Durch die Konfiguration von organisationsspezifischen Anmeldenamen wie SAML-Anmeldungen (ehemals Enterprise-Anmeldenamen) können die Mitglieder Ihrer Organisation für die Anmeldung bei ArcGIS Online dieselben Anmeldeinformationen wie für den Zugriff auf die internen Systeme Ihrer Organisation verwenden. Der Vorteil der Einrichtung von organisationsspezifischen Anmeldenamen mit dieser Methode besteht darin, dass Mitglieder innerhalb des ArcGIS Online-Systems keine zusätzlichen Anmeldenamen erstellen müssen, sondern stattdessen den Anmeldenamen verwenden können, der bereits für die Organisation eingerichtet wurde. Während der Anmeldung bei ArcGIS Online geben Mitglieder den organisationsspezifischen Benