  7. 配置适用的高级设置:
    • 加密声明 - 如果 NetIQ Access Manager 将配置为加密 SAML 声明响应,请启用此选项。
    • 启用签名请求 - 启用此选项可使 ArcGIS Enterprise 对发送至 SAMLNetIQ Access Manager 身份验证请求进行签名。
    • 向身份提供者传递注销 - 启用此选项可使 ArcGIS Enterprise 使用注销 URL 将用户从 Net IQ Access Manager 中注销。 输入将在注销 URL 设置中使用的 URL。 如果 IDP 需要对注销 URL 签名,则需打开启用签名请求
    • 登录时更新个人资料 - 如果选中此选项,则 ArcGIS Enterprise 将更新用户的 givenNameemail address 属性(如果自上次登录后已更改)。
    • 启用基于 SAML 的群组成员资格 - 启用此选项允许组织成员在群组创建过程中将指定基于 SAML 的群组链接到 ArcGIS Enterprise 群组。
    • 注销 URL - 用于注销当前登录用户 IDP URL。 如果在 IDP 的元数据文件中定义此值,则会自动填充此值。 您可以根据需要更新此 URL。
    • 实体 ID - 可更新此值以使用新的实体 ID,以便将您的门户唯一识别到 NetIQ Access Manager。

    加密声明启用签名请求设置将使用门户 keystore 中的证书 samlcert。 要使用新证书,请删除 samlcert 证书,按照将证书导入到门户中的步骤创建一个具有相同别名 (samlcert) 的证书,然后重新启动门户。

  8. 单击保存

ArcGIS Enterprise 作为受信任的服务提供者注册到 NetIQ Access Manager

  1. 配置属性集。

    按照下列步骤创建新属性集,以便在验证用户身份后可将这些属性作为 SAML 声明的一部分发送到 ArcGIS Enterprise。 如果已在 NetIQ Access Manager 中配置现有属性集,也可使用该属性集。

    1. 登录到 NetIQ Access Manager 管理控制台。 通常在 https://<host>:<port>/nps 上提供。
    2. 浏览到 NetIQ 管理控制台中的 Identity Server 并单击共享设置选项卡。 在属性集下,可看到已创建的所有属性集。 单击新建,创建新属性集。 集名称中输入 Portal,然后单击下一步
    3. 定义属性映射,并将其添加到在先前步骤中创建的属性集。

    单击新建链接,添加任一新属性映射。 下方的屏幕截图显示的是添加 givenNameemail addressuid 的属性映射。 可从身份验证源而非这些示例中选择任何属性。

    givenName 属性
    email 属性
    uid 属性

    创建属性集向导中单击完成这将创建名为 Portal 的新属性集。

  2. 按照下列步骤将 ArcGIS Enterprise 作为 NetIQ Access Manager 的受信任提供者添加。
    1. 登录到 NetIQ 管理控制台、选择 Identity Server 并单击编辑链接。
      管理控制台

      常规选项卡打开。

    2. 单击 SAML 2.0 选项卡,然后单击新建 > 服务提供者

      可在服务提供者窗口中将 ArcGIS Enterprise 添加为 NetIQ Access Manager 的受信任服务提供者。

    3. 创建受信任服务提供者向导中,单击元数据文本作为,然后将 ArcGIS Enterprise 组织的元数据粘贴到文本框中。

      要获取 ArcGIS Enterprise 门户的元数据,请以管理员身份登录到组织,然后依次单击设置选项卡和页面左侧的安全性登录部分的 SAML 登录帐户下,单击下载服务提供者元数据按钮,为组织下载元数据文件。

      单击下一步,然后单击完成,完成受信任服务提供者的添加。

  3. 按照下列步骤对 ArcGIS Enterprise 以及 NetIQ Access Manager 联合属性进行配置。
    1. SAML 2.0 选项卡中,单击服务提供者下的服务提供者链接。配置选项卡随即打开。 单击元数据选项卡并验证 ArcGIS Enterprise 组织的元数据是否正确。
    2. 单击配置选项卡,返回至配置的信任部分。 如果您在将 NetIQ Access Manager 作为 SAML IDP 注册到 ArcGIS Enterprise 时选择了高级设置加密声明,则请选择加密声明选项。
    3. 单击属性选项卡。

      在此步骤中,添加之前所创建的集中的属性映射,这样 NetIQ Access Manager 便可在 SAML 声明中将属性发送至 ArcGIS Enterprise

      选择上述步骤 2.1 中所定义的属性集。 选择属性集后,在集中定义的属性将显示在可用框中。 将 givenNameemail 属性移动至通过身份验证发送框。

    4. 单击服务提供者的配置选项卡下的身份验证响应选项卡,然后对身份验证响应进行设置。

      单击绑定下拉菜单中的提交

      名称标识符列中,选中未指定旁边的复选框。

      默认值列中,选中未指定旁边的单选按钮。

      列中,选择 Ldap 属性 uid

      注:

      通过作为 NameID 发送的身份验证源,可对属性集中的任何其他唯一属性进行配置。 此参数的值将用作组织中的用户名。

      单击应用

    5. 单击配置下的选项选项卡并选择用户身份验证合约(例如,用户名/密码 - 表格),然后单击应用
  4. 浏览到 Identity Server 并单击更新全部链接,以便重新启动 NetIQ Access Manager

    重新启动 NetIQ