您的组织可以使用安全声明标记语言 (SAML) 对其计算机用户进行身份验证并授权访问其启用 web 的资源。 为此,需要配置单个 SAML 兼容身份提供者 (IdP) 以处理用户身份验证。 组织的 web 资源托管在一个或多个服务提供者上,这些提供者将处理访问 web 资源的授权。 组织对其 IdP 和服务提供者具有完全管理控制。 要支持基于 SAML 的身份验证和授权,组织的每个服务提供者必须进行注册才能使用其 IdP。 每个服务提供者只能使用一个 IdP 进行注册。
您还可以使用 SAML 在多个独立管理的组织之间共享资源。 可以通过联合管理实体实现上述操作,这些实体可以在其成员组织之间启用基于 SAML 的资源共享。 要与联合共享其 web 资源的成员组织将保留其一个或多个服务提供者以专门在联合内部工作。 要访问与联合共享的受保护资源,用户需要使用其归属组织的 IdP 来验证身份。 成功通过身份验证后,该验证身份就将呈现给托管受保护资源的服务提供者。 对用户的访问权限验证完成后,服务提供者将授予其对资源的访问权限。
您的 ArcGIS Enterprise 门户可以使用基于 SAML 的 IdP 联合进行配置。 门户可访问由联合托管的发现服务,该服务可提供参与联合的身份提供者和服务提供者的列表。
一些常见的基于 SAML 的身份提供者联合包括 InCommon、eduGAIN、SWITCHaai、DFN-AAI 和英国访问管理联盟。
通过门户配置联合
请按照以下步骤配置门户的基于 SAML 的身份提供者联合:
- 以管理员身份登录到门户,然后单击组织 > 设置 > 安全性。
- 在登录部分中,单击新建 SAML 登录帐户按钮,然后选择身份提供者联合选项。 在指定属性页面上,输入联合的名称。
此描述将作为 SAML 登录选项的一部分显示给访问门户的用户。
- 选择用户加入门户组织的方法:
- 自动 - 用户无需管理员授予权限即可使用组织特定登录帐户登录组织,原因是在首次登录时他们的帐户已自动在门户上注册
- 应管理员的邀请 - 要求组织管理员使用命令行实用程序或 Python 脚本将必要的帐户注册到组织
注:
Esri 建议您至少指定一个 SAML 帐户作为您门户的管理员,并禁用门户内的创建帐户按钮,以禁止用户创建自己的帐户。 有关详细信息,请参阅下面的将 SAML 帐户指定为管理员部分。
- 将 URL 提供给由联合托管的集中 IdP 发现服务,例如 https://wayf.samplefederation.com/WAYF。
- 将 URL 提供给联合元数据,该元数据是参与联合的所有身份提供者和服务提供者的元数据的聚合。
- 复制并粘贴以 Base64 格式编码的证书,门户可通过该证书验证联合元数据的有效性。
- 配置适用的高级设置:
- 加密声明 - 启用此选项可向 SAML 身份提供者指明您的门户支持加密 SAML 声明响应。 选中此选项后,身份提供者将对 SAML 响应的声明部分进行加密。 尽管已使用 HTTPS 对门户接收和发送的所有 SAML 通信进行了加密,此选项仍会添加其他加密图层。
- 启用签名请求 - 启用此选项可让门户对发送至 IdP 的 SAML 身份验证请求进行签名。 门户发送的初始登录请求签名使 IdP 可以验证是否所有登录请求源自受信任服务提供者。
- 向身份提供者传递注销 - 启用此选项可让门户使用注销 URL 来注销 IdP 中的用户。 如选中此选项,请输入将在注销 URL 设置中使用的 URL。 如果 IdP 需要对注销 URL 签名,则还必须选中启用签名请求选项。 如未选中此选项,当从门户单击登出时,用户将从门户而非 IdP 登出。 如果未清除用户的 web 浏览器缓存,使用组织特定登录选项尝试立即重新登录门户即可实现立即登录,无需向 IdP 提供凭据。 这是使用未授权用户或公众可轻松访问的计算机时可以利用的安全漏洞。
- 登录时更新个人资料 - 启用此选项可让门户更新用户的 givenName 和 email address 属性,但前提是这些属性自上次登录后已发生更改。 此选项默认为选中。
