Die Organisation kann mithilfe von SAML (Security Assertion Markup Language) ihre Computerbenutzer authentifizieren und den Zugriff auf webfähige Ressourcen autorisieren. Dazu wird ein einziger SAML-kompatibler Identity-Provider (IDP) für die Benutzerauthentifizierung konfiguriert. Die Webressourcen der Organisation werden auf einem oder mehreren Service-Providern gehostet, die die Autorisierung des Zugriffs auf die Webressourcen übernehmen. Die Organisation selbst verfügt über die vollständige Kontrolle für die Verwaltung des IDPs und der Service-Provider. Damit die SAML-basierte Authentifizierung und Autorisierung unterstützt wird, muss jeder Service-Provider der Organisation für die Arbeit beim IDP registriert werden. Jeder Service-Provider kann nur bei einem einzigen IDP registriert werden.
Über SAML können Sie Ressourcen auch für mehrere unabhängig voneinander verwaltete Organisationen freigeben. Möglich wird dies durch Entitäten für die Verbundverwaltung, die die SAML-basierte Freigabe von Ressourcen zwischen den Mitgliedsorganisationen ermöglichen. Eine Mitgliedsorganisation, die ihre Webressourcen im Verbund freigeben möchte, reserviert einen oder mehrere Service-Provider ausschließlich für die Arbeit im Verbund. Um auf eine gesicherte Ressource, die für den Verbund freigegeben wurde, zuzugreifen, authentifiziert ein Benutzer seine Identität beim IDP seiner Home-Organisation. Nach der erfolgreichen Authentifizierung wird diese geprüfte Identität für den Service-Provider, der die gesicherte Ressource hostet, bereitgestellt. Der Service-Provider erteilt dann den Zugriff auf die Ressource, nachdem die Zugriffsberechtigungen des Benutzers überprüft wurden.
In 10.6.1 kann Ihr ArcGIS Enterprise-Portal mit einem SAML-basierten Verbund aus IDPs konfiguriert werden. Das Portal greift auf den im Verbund gehosteten Discovery-Service zu, der eine Liste der am Verbund beteiligten Identity-Provider und Service-Provider bereitstellt.
Einige gängige SAML-basierte Identity-Provider im Verbund sind InCommon, eduGAIN, SWITCHaai, DFN-AAI und die UK Access Management Federation.
Konfigurieren des Verbunds mit dem Portal
Gehen Sie folgendermaßen vor, um einen SAML-basierten Verbund von Identity-Providern für Ihr Portal zu konfigurieren.
- Melden Sie sich als Administrator bei der Portal-Website an, und klicken Sie auf Organisation > Einstellungen > Sicherheit.
- Klicken Sie im Abschnitt Anmeldungen unter Enterprise auf die Schaltfläche Enterprise-Anmeldung einrichten, und wählen Sie die Option Verbund von Identity-Providern aus. Geben Sie auf der Seite Eigenschaften angeben den Namen Ihres Verbunds ein. Die Beschreibung wird den Benutzern beim Zugriff auf die Portal-Website als Teil der SAML-Anmeldeoption angezeigt.
- Wählen Sie aus, wie Ihre Benutzer der Portal-Organisation beitreten können:
- Automatisch: Bei dieser Option können sich Benutzer mit ihrem Enterprise-Anmeldenamen bei der Organisation anmelden, ohne die entsprechende Berechtigung von ihrem Administrator zu benötigen, da ihr Konto bei der ersten Anmeldung automatisch beim Portal registriert wird.
- Auf Einladung eines Administrators: Bei dieser Option muss der Portal-Administrator die erforderlichen Konten mit einem Befehlszeilendienstprogramm oder Python-Skript bei der Organisation registrieren.
Hinweis:
Esri empfiehlt, mindestens ein Enterprise-Konto als Administrator Ihres Portals festzulegen und die Schaltfläche Konto erstellen auf der Portal-Website zu deaktivieren, damit Benutzer keine eigenen Konten erstellen können. Weitere Informationen finden Sie weiter unten im Abschnitt Festlegen eines Enterprise-Kontos als Administrator.
- Geben Sie die URL zum im Verbund gehosteten zentralen IDP-Discovery-Service an, wie zum Beispiel https://wayf.samplefederation.com/WAYF.
- Geben Sie die URL zu den Verbundmetadaten an. Dies ist eine Aggregation der Metadaten aller am Verbund beteiligten Identity-Provider und Service-Provider.
- Kopieren Sie das im Base64-Format codierte Zertifikat über die Zwischenablage. Dieses Zertifikat ermöglicht dem Portal die Prüfung der Gültigkeit der Verbundmetadaten.
