يتيح تكوين تسجيلات الدخول الخاصة بالمؤسسة، مثل تسجيلات الدخول إلى SAML (المعروفة سابقًا بعمليات تسجيل الدخول إلى المؤسسة) لأعضاء مؤسستك تسجيل الدخول إلى ArcGIS Online باستخدام نفس تسجيلات الدخول المُستخدَمة للوصول إلى الأنظمة الداخلية للمؤسسة. إن ميزة إعداد عمليات تسجيل الدخول إلى المؤسسة باستخدام هذا المنهج هي أن الأعضاء ليسوا بحاجة إلى إنشاء عمليات تسجيل دخول إضافية داخل نظام ArcGIS Online عوضًا عن ذلك، يمكنهم استخدام عملية تسجيل الدخول التي تم إعدادها بالفعل في المؤسسة. عند تسجيل دخول الأعضاء إلى ArcGIS Online فإنهم يدخلون اسم المستخدم وكلمة المرور الخاصين بالمؤسسة مباشرة في مدير تسجيل الدخول الخاص بمؤسستك، والمعروف أيضًا بموفر هوية المؤسسة (IdP). عند التحقق من بيانات اعتماد العضو، يقوم موفر الهوية بإبلاغ بهوية العضو ArcGIS Online الذي يسجل الدخول والتي تم التحقق منها.
ArcGIS Online يدعم SAML 2.0 لتكوين عمليات الدخول إلى SAML. SAML هو معيار مفتوح لتبادل بيانات المصادقة والتخويل بشكل آمن بين IdP (مؤسستك) وموفر الخدمة (SP). في هذه الحالة، يتوافق ArcGIS Online مع بروتوكول SAML 2.0 ويتكامل مع موفري هوية المؤسسة الذين يدعمون SAML 2.0 مثل Active Directory Federation Services (AD FS)، و Google Workspace، و Okta.
يمكنك تكوين صفحة تسجيل الدخول إلى ArcGIS Online لتعرض فقط تسجيل الدخول إلى SAML أو تعرض تسجل الدخول إلى SAML مع أي من الخيارات التالية: تسجيل الدخول إلى ArcGIS وتسجيل الدخول إلى OpenID Connect (إذا تم تكوينه) وتسجيلات الدخول إلى مواقع التواصل الاجتماعي (إذا تم تكوينها).
للتأكد من تكوين عمليات تسجيل دخول SAML الخاصة بك بشكل آمن، راجع أفضل ممارساتSAML الأمان.
في معظم المواقف، تقوم المؤسسات بتعيين تسجيلات دخول SAML الخاصة بهم باستخدام موفر هوية مفرد. يقوم IdP بمصادقة المستخدمين الذين يمكنهم الوصول إلى الموارد المؤمنة المستضافة عبر موفرات خدمة متعددين. يتم إدارة IdP وكل موفري الخدمة بواسطة نفس المؤسسة.
ملاحظة:
عندما يتوفر إصدار جديد من شهادة توقيع وتشفيرArcGIS Online SAML، يجب على المسؤولين التحديث إلى الشهادة الجديدة.
يعد تكوين مؤسستك لاستخدام اتحاد لـ IDPs يعتمد على SAML طريقة أخرى لمصادقة المستخدمين بتسجيلات الدخول SAML. في الاتحاد الذي يعتمد على SAML بين مؤسسات متعددة، تستمر كل المؤسسات الأعضاء في استخدام IdP الخاص بها، ولكنها تقوم بتكوين SP واحد أو أكثر من أجل العمل بشكل حصري ضمن الاتحاد. للوصول إلى خدمة مؤمنة تم مشاركتها داخل الاتحاد، يقوم المستخدم بمصادقة الهوية مع IdP الخاص بمؤسستهم الرئيسية. بمجرد المصادقة بنجاحن يتم تقديم الهوية التي تم التحقق منها إلى SP الذي يستضيف المورد المُؤمَّن. ومن ثم يقوم SP بمنح الوصول إلى المورد بعد التحقق من امتيازات وصول المستخدم.
الخبرة المكتسبة من استخدام تسجيل دخول SAMLSAML
يدعم ArcGIS Online تسجيلات الدخول SAML التي يتم تهيئتها بواسطة موفر الخدمة وتسجيلات الدخول SAML التي يوفرها موفرها الهوية. تختلف تجربة تسجيل الدخول لكل منها.
عمليات تسجيل دخول SP المُهيأة
باستخدام عمليات تسجيل الدخول المُهيأة بواسطة موفر الخدمة، يتمكن الأعضاء من الوصول إلى موقع ArcGIS Online الإلكتروني مباشرةً ورؤية خيارات تسجيل الدخول باستخدام تسجيل الدخول كموفر خدمة SAML أو تسجيل الدخول إلى ArcGIS. في حال قيام الأعضاء بتحديد خيار موفر الخدمة، فإنه تتم إعادة توجيهم إلى صفحة ويب (معروفة باسم مدير تسجيل الدخول) حيث تتم مطالبتهم بإدخال اسم المستخدم وكلمة المرور لـ SAML. استنادًا إلى عملية التحقق من بيانات اعتماد العضو، يقوم موفر الهوية بإبلاغ ArcGIS Online بالهوية التي تم التحقق منها للعضو الذي يقوم بتسجيل الدخول ويتم إعادة توجيه العضو مرة أخرى إلى موقع ArcGIS Online الإلكتروني.
إذا اختار العضو خيار ArcGIS، تظهر صفحة تسجيل الدخول إلى ArcGIS Online. وعندئذٍ يمكن للعضو إدخال اسم مستخدم وكلمة مرور ArcGIS للوصول إلى موقع الويب.
عمليات تسجيل دخول IDP المُهيأة
باستخدام عمليات تسجيل دخول موفر الهوية IdP الأولوية، يتمكن الأعضاء من الوصول إلى مدير عملية تسجيل دخول المنظمة مباشرةً والقيام بتسجيل الدخول باستخدام حساباتهم. عندما يرسل العضو معلومات حسابه، يُرسل موفر الهوية استجابة SAML مباشرةً إلى ArcGIS Online. ومن ثم يُسجل العضو الدخول ويُعاد توجيهه إلى موقع ArcGIS Online الإلكتروني حيث يمكن الوصول إلى الموارد على الفور دون القيام بتسجيل الدخول إلى المؤسسة مرة أخرى.
لم يتوفر خيار تسجيل الدخول باستخدام حساب ArcGIS مباشرةً من مدير عملية تسجيل الدخول مع تسجيلات دخول موفر الهوية IdP. لتسجيل الدخول إلى ArcGIS Online باستخدام حسابات ArcGIS، يجب على الأعضاء الوصول إلى موقع ArcGIS Online الإلكتروني مباشرةً.
تكوين عمليات تسجيل الدخول إلى SAML
عملية تكوين موفر هوية في ArcGIS Online تم وصفها أدناه. قبل المتابعة، يوصى بالاتصال بمسؤول موفر الهوية الخاص بك أو اتحاد موفري الهوية للحصول على المعلمات المطلوبة للتكوين. على سبيل المثال، إذا كانت مؤسستك تستخدم Microsoft Entra ID، يكون المسؤول عن ذلك هو الشخص الذي يتم الاتصال به لتكوين SAML أو تمكينه على جانب مُوفر الهوية المؤسسي والحصول على المعلمات الضرورية للتكوين في جانب ArcGIS Online. يمكنك أيضا الوصول إلى وثائق تكوين موفر الهوية التفصيلية لجهة خارجية والمساهمة فيها في مستودعGitHub ArcGIS/idp.
- تأكد من تسجيل الدخول كمسؤول أو دور مخصص له امتيازات لتكوين إعدادات الأمان.
- في أعلى الموقع، انقر على المؤسسة وانقر على علامة تبويب الإعدادات .
- إذا كنت تخطط للسماح للأعضاء بالانضمام تلقائيًا، فقم بتكوين الإعدادات الافتراضية للأعضاء الجدد أولاً. إذا لزم الأمر، يمكنك تغيير هذه الإعدادات لأعضاء محددين بعد انضمامهم إلى المؤسسة.
- انقر فوق الإعدادات الافتراضية للعضو الجديد على جانب الصفحة.
- حدد نوع المستخدم الافتراضي ودوره للأعضاء الجدد.
- حدد تراخيص الوظيفة الإضافية لتعيين الأعضاء تلقائيًا عند انضمامهم إلى المؤسسة.
- حدد المجموعات التي سيُضاف إليها الأعضاء عندما ينضمون إلى المؤسسة.
- إذا تم تمكين ميزانية الرصيد للمؤسسة، فقم بتعيين تخصيص الائتمان لكل عضو جديد على عدد محدد من الأرصدة أو بدون حد.
- اختياريًا، قم بتمكين الوصول إلى Esri للأعضاء الجدد.
يمكن للعضو الذي تم تمكين وصول Esri إلى حسابه استخدام My Esriوأخذ الدورات التدريبية والمشاركة في Esri Community وإضافة التعليقات إلى مدونة ArcGIS وإدارة اتصالات البريد الإلكتروني من Esri. لا يمكن تمكين العضو أو تعطيل الوصول الخاص بهم إلى موارد Esri الحالية.
- انقر فوق الأمان على جانب الصفحة.
- في قسم عمليات تسجيل الدخول، انقر فوق تسجيل الدخول إلى SAML الجديد.
- في النافذة الظاهرة، فحدد أيًا مما يلي:
- موفر هوية واحد- يتيح للمستخدمين تسجيل الدخول باستخدام بيانات اعتماد SAML الموجودة المدارة بواسطة المؤسسة. هذا هو التكوين الأكثر استخداماً.
- توحيد موفري الهوية- السماح للمستخدمين الذين ينتمون إلى اتحاد مؤسسي داخلي موجود، مثل اتحاد SWITCHaai، لتسجيل الدخول ببيانات اعتماد مدعومة بواسطة الاتحاد.
- انقر فوق التالي.
- إذا قمت بتحديد موفر هوية واحد، افعل ما يلي:
- أدخل اسم مؤسستك.
- اختر كيفية تسجل دخول الأعضاء ممن لديهم عمليات تسجيل دخول إلىSAML للانضمام إلى مؤسسةArcGIS Online: تلقائيًا أو من خلال الدعوة. يسمح الخيار التلقائي للأعضاء بالانضمام إلى المؤسسة عن طريق عمليات تسجيل الدخول إلى SAML. باستخدام خيار الدعوة، تقوم بإنتاج دعوات البريد الإلكتروني من خلال ArcGIS Online التي تتضمن تعليمات عن كيفية الانضمام إلى المؤسسة. إذ اخترت الخيار التلقائي، فسيظل بإمكانك دعوة الأعضاء للانضمام إلى المؤسسة أو إضافتهم مباشرة باستخدام معرّف SAML الخاص بهم.
- زوّد ArcGIS Online بمعلومات بيانات تعريف IdP عن طريق تحديد المصدر الذي سيصل إليه ArcGIS Online للحصول على معلومات بيانات التعريف المتعلقة بـ IDP.
يوجد ثلاث مصادر متاحة لهذه المعلومات:
- عنوان URL—أدخل عنوان URL يُرجع معلومات بيانات التعريف المتعلقة بـ IdP.
- ملف- تحميل ملف يتضمن معلومات البيانات التعريفية المتعلقة بموفر الهوية.
- المعلمات المحددة هنا—أدخل معلومات بيانات التعريف الخاصة بـ IdP مباشرًة عن طريق توفير المعلمات التالية:
- عنوان URL لتسجيل الدخول (إعادة توجيه)—أدخل عنوان URL الخاص بـ IdP (الذي يدعم ربط إعادة توجيه HTTP) الذي ينبغي على ArcGIS Online استخدامه للسماح بتسجيل دخول العضو.
- عنوان URL لتسجيل الدخول (POST)—أدخل عنوان URL الخاص بـ IdP (الذي يدعم ربط HTTP POST) الذي ينبغي على ArcGIS Online استخدامه للسماح بتسجيل دخول العضو.
- الشهادة—توفير الشهادة، مُكودة جغرافيًا بتنسيق BASE 64 لموفر الهوية المؤسسي. إنها الشهادة التي تتيح لـ ArcGIS Online التحقق من صحة التوقيع الرقمي في استجابات SAML التي يرسلها مُوفر الهوية المُؤسسي.
