Skip To Content

Konfigurieren eines SAML-kompatiblen Identity-Providers mit dem Portal

Security Assertion Markup Language (SAML) ist ein offener Standard, um Authentifizierungs- und Autorisierungsdaten zwischen einem Enterprise-Identity-Provider und einem Service-Provider (in diesem Fall Portal for ArcGIS) sicher auszutauschen. Die hierzu verwendete Methode wird als Single Sign-On mit SAML bezeichnet.

Das Portal ist mit SAML 2.0 kompatibel und kann in Identity-Provider integriert werden, die Web Single Sign-On mit SAML 2 unterstützen. Der Vorteil der Einrichtung von SAML besteht darin, dass Sie keine zusätzlichen Anmeldenamen erstellen müssen, damit Benutzer auf Ihr ArcGIS Enterprise-Portal zugreifen können. Sie verwenden stattdessen den Anmeldenamen, den sie bereits in einem Enterprise-Identitätsspeicher erstellt haben. Dieser Vorgang wird in der gesamten Dokumentation als "Einrichtung von Enterprise-Anmeldenamen" beschrieben.

Sie können auch Metadaten zu den Enterprise-Gruppen in Ihrem Identitätsspeicher für das Portal bereitstellen. Dies ermöglicht Ihnen das Erstellen von Gruppen im Portal, die die bestehenden Enterprise-Gruppen Ihres Identitätsspeichers nutzen.

Wenn Mitglieder sich beim Portal anmelden, wird der Zugriff auf Inhalte und Daten durch die Mitgliedschaftsregeln gesteuert, die in der Enterprise-Gruppe definiert sind. Wenn Sie die erforderlichen Enterprise-Gruppen-Metadaten nicht bereitstellen, können Sie trotzdem Gruppen erstellen. Mitgliedschaftsregeln werden jedoch vom ArcGIS Enterprise-Portal und nicht von Ihrem Identitätsspeicher gesteuert.

Hinweis:

Bei 10.6.1 können Sie auch mit Ihrem Portal einen Verbund von SAML-basierten Identity Providern konfigurieren.

Verwenden übereinstimmender Benutzernamen in ArcGIS Online und im ArcGIS Enterprise-Portal

Wenn in der ArcGIS Online-Organisation und dem Portal derselbe SAML-kompatible Identity Provider verwendet wird, können die Enterprise-Benutzernamen so konfiguriert werden, dass sie übereinstimmen. An alle Enterprise-Benutzernamen in ArcGIS Online wird der Kurzname der Organisation angehängt. Dieselben Enterprise-Benutzernamen können in Ihrem Portal verwendet werden, indem die Eigenschaft defaultIDPUsernameSuffix in der Sicherheitskonfiguration des ArcGIS Enterprise-Portals definiert und übereinstimmend mit dem Kurznamen der Organisation festgelegt wird. Dies ist erforderlich, wenn Editor-Tracking für einen Feature-Service aktiviert ist, der von Enterprise-Benutzern über ArcGIS Online und Ihr Portal bearbeitet wird.

SAML-Anmeldung

Portal for ArcGIS unterstützt vom Service-Provider (SP) und vom Identity-Provider (IDP) initiierte Enterprise-Anmeldenamen. Die Anmeldung erfolgt jeweils auf unterschiedliche Weise.

Vom Service-Provider initiierte Anmeldungen

Mit Anmeldenamen, die vom Service Provider initiiert werden, können Benutzer direkt auf das Portal zugreifen und sich mit integrierten Konten (vom Portal verwaltet) oder mit Konten, die von einem SAML-kompatiblen Identity-Provider verwaltet werden, anmelden. Bei Auswahl der Option "Identity-Provider für SAML" wird der Benutzer zu einer Webseite umgeleitet (die als Anmelde-Manager des Unternehmens bezeichnet wird), auf der sie aufgefordert werden, ihren Enterprise-Benutzernamen und ihr Kennwort einzugeben. Nachdem der Anmeldename des Benutzers bestätigt wurde, informiert der Enterprise-Identity-Provider Portal for ArcGIS darüber, dass die Identität des Benutzers, der sich anmeldet, überprüft wurde und dass der Benutzer zur Website der Organisation umgeleitet wird.

Wenn der Benutzer die Option für das integrierte Konto auswählt, wird die Anmeldeseite für die ArcGIS Enterprise-Portal-Website geöffnet. Der Benutzer kann dann den integrierten Benutzernamen und das Kennwort eingeben, um auf die Website zuzugreifen. Die Option für integrierte Konten kann als Ausfallsicherheit dienen, falls der SAML-kompatible Identity-Provider nicht verfügbar ist. Dies setzt voraus, dass die Option, sich mit einem ArcGIS-Konto anzumelden, nicht deaktiviert wurde.

Vom Identity-Provider initiierte Anmeldungen

Mit Anmeldenamen, die vom Identity-Provider initiiert wurden, können Benutzer direkt auf den Anmelde-Manager des Unternehmens zugreifen und sich mit ihrem Konto anmelden. Wenn das Mitglied die Kontoinformationen übermittelt, sendet der Identity-Provider die SAML-Antwort direkt an Portal for ArcGIS. Anschließend wird der Benutzer angemeldet und zur Portal-Website umgeleitet, die den sofortigen Zugriff auf Ressourcen ohne erneute Anmeldung bei der Organisation ermöglicht.

Die Option zum Anmelden mit integrierten Konten über den Anmelde-Manager des Unternehmens ist nicht verfügbar. Mitglieder, die sich mit integrierten Konten bei der Organisation anmelden möchten, müssen die Portal-Website direkt aufrufen.

Hinweis:

Wenn SAML-Anmeldungen aufgrund von Problemen im Zusammenhang mit dem Identity-Provider für SAML fehlschlagen und Sie die Option für integrierte Konten deaktiviert haben, können Sie erst dann auf das ArcGIS Enterprise-Portal zugreifen, wenn diese Option wieder aktiviert wurde. Informationen zur Vorgehensweise finden Sie unter dieser Frage in Allgemeine Probleme und Lösungen.

Identity-Provider für SAML

Portal for ArcGIS unterstützt alle SAML-kompatiblen Identity-Provider. In den folgenden Lernprogrammen wird die Konfiguration einiger häufig verwendeter SAML-kompatibler Identity-Provider mit Portal for ArcGIS demonstriert.

Eine Beschreibung des Prozesses zum Abrufen der erforderlichen Metadaten von den oben aufgeführten Identity-Providern finden Sie unter den jeweiligen Links. Nachfolgend wird der Prozess der Konfiguration von Identity-Providern mit Portal for ArcGIS beschrieben. Wenden Sie sich an den Administrator Ihres Enterprise-Identity-Providers, um die für die Konfiguration erforderlichen Parameter zu erhalten, bevor Sie den Vorgang fortsetzen. Wenn Ihre Organisation beispielsweise Microsoft Active Directory verwendet, sollten Sie sich an den dafür zuständigen Administrator wenden, um SAML für den Enterprise-Identity-Provider zu konfigurieren oder zu aktivieren und die für die Konfiguration für das Portal erforderlichen Parameter abzurufen.

Erforderliche Informationen

Portal for ArcGIS erfordert das Empfangen bestimmter Attributinformationen vom Identity-Provider, wenn ein Benutzer sich mit SAML-Anmeldenamen anmeldet. Das Attribut NameID ist ein erforderliches Attribut, das von Ihrem Identity-Provider in der SAML-Antwort gesendet werden muss, damit der Verbund mit Portal for ArcGIS hergestellt werden kann. Da Portal for ArcGIS einen Named User anhand des Wertes NameID eindeutig identifiziert, empfiehlt sich die Verwendung eines konstanten Wertes zur eindeutigen Identifizierung des Benutzers. Wenn sich ein Benutzer des IDP anmeldet, erstellt Portal for ArcGIS im eigenen Benutzerspeicher einen neuen Benutzer mit dem Benutzernamen NameID. Die zulässigen Zeichen für den von NameID gesendeten Wert sind alphanumerische Zeichen, _ (Unterstrich), . (Punkt) und @ (At-Zeichen). Für alle anderen Zeichen werden Escapezeichen verwendet, sodass der von Portal for ArcGIS erstellte Benutzername stattdessen Unterstriche enthält.

Portal for ArcGIS unterstützt die Übernahme der E-Mail-Adresse, der Gruppenmitgliedschaften, des angegebenen Namens und des Nachnamens eines Benutzers vom SAML-Identity-Provider.

Konfigurieren eines Portals mit einem Identity-Provider für SAML

Sie können das Portal so konfigurieren, dass Benutzer sich mit derselben Benutzername-Kennwort-Kombination anmelden können, die sie bereits für die lokalen Systeme nutzen. Vor der Einrichtung von Enterprise-Anmeldenamen müssen Sie für die Organisation einen Standard-Benutzertyp konfigurieren.

  1. Melden Sie sich als Administrator Ihrer Organisation bei der Portal-Website an, und klicken Sie auf Organisation > Einstellungen > Sicherheit.
  2. Klicken Sie im Abschnitt Anmeldungen unter Enterprise auf die Schaltfläche Enterprise-Anmeldung einrichten, und wählen Sie die Option Ein Identity-Provider aus. Geben Sie auf der Seite Eigenschaften angeben den Namen Ihrer Organisation ein, z. B. City of Redlands. Wenn Benutzer auf die Portal-Website zugreifen, wird dieser Text als Teil der SAML-Anmeldeoption angezeigt (z. B. Mit City of Redlands-Konto).
  3. Legen Sie fest, ob Benutzer der Organisation Automatisch oder Auf Einladung eines Administrators beitreten können. Durch Auswahl der ersten Option können Benutzer sich mit ihrem Enterprise-Anmeldenamen bei der Organisation anmelden, ohne dass ein Administrator eingreifen muss. Deren Konto wird bei der ersten Anmeldung automatisch bei der Organisation registriert. Die zweite Option erfordert, dass der Administrator die erforderlichen Konten mit einem Befehlszeilendienstprogramm oder Beispiel-Python-Skript beim Portal registrieren. Nachdem die Konten registriert wurden, können Benutzer sich bei der Organisation anmelden.
    Tipp:

    Es wird empfohlen, mindestens ein Enterprise-Konto als Administrator des Portals festzulegen und das initiale Administratorkonto herabzustufen oder zu löschen. Zudem sollten Sie die Schaltfläche Konto erstellen auf der Portal-Website deaktivieren, damit Benutzer keine eigenen Konten erstellen können. Vollständige Anweisungen finden Sie im Abschnitt Bestimmen eines Enterprise-Kontos als Administrator unten.

  4. Stellen Sie die notwendigen Metadateninformationen zu Ihrem SAML-kompatiblen Enterprise-Identity-Provider für ArcGIS Online bereit. Geben Sie hierzu die Quelle an, auf die das Portal zugreift, um Metadateninformationen abzurufen. Links zu Anweisungen zum Abrufen von Metadaten von zertifizierten Providern finden Sie im Abschnitt Identity-Provider für SAML oben. Es gibt drei mögliche Quellen für diese Metadateninformationen:
    • Eine URL: Geben Sie eine URL ein, die Metadateninformationen zu dem Identity-Provider zurückgibt.
      Hinweis:

      Wenn Ihr Enterprise-Identity-Provider ein selbstsigniertes Zertifikat beinhaltet, kann ein Fehler auftreten, wenn Sie versuchen, die HTTPS-URL der Metadaten anzugeben. Dieser Fehler tritt auf, da Portal for ArcGIS das selbstsignierte Zertifikat des Identity Providers nicht überprüfen kann. Verwenden Sie alternativ HTTP in der URL, eine der Optionen unten, oder konfigurieren Sie Ihren Identity-Provider mit einem vertrauenswürdigen Zertifikat.