- Konfigurieren Sie erweiterte Einstellungen je nach Bedarf:
- Assertion verschlüsseln: Aktivieren Sie diese Option, um den SAML-Identity-Provider darüber zu informieren, dass Ihr Portal verschlüsselte Antworten auf SAML-Assertionen unterstützt. Wenn diese Option ausgewählt ist, verschlüsselt der Identity-Provider den Assertionsteil der SAML-Antwort. Obwohl der gesamte SAML-Datenverkehr zum und vom Portal durch die Verwendung von HTTPS bereits verschlüsselt ist, wird mit dieser Option eine weitere Verschlüsselungsebene hinzugefügt.
- Signierte Anforderung aktivieren: Aktivieren Sie diese Option, wenn das Portal die an den IDP gesendete SAML-Authentifizierungsanforderung signieren soll. Durch das Signieren der ersten Anmeldeanforderung, die durch das Portal gesendet wird, kann der IDP überprüfen, ob alle Anmeldeanforderungen von einem vertrauenswürdigen Service-Provider stammen.
- Abmeldung an Identity-Provider propagieren: Aktivieren Sie diese Option, damit das Portal eine Abmelde-URL verwendet, um den Benutzer vom IDP abzumelden. Wenn Sie diese Option auswählen, dann geben Sie die URL ein, die in der Einstellung Abmelde-URL verwendet werden soll. Wenn der IDP eine Signierung der Abmelde-URL erfordert, muss die Option Signierte Anforderung aktivieren ebenfalls aktiviert sein. Wenn diese Option nicht ausgewählt wurde, wird der Benutzer beim Klicken auf Abmelden auf der Portal-Website vom Portal, jedoch nicht vom Identity-Provider abgemeldet. Wenn der Web-Browser-Cache des Benutzers nicht gelöscht wird, führt der Versuch, sich mit der Option für Enterprise-Anmeldenamen direkt wieder beim Portal anzumelden, zur sofortigen Anmeldung, ohne Anmeldeinformationen für den IDP eingeben zu müssen. Dies stellt ein Sicherheitsrisiko dar, wenn ein Computer verwendet wird, der für nicht autorisierte Benutzer oder die allgemeine Öffentlichkeit leicht zugänglich ist.
- Profile beim Anmelden aktualisieren: Aktivieren Sie diese Option, wenn das Portal die Attribute "givenName" und "email address" der Benutzer aktualisieren soll, falls diese sich seit der letzten Anmeldung geändert haben. Diese Option ist standardmäßig ausgewählt.
- Entitäts-ID: Aktualisieren Sie diesen Wert, wenn für die eindeutige Identifizierung der Portal-Organisation beim SAML-Verbund eine neue Entitäts-ID verwendet werden soll.
Registrieren des Portals als vertrauenswürdiger Service-Provider beim SAML-Verbund
Um den Konfigurationsprozess abzuschließen, müssen Sie eine vertrauenswürdige Verbindung mit dem Discovery-Service des Verbunds und dem IDP Ihrer Organisation einrichten, indem Sie die Service-Provider-Metadaten des Portals bei ihnen registrieren. Zum Abrufen dieser Metadaten gibt es zwei Möglichkeiten:
- Klicken Sie im Abschnitt Sicherheit der Seite Einstellungen Ihrer Organisation auf die Schaltfläche Service-Provider-Metadaten herunterladen, um die Metadatendatei für Ihre Organisation herunterzuladen.
- Öffnen Sie die URL der Metadaten, und speichern Sie sie als XML-Datei auf Ihrem Computer. Die URL lautet https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, beispielsweise https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Sie können einen Token mit https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken generieren. Wenn Sie die URL auf der Seite Token erstellen eingeben, geben Sie den vollständig qualifizierten Domänennamen des Identity-Provider-Servers in das Feld Webanwendungs-URL ein. Die Auswahl einer anderen Option wie IP-Adresse oder IP-Adresse des Ursprungs dieser Anforderung wird nicht unterstützt und kann dazu führen, dass ein ungültiges Token erstellt wird.
Nachdem Sie die Service-Provider-Metadaten heruntergeladen haben, bitten Sie die Administratoren des SAML-Verbunds um Anweisungen zum Integrieren der Metadaten in die aggregierte Metadatendatei des Verbunds. Sie benötigen von den Administratoren auch Anweisungen zum Registrieren Ihres Identity Providers beim Verbund.
Festlegen eines Enterprise-Kontos als Administrator
Die Vorgehensweise beim Festlegen eines Enterprise-Kontos als Administrator des Portals hängt davon ab, ob Benutzer der Organisation Automatisch oder Auf Einladung eines Administrators beitreten können.
Wenn Benutzer der Organisation automatisch beitreten können
Wenn Sie die Option ausgewählt haben, die Benutzern den Beitritt zur Organisation Automatisch gewährt, öffnen Sie die Startseite der Portal-Website, während Sie mit dem Enterprise-Konto angemeldet sind, das Sie als Portal-Administrator verwenden möchten.