ملاحظة:
اتصل بمسئول موفر الهوية إذا كنت بحاجة إلى مساعدة في تحديد أي من مصادر معلومات البيانات التعريفية التي تحتاج إلى توفيرها.
- إذا قمت بتحديد اتحاد موفري الهوية، افعل ما يلي:
- أدخل اسم الاتحاد الخاص بك.
- اختر كيفية تسجل دخول الأعضاء ممن لديهم عمليات تسجيل دخول إلىSAML للانضمام إلى مؤسسةArcGIS Online: تلقائيًا أو من خلال الدعوة. يسمح الخيار التلقائي للأعضاء بالانضمام إلى المؤسسة عن طريق عمليات تسجيل الدخول إلى SAML. باستخدام خيار الدعوة، تقوم بإنتاج دعوات البريد الإلكتروني من خلال ArcGIS Online التي تتضمن تعليمات عن كيفية الانضمام إلى المؤسسة. إذ اخترت الخيار التلقائي، فسيظل بإمكانك دعوة الأعضاء للانضمام إلى المؤسسة أو إضافتهم مباشرة باستخدام معرّف SAML الخاص بهم.
- أدخل عنوان URL إلى خدمة اكتشاف IDP المركزية المستضافة بواسطة الاتحاد—على سبيل المثال، https://wayf.samplefederation.com/WAYF.
- أدخل عنوان URL لبيانات التعريف الخاصة بالاتحاد الذي يعد تجميعًا لبيانات التعريف لكل IdPs وSP المشاركة في الاتحاد.
- انسخ الشهادة والصقها، والمكودة بتنسيق Base64، وهو ما يتيح للمؤسسة التحقق من صحة البيانات التعريفية للاتحاد.
- انقر على عرض الإعدادات المتقدمة لتكوين الإعدادات المتقدمة القابلة للتطبيق التالية:
- السماح بالتأكيد المشفر— قم بتمكين هذا الخيار للإشارة إلى SAML موفر هوية إلى أن ArcGIS Online يدعم استجابات تأكيد المشفرةSAML. عند تمكين هذا الخيار، يقوم موفر الهوية بتشفير قسم تأكيد استجابات SAML. يتم بالفعل تشفير جميع حرك مرور SAML إلى ومن ArcGIS Online عن طريق استخدام HTTPS، لكن هذا الخيار يضيف طبقة أخرى من التشفير.
ملاحظة:
لا يقوم بعض موفري الهوية بتشفير التأكيدات بشكل افتراضي. من المستحسن أن تطلب من مسؤول موفر الهوية التأكد من تمكين التأكيدات المشفرة.
- تمكين الطلب المُوقع—تمكين هذا الخيار ArcGIS Online للحصول على توقيع طلب مصادقة SAML الذي تم إرساله إلى IdP. يُتيح تسجيل الدخول إلى طلب تسجيل الدخول الأولي المُرسل بواسطة ArcGIS Online لموفر الهوية التحقق من إنشاء كل طبقات تسجيل الدخول من موفر هوية موثوق.
- نشر تسجيل الخروج لموفر الهوية—تمكين هذا الخيار للحصول على ArcGIS Online استخدم عنوان URL لتسجيل الخروج وذلك لتسجيل خروج المستخدم من IdP. أدخل عنوان URL لاستخدامه في إعداد عنوان URL لتسجيل الخروج. إذا تطلب موفر الهوية توقيع عنوان URL الخاص بتسجيل الخروج، يجب أيضًا تشغيل الخيار تمكين الطلب المُوقع. عندما يكون هذا الخيار غير متاحًا، فإن النقر على تسجيل الخروج في ArcGIS Online يقوم بتسجيل خروج المستخدم من ArcGIS Online ولكن ليس من موفر الهوية. إذا لم يتم مسح ذاكرة التخزين المؤقت لمستعرض الويب والخاصة بالمستخدم، فإن محاولة إعادة تسجيل الدخول فورًا إلى ArcGIS Online باستخدام خيار تسجيل الدخول SAML تتسبب في تسجيل دخول فوري دون الحاجة إلى أن يوفر المستخدم اعتمادات موفر هوية SAML. إنها ثغرة أمنية يمكن استغلالها عند استخدام كمبيوتر يمكن لأي مستخدمين غير معتمدين أو أي مستخدم عام الوصول إليه بسهولة.