    • Eine Datei: Laden Sie eine Datei hoch, die Metadateninformationen zu dem Identity-Provider enthält.
    • Hier angegebene Parameter: Geben Sie die Metadateninformationen zu dem Identity-Provider direkt anhand der folgenden Parameter ein:
      • Anmelde-URL (Umleitung): Geben Sie die URL des Identity-Providers (der HTTP-Umleitungsbindung unterstützt) an, die Portal for ArcGIS verwenden soll, um die Anmeldung eines Mitglieds zuzulassen.
      • Anmelde-URL (POST): Geben Sie die URL des Identity-Providers ein (der HTTP-POST-Bindung unterstützt), die Portal for ArcGIS verwenden soll, um die Anmeldung eines Mitglieds zuzulassen.
      • Zertifikat: Geben Sie das Zertifikat (codiert im Base64-Format) für den Enterprise-Identity-Provider an. Dieses Zertifikat ermöglicht es Portal for ArcGIS, die digitale Signatur in den SAML-Antworten zu überprüfen, die es vom Enterprise-Identity-Provider empfängt.
    Hinweis:

    Wenden Sie sich an den Administrator des Identity-Providers, falls Sie Hilfe beim Ermitteln Ihres Identity-Providers und beim Bereitstellen der entsprechenden Metadateninformationsquelle benötigen.

  5. Um die Konfiguration abzuschließen und eine Vertrauensstellung mit dem Identity-Provider herzustellen, müssen Sie die Service-Provider-Metadaten des Portals bei Ihrem Enterprise-Identity-Provider registrieren. Es gibt zwei Möglichkeiten, Metadaten von Ihrem Portal abzurufen:
    • Klicken Sie im Abschnitt Sicherheit der Registerkarte Einstellungen auf die Schaltfläche Service-Provider-Metadaten herunterladen, um die Metadatendatei für Ihre Organisation herunterzuladen.
    • Öffnen Sie die URL der Metadaten, und speichern Sie sie als XML-Datei auf Ihrem Computer. Die URL lautet https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, beispielsweise https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Sie können einen Token mit https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken generieren. Wenn Sie die URL auf der Seite Token erstellen eingeben, geben Sie den vollständig qualifizierten Domänennamen des Identity-Provider-Servers in das Feld Webanwendungs-URL ein. Die Auswahl einer anderen Option wie IP-Adresse oder IP-Adresse des Ursprungs dieser Anforderung wird nicht unterstützt und kann dazu führen, dass ein ungültiges Token erstellt wird.

    Links zu Anweisungen zum Registrieren der Service-Provider-Metadaten des Portals bei zertifizierten Providern finden Sie im Abschnitt Identity-Provider für SAML oben.

  6. Konfigurieren Sie erweiterte Einstellungen je nach Bedarf:
    • Assertion verschlüsseln: Aktivieren Sie diese Option, um den Identity-Provider für SAML darüber zu informieren, dass Portal for ArcGIS verschlüsselte Antworten auf SAML-Assertionen unterstützt. Wenn diese Option ausgewählt ist, verschlüsselt der Identity-Provider den Assertionsteil der SAML-Antworten. Obwohl der gesamte SAML-Datenverkehr an und von Portal for ArcGIS durch die Verwendung von HTTPS bereits verschlüsselt ist, wird mit dieser Option eine weitere Verschlüsselungsebene hinzugefügt.
    • Signierte Anforderung aktivieren: Aktivieren Sie diese Option, wenn Portal for ArcGIS die an den Identity-Provider gesendete SAML-Authentifizierungsanforderung signieren soll. Durch das Signieren der ersten Anmeldeanforderung, die von Portal for ArcGIS gesendet wird, kann der Identity-Provider überprüfen, ob alle Anmeldeanforderungen von einem vertrauenswürdigen Service-Provider stammen
    • Abmeldung an Identity-Provider propagieren: Aktivieren Sie diese Option, damit Portal for ArcGIS eine Abmelde-URL verwendet, um den Benutzer vom Identity-Provider abzumelden. Geben Sie die URL ein, die in der Einstellung Abmelde-URL verwendet werden soll. Wenn der Identity Provider eine Signierung der Abmelde-URL erfordert, muss die Option Signierte Anforderung aktivieren ebenfalls aktiviert sein. Wenn diese Option nicht aktiviert ist, wird der Benutzer durch Klicken auf Abmelden in Portal for ArcGIS von Portal for ArcGIS, jedoch nicht vom Identity-Provider abgemeldet. Wenn der Web-Browser-Cache nicht gelöscht wird, führt der Versuch, sich mit der Option für Enterprise-Anmeldenamen direkt wieder bei Portal for ArcGIS anzumelden, zur sofortigen Anmeldung, ohne Benutzeranmeldeinformationen für den SAML-Identity-Provider eingeben zu müssen. Dies stellt ein Sicherheitsrisiko dar, das ausgenutzt werden kann, wenn ein Computer verwendet wird, der für nicht autorisierte Benutzer oder die allgemeine Öffentlichkeit leicht zugänglich ist.
    • Profile beim Anmelden aktualisieren: Aktivieren Sie diese Option, wenn Portal for ArcGIS die Attribute givenName und email address der Benutzer aktualisieren soll, falls diese sich seit der letzten Anmeldung geändert haben. Diese Option ist standardmäßig ausgewählt.
    • SAML-basierte Gruppenmitgliedschaft aktivieren: Aktivieren Sie diese Option, um Portal-Administratoren die Möglichkeit zu geben, Gruppen im SAML-Identity-Provider mit im ArcGIS Enterprise-Portal erstellten Gruppen zu verknüpfen. Wenn diese Option ausgewählt ist, analysiert Portal for ArcGIS die Antwort auf die SAML-Assertion, um zu ermitteln, welcher Gruppe ein Mitglied angehört. Sie können dann eine oder mehrere vom Identity-Provider bereitgestellte Enterprise-Gruppen für Wer kann dieser Gruppe beitreten? festlegen, wenn Sie eine neue Gruppe in Ihrem Portal erstellen. Diese Option ist standardmäßig nicht ausgewählt.
    • Abmelde-URL: Geben Sie die URL des Identity Providers ein, die zum Abmelden des aktuell angemeldeten Benutzers verwendet werden soll. Wenn diese Eigenschaft in der Metadatendatei des Identity-Providers festgelegt ist, wird sie automatisch festgelegt.
    • Entitäts-ID: Aktualisieren Sie diesen Wert, wenn für die eindeutige Identifizierung Ihrer Portal for ArcGIS-Organisation beim SAML-Identity-Provider eine neue Entitäts-ID verwendet werden soll.

Festlegen eines Enterprise-Kontos als Administrator

Die Vorgehensweise beim Festlegen eines Enterprise-Kontos als Administrator des Portals hängt davon ab, ob Benutzer der Organisation Automatisch oder Auf Einladung eines Administrators beitreten können.

Wenn Benutzer der Organisation automatisch beitreten können

Wenn Sie die Option ausgewählt haben, die Benutzern den Beitritt zur Organisation Automatisch gewährt, öffnen Sie die Startseite der Portal-Website, während Sie mit dem Enterprise-Konto angemeldet sind, das Sie als Portal-Administrator verwenden möchten.

Wenn ein Konto erstmals dem Portal automatisch hinzugefügt wird, wird ihm die für neue Mitglieder konfigurierte Standardrolle zugewiesen. Nur ein Administrator der Organisation kann die Rolle eines Kontos ändern. Sie müssen sich deshalb mit dem initialen Administratorkonto beim Portal anmelden und der Administratorrolle ein Enterprise-Konto zuweisen.

  1. Öffnen Sie die Portal-Website, klicken Sie auf die Option zum Anmelden mit einem Identity-Provider für SAML, und geben Sie die Anmeldeinformationen des Enterprise-Kontos ein, das Sie als Administrator verwenden möchten. Wenn dieses Konto einem anderen Benutzer zugeordnet ist, muss dieser Benutzer sich bei dem Portal anmelden, damit das Konto beim Portal registriert wird.
  2. Überprüfen Sie, ob das Konto dem Portal hinzugefügt wurde, und klicken Sie auf Abmelden. Löschen Sie den Browser-Cache und die Cookies.
  3. Öffnen Sie im Browser die Portal-Website, klicken Sie auf die Option zum Anmelden mit einem integrierten Portal-Konto, und geben Sie die Anmeldeinformationen des initialen Administratorkontos ein, das Sie beim Einrichten von Portal for ArcGIS erstellt haben.
  4. Suchen Sie das Enterprise-Konto, das Sie zum Verwalten des Portals verwenden, und ändern Sie die Rolle in Administrator. Klicken Sie auf Abmelden.

Das ausgewählte Enterprise-Konto ist nun ein Administrator des Portals.

Manuelles Hinzufügen von Enterprise-Konten zum Portal

Wenn Sie die Option ausgewählt haben, damit Benutzer der Organisation nur Auf Einladung eines Administrators beitreten können, müssen Sie die erforderlichen Konten mit dem Befehlszeilendienstprogramm oder dem Beispiel-Python-Skript bei der Organisation registrieren. Vergewissern Sie sich, dass die Administratorrolle für ein Enterprise-Konto ausgewählt ist, das zum Verwalten des Portals verwendet wird.

Herabstufen oder Löschen des initialen Administratorkontos

Da Sie nun über ein alternatives Administratorkonto für das Portal verfügen, können Sie dem initialen Administratorkonto eine andere Rolle zuweisen oder das Konto löschen. Weitere Informationen finden Sie unter Initiales Administratorkonto.

Verhindern einer Erstellung eigener Konten durch Benutzer

Sie können verhindern, dass Benutzer eigene integrierte Konten erstellen, indem Sie die Möglichkeit der Erstellung neuer integrierter Konten durch Benutzer in den Organisationseinstellungen deaktivieren.

Deaktivieren der Anmeldung mit ArcGIS-Konten

Wenn Sie verhindern möchten, dass Benutzer sich mit einem ArcGIS-Konto beim Portal anmelden, können Sie die Schaltfläche Verwendung des ArcGIS-Kontos auf der Anmeldeseite deaktivieren. Führen Sie dazu die folgenden Schritte aus.

  1. Melden Sie sich als Administrator Ihrer Organisation bei der Portal-Website an, und klicken Sie auf Organisation > Einstellungen > Sicherheit.
  2. Klicken Sie im Abschnitt Anmeldungen unter Anmeldeoptionen auf den Umschalter für Anmeldenamen für <Organization name>, um diese Option zu deaktivieren.

Auf der Anmeldeseite wird die Schaltfläche zur Anmeldung beim Portal mithilfe des Identity-Provider-Kontos angezeigt, und die Schaltfläche zur Anmeldung unter Verwendung des ArcGIS-Kontos ist nicht mehr verfügbar. Sie können Mitglieder-Anmeldenamen für ArcGIS-Konten erneut aktivieren, indem Sie unter Anmeldenamen für <Organization name> unter Anmeldungen > Anmeldeoptionen die entsprechende Option aktivieren.

Ändern des Identity-Providers für SAML

Wenn Sie einen Identity-Provider eingerichtet haben, können Sie dessen Einstellungen aktualisieren, indem Sie neben dem Identity-Provider auf die Schaltfläche "Weitere Optionen" Weitere Optionen und anschließend auf Bearbeiten klicken. Aktualisieren Sie die Einstellungen im Fenster Enterprise-Anmeldung bearbeiten. Diese Schaltflächen werden nur aktiviert, wenn Sie einen SAML-kompatiblen Identity-Provider eingerichtet haben.

Um den aktuell registrierten Identity-Provider zu entfernen, klicken Sie neben dem Identity-Provider auf die Schaltfläche "Weitere Optionen" Weitere Optionen und anschließend auf Löschen. Sobald Sie den Identity-Provider entfernt haben, können Sie bei Bedarf einen neuen erstellen.