Wenn ein Konto dem Portal automatisch hinzugefügt wird, wird ihm die Rolle „Benutzer“ zugewiesen. Nur ein Administrator der Organisation kann die Rolle eines Kontos ändern. Sie müssen sich deshalb mit dem initialen Administratorkonto beim Portal anmelden und der Administratorrolle ein Enterprise-Konto zuweisen.
- Öffnen Sie die Portal-Website, klicken Sie auf die Option zum Anmelden mit einem Identity-Provider für SAML, und geben Sie die Anmeldeinformationen des Enterprise-Kontos ein, das Sie als Administrator verwenden möchten. Wenn dieses Konto einem anderen Benutzer zugeordnet ist, muss dieser Benutzer sich bei dem Portal anmelden, damit das Konto beim Portal registriert wird.
- Überprüfen Sie, ob das Konto dem Portal hinzugefügt wurde, und klicken Sie auf Abmelden. Löschen Sie den Browser-Cache und die Cookies.
- Öffnen Sie im Browser die Portal-Website, klicken Sie auf die Option zum Anmelden mit einem integrierten Portal-Konto, und geben Sie die Anmeldeinformationen des initialen Administratorkontos ein, das Sie beim Einrichten von Portal for ArcGIS erstellt haben.
- Suchen Sie das Enterprise-Konto, das Sie zum Verwalten des Portals verwenden, und ändern Sie die Rolle in Administrator. Klicken Sie auf Abmelden.
Das ausgewählte Enterprise-Konto ist nun ein Administrator des Portals.
Manuelles Hinzufügen von Enterprise-Konten zum Portal
Wenn Sie die Option ausgewählt haben, damit Benutzer der Organisation nur Auf Einladung eines Administrators beitreten können, müssen Sie die erforderlichen Konten mit dem Befehlszeilendienstprogramm oder dem Beispiel-Python-Skript bei der Organisation registrieren. Vergewissern Sie sich, dass die Administratorrolle für ein Enterprise-Konto ausgewählt ist, das zum Verwalten des Portals verwendet wird.
Herabstufen oder Löschen des initialen Administratorkontos
Da Sie nun über ein alternatives Administratorkonto für das Portal verfügen, können Sie dem initialen Administratorkonto die Rolle Benutzer zuweisen oder das Konto löschen. Weitere Informationen finden Sie unter Initiales Administratorkonto.
Verhindern einer Erstellung eigener Konten durch Benutzer
Sie können verhindern, dass Benutzer eigene integrierte Konten erstellen, indem Sie die Möglichkeit der Erstellung neuer integrierter Konten durch Benutzer in den Organisationseinstellungen deaktivieren.
Deaktivieren der Anmeldung mit ArcGIS-Konten
Wenn Sie verhindern möchten, dass sich Benutzer mit einem ArcGIS-Konto beim Portal anmelden, können Sie die Schaltfläche Verwendung des ArcGIS-Kontos auf der Anmeldeseite deaktivieren, indem Sie die folgenden Schritte ausführen.
- Melden Sie sich als Administrator Ihrer Organisation bei der Portal-Website an, und klicken Sie auf Organisation > Einstellungen > Sicherheit.
- Klicken Sie im Abschnitt Anmeldungen unter Anmeldeoptionen auf den Umschalter für Anmeldenamen für <Organization name>, um diese Option zu deaktivieren.
Auf der Anmeldeseite wird die Schaltfläche zur Anmeldung beim Portal mithilfe des Identity-Provider-Kontos angezeigt, und die Schaltfläche zur Anmeldung unter Verwendung des ArcGIS-Kontos ist nicht mehr verfügbar. Sie können Mitglieder-Anmeldenamen für ArcGIS-Konten wieder aktivieren, indem Sie unter Anmeldenamen für <Organization name> unter Anmeldungen > Anmeldeoptionen die entsprechende Option aktivieren.
Ändern oder Entfernen des Identity-Providers für SAML
Wenn Sie einen Verbund eingerichtet haben, können Sie dessen Einstellungen aktualisieren, indem Sie neben dem Verbund auf die Schaltfläche "Weitere Optionen" und anschließend auf Bearbeiten klicken. Aktualisieren Sie die Einstellungen im Fenster Enterprise-Anmeldung bearbeiten. Diese Schaltflächen werden angezeigt, nachdem Sie den Verbund mit Ihrem Portal eingerichtet haben.
Um den Verbund aus Ihrem Portal zu entfernen, klicken Sie neben dem Verbund auf die Schaltfläche "Weitere Optionen" und anschließend auf Löschen. Wenn Sie ihn entfernt haben, können Sie bei Bedarf einen neuen Identity-Provider oder Verbund aus Identity-Providern einrichten.