- تحديث ملفات التعريف عند تسجيل الدخول—قم بتمكين هذا الخيار لمزامنة معلومات الحساب تلقائيًا (الاسم الكامل وعنوان البريد الإلكتروني) المخزنة في ArcGIS Online ملفات تعريف مستخدم بأحدث معلومات الحساب المستلمة من IdP. يتيح تمكين هذا الخيار لمؤسستك التحقق، عندما يقوم المستخدم بتسجيل الدخول باستخدام SAML معلومات تسجيل الدخول إلى ، مما إذا كانت معلومات IdP قد تغيرت منذ إنشاء الحساب، وفي هذه الحالة، لتحديث ملف تعريف حساب ArcGIS Online المُستخدم وفقًا لذلك.
- عليك تمكين عضوية المجموعة القائمة على SAML—قم بتمكين هذا الخيار للسماح لأعضاء المؤسسة بربط SAML بمجموعات ArcGIS Online أثناء عملية إنشاء المجموعة. عند تمكين هذا الخيار، يكون لأعضاء المؤسسة الذين يتمتعون بامتياز ربط مجموعات SAML خيار إنشاء مجموعة ArcGIS Online تتحكم في عضويتها مجموعة مُدارة بواسطة SAML موفر هوية مؤسسة SAML خارجي. بمجرد ربط المجموعة بنجاح بمجموعة خارجية تعتمد على SAML، يتم تعريف كل عضوية من عضويات المستخدم في المجموعة في استجابة تأكيد SAML التي يتم استقبالها من IdP في كل مرة يسجل فيها المستخدم الدخول.
للتأكد من ربط مجموعة ArcGIS Online بمجموعة SAML الخارجية بنجاح، يجب أن يُدخل منشئ المجموعة القيمة الدقيقة لمجموعة SAML الخارجية التي تم إرجاعها في قيمة البيانات الجدولية في تأكيد SAML. اعرض استجابة تأكيد SAML من موفر هوية SAML الخاص بك لتحديد القيمة المستخدمة للإشارة إلى المجموعة. فيما يلي الأسماء المدعومة، غير الحساسة لحالة الأحرف للبيانات الجدولية التي تحدد عضوية مجموعة المستخدم:
- مجموعة
- المجموعات
- دور
- الأدوار
- MemberOf
- member-of
- https://wso2.com/claims/role
- http://schemas.xmlsoap.org/claims/Group
- http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
- urn:oid:1.3.6.1.4.1.5923.1.5.1.1
- urn:oid:2.16.840.1.113719.1.1.4.1.25
على سبيل المثال، المستخدم الذي يُسجل الدخول هو عضو في FullTimeEmployees وGIS Faculty الخاصة بمجموعات SAML. في تأكيد SAML الذي تم استقباله من موفر الهوية، كما هو موضح أدناه، يكون اسم السمة التي تحتوي على معلومات مجموعة هو MemberOf. في هذا المثال، لإنشاء مجموعة مرتبطة بـ GIS Faculty الخاص بمجموعة SAML، يجب على منشئ المجموعة كتابة GIS Faculty كاسم المجموعة.
<saml2p:Response> ... ... <saml2:Assertion> ... ... <saml2:AttributeStatement> ... ... <saml2:Attribute Name="MemberOf"> <saml2:AttributeValue>FullTimeEmployees</saml2:AttributeValue> <saml2:AttributeValue>GIS Faculty</saml2:AttributeValue> </saml2:Attribute> </saml2:AttributeStatement> </saml2:Assertion> </saml2p:Response>
فيما يلي مثال آخر باستخدام قيم المعرف لتعريف المجموعات:
<saml2p:Response> ... ... <saml2:Assertion> ... ... <saml2:AttributeStatement> ... ... <saml2:Attribute Name="urn:oid:2.16.840.1.113719.1.1.4.1.25" FriendlyName="groups"> <saml2:AttributeValue>GIDff63a68d51325b53153eeedd78cc498b</saml2:AttributeValue> <saml2:AttributeValue>GIDba5debd8d2f9bb7baf015af7b2c25440</saml2:AttributeValue> </saml2:Attribute> </saml2:AttributeStatement> </saml2:Assertion> </saml2p:Response>
- عنوان URL لتسجيل الخروج—إذا اخترت موفر هوية واحد في خطوة سابقة، فأدخل عنوان URL لـ IdP ليتم استخدامه لتسجيل خروج المستخدم الذي سجَّل الدخول حاليًا. إذا تم تحديد هذه الخاصية في ملف البيانات التعريفية لموفر الهوية، يتم تعيينها تلقائيًا.
- مُعرف الهوية—تحديث هذه القيمة لاستخدام مُعرف هوية جديدة لتعريف مؤسسة ArcGIS Online بشكل منفرد لمقدم SAML IdP أو لاتحاد SAML.
- السماح بالتأكيد المشفر— قم بتمكين هذا الخيار للإشارة إلى SAML موفر هوية إلى أن ArcGIS Online يدعم استجابات تأكيد المشفرةSAML. عند تمكين هذا الخيار، يقوم موفر الهوية بتشفير قسم تأكيد استجابات SAML. يتم بالفعل تشفير جميع حرك مرور SAML إلى ومن ArcGIS Online عن طريق استخدام HTTPS، لكن هذا الخيار يضيف طبقة أخرى من التشفير.
- عند الانتهاء، انقر فوق حفظ.
- لاكتمال عملية التكوين، قم بتأسيس ثقة مع دليل الاكتشاف الخاص بالاتحاد وموفر الهوية المؤسسية (إذا أمكن) عن طريق تسجيل البيانات الوصفية لموفر الخدمة ArcGIS Online.يوجد طريقان للحصول على هذه البيانات الوصفية:
- انقر فوق زر تنزيل البيانات التعريفية لموفر الخدمة لتنزيل ملف البيانات التعريفية لمؤسستك.
- افتح عنوان URL لملف بيانات التعريف واحفظه كملف .xml على جهاز الكمبيوتر. يمكنك نسخ عنوان URL وعرضه في نافذة تسجيل الدخول إلى Edit SAML الموجودة تحت رابط لتنزيل بيانات تعريف موفر الخدمة.
تتوفر روابط التعليمات لتسجيل بيانات تعريف موفر الخدمة مع الموفرين المعتمدين في قسم موفري هوية SAML أعلاه. إذا قمت بتحديد اتحاد موفري الهوية، بمجرد أن تنتهي من تنزيل البيانات التعريفية لموفر الخدمة، اتصل بمسؤولي اتحاد SAML للحصول على تعليمات عن كيفية دمج بياناتك التعريفية في ملف البيانات التعريفية المجمَّع للاتحاد. سوف تحتاج منهم أيضًا إلى تعليمات لتسجيل موفر الهوية (IDP) الخاص بك مع الاتحاد.
تعديل أو إزالة موفر هوية SAML
عندما تقوم بإعداد موفر هوية SAML، يمكنك تحديث الإعدادات الخاصة به من خلال النقر فوق تكوين تسجيل الدخول بجوار موفر الهوية SAML المسجل حاليًا. قم بتحديث الإعدادات الخاصة بك في نافذة تحرير تسجيل دخول SAML.
لإزالة موفر الهوية المسجل حاليًا، انقر فوق تكوين تسجيل الدخول بجوار موفر الهوية ثم انقر فوق حذف تسجيل الدخول في نافذة تحرير تسجيل الدخول إلى SAML. بمجرد إزالة موفر الهوية، يمكنك اختياريًا إعداد IdP جديد أو اتحاد IdPs.
أفضل الممارسات لأمان SAML
لتمكين عمليات تسجيل الدخول SAML، يمكنك تكوين ArcGIS Online كموفر خدمة لموفر هوية SAML الخاص بك. لضمان الأمان، يرجى مراعاة أفضل الممارسات التالية.
التوقيع رقمياً على طلبات تسجيل الدخول والخروج في SAML وتوقيع استجابة تأكيد SAML
يتم استخدام التوقيعات لضمان سلامة رسائل SAML وبالتالي كضمانة ضد هجمات الدخلاء (MITM). يضمن التوقيع الرقمي لطلب SAML أيضًا إرسال الطلب من قِبل موفر خدمة موثوق به، مما يسمح لـ IdP بالتعامل بشكل أفضل مع هجمات رفض الخدمة (DOS). قم بتشغيل خيار تمكين الطلب الموقع من خلال الإعدادات المتقدمة عند تكوين تسجيلات الدخول SAML.
ملاحظة:
- يتطلب تمكين الطلبات الموقعة تحديث IdP كلما تم تجديد أو استبدال شهادة التوقيع التي يستخدمها موفر الخدمة.
- يتطلب تمكين الطلبات الموقعة تحديث موفر الخدمة (ArcGIS Online) كلما تم تجديد أو استبدال شهادة التوقيع التي يستخدمها IdP.
قم بتكوين موفر الهوية SAML لتوقيع استجابة SAML لمنع تغيير مرور استجابة تأكيد SAML.
استخدام نقطة نهاية HTTPS لموفر الهوية IdP
أي اتصال بين موفر الخدمة SP وموفر الهوية IdP، ومتصفح المستخدم الذي يتم إرساله إما عبر شبكة داخلية أو الإنترنت بتنسيق غير مشفر يمكن اعتراضه من قبل ممثل ضار. إذا كان موفر الهوية IdP SAML يدعم HTTPS، فمن المستحسن أن تستخدم نقطة نهاية HTTPS لضمان سرية البيانات المرسلة أثناء عمليات تسجيل الدخول SAML.
تشفير استجابة تأكيد SAML
يؤمن استخدام HTTPS SAML للاتصالSAML الرسائل المرسلة بين موفر الهوية IdP ووموفر الخدمة SP. ومع ذلك، لا يزال بإمكان المستخدمين الذين قاموا بتسجيل الدخول فك تشفير وعرض رسائل SAML من خلال متصفح الويب. تمكين تشفير استجابة التأكيد يمنع المستخدمين من مشاهدة المعلومات السرية أو الحساسة التي يتم توصيلها بين موفر الهوية IdP وموفر الخدمة SP.
ملاحظة:
يتطلب تمكين التأكيدات المشفرة تحديث موفر الهوية IdP عندما يتم تجديد أو استبدال شهادة التشفير التي يستخدمها موفر الخدمة (ArcGIS Online).
إدارة شهادة توقيع موفر الهوية لـ SAML بشكل آمن
يوصى بتكوين موفر الهوية لـ SAML لاستخدام شهادة ذات مفتاح تشفير قوي للتوقيع رقميًا على استجابة تأكيد SAML. إذا تم تجديد شهادة موفر الهوية لـ SAML، يجب عليك تحديث تكوين الخاص ArcGIS Online بمؤسسة SAML على الفور باستخدام الشهادة الجديدة لضمان استمرار عمليات تسجيل دخول SAML. يوصى بتحديث شهادة موفر الهوية لـ SAML عندما تخضع مؤسسة ArcGIS Online للصيانة المجدولة.
ملاحظة:
تتم إدارة الشهادة المستخدمة لتوقيع طلبات SAML وتشفير استجابة التأكيد بواسطة ArcGIS Online ويتم تجديدها سنويًا.
بعد الحصول على شهادة موفر الهوية الجديدة المشفرة بتنسيق BASE 64 من مسؤول موفر الهوية لـ SAML، قم بما يلي لاستبدال الشهادة لتكوين تسجيل دخول SAML لمؤسستك:
- احصل على أحدث بيانات IdP metadata SAML من مسؤول الـ IdP SAML الخاص بك.
- تأكد من تسجيل الدخول كمسؤول أو دور مخصص له امتيازات لتكوين إعدادات الأمان.
- في أعلى الموقع، انقر على المؤسسة وانقر على علامة تبويب الإعدادات .
- انقر فوق الأمان على جانب الصفحة.
- في قسم عمليات تسجيل الدخول، انقر فوق تكوين تسجيل الدخول بجوار زر تبديل تسجيل الدخول إلى SAML.
- في نافذة تحرير تسجيل دخول SAML، انقر فوق ملف ضمن مصدر بيانات التعريف لموفر هوية المؤسسة.
- انقر على اختر ملف وانتقل إلى الملف الجديد لبيانات التعريف الخاصة بـ IdP الذي تم الحصول عليه من SAMLمسؤول IdP.
- انقر على حفظ لتحديث ArcGIS OnlineSAML تكوين تسجيل الدخول لاستخدام الشهادة الجديدة.