- 实体 ID - 可更新此值以使用新的实体 ID,以便将您的门户组织唯一识别到 SAML 联合。
将门户作为受信任的服务提供者注册到 SAML 联合
要完成配置过程,请将门户的服务提供者元数据注册到联合的发现服务和组织的 IdP 以与二者建立信任。 此元数据有两种方法获得:
- 在组织设置页面的安全性部分中,单击下载服务提供者元数据按钮以下载组织的元数据文件。
- 打开元数据的 URL,然后将其作为 XML 文件保存到您的计算机上。 URL 为 https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>,例如:https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY。 可使用 https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken 生成令牌。 在生成令牌页面输入 URL 后,指定 Webapp URL 字段中身份提供者服务器的完全限定域名。 不支持选择任何其他选项,如 IP 地址或此请求源的 IP 地址,如若选择,则可能生成无效标记。
下载服务提供者元数据后,请与 SAML 联合的管理员联系,以获取有关如何将元数据集成到联合的聚合元数据文件中的说明。 您还需要从 SAML 联合获取说明,将您的 IdP 注册到联合。
将 SAML 帐户指定为管理员
作为门户管理员,您指定 SAML 帐户的方式具体取决于用户是否能够自动或应管理员的邀请加入该组织。
自动加入组织
如果您选择了允许用户自动加入组织的选项,请在打开门户时登录您想用作组织管理员的 SAML 帐户。
首次将帐户自动添加到门户时,会给帐户分配“用户”角色。 只有组织的管理员可以更改帐户上的角色;因此必须使用初始管理员帐户登录门户,并将 SAML 帐户分配给管理员角色。
- 请打开门户,单击“使用 SAML 身份提供者登录”选项,然后提供您想要用作管理员的 SAML 帐户的凭据。 如果该帐户属于其他人,则请该用户登录到门户,以便将帐户注册到门户。
- 请验证是否已在门户中添加该帐户,然后单击登出。 清除浏览器缓存和 cookies。
- 在浏览器中打开门户,单击“使用内置门户帐户登录”选项,然后在设置 ArcGIS Enterprise 时,提供由您创建的初始管理员帐户的凭据。
- 找到将用于管理门户的 SAML 帐户,并将此角色更改为管理员。 单击登出。
您选择的 SAML 帐户现在是门户的管理员。
手动将 SAML 帐户添加到门户
如果您选择只允许用户应管理员的邀请加入组织,则您需要使用命令行实用程序将必要的帐户注册到该组织。 针对用来管理门户的 SAML 帐户,请确保选择管理员角色。
下移或删除初始管理员帐户
现在您拥有备选组织管理员帐户,可以将初始管理员帐户分配给用户角色或删除帐户。 有关详细信息,请参阅关于初始管理员帐户。
防止用户创建自己的帐户
您可以通过在组织设置中禁止用户创建内置帐户来防止用户创建自己的内置帐户。
禁用使用 ArcGIS 帐户登录
如果希望阻止用户使用 ArcGIS 帐户登录门户,可按照以下步骤禁用登录页面上的 ArcGIS 登录按钮。
- 以组织管理员的身份登录门户网站,然后单击组织 > 设置 > 安全性。
- 在登录部分,禁用 ArcGIS 登录的切换按钮。
登录页面会显示使用身份提供者帐户登录到门户的按钮,而使用 ArcGIS 登录按钮不可用。 您可以通过打开登录下方的 ArcGIS 登录选项,以 ArcGIS 帐户重新启用成员登录。
修改或移除 SAML 身份提供者
设置联合后,您可以依次单击联合旁边的编辑按钮 来更新其设置。 在编辑 SAML 登录帐户窗口中更新您的设置。
要将联合从门户移除,请单击它旁边的编辑按钮 ,然后在编辑 SAML 登录帐户窗口中单击删除登录帐户。 联合移除后,您可以根据需要选择设置新的身份提供者或身份提供者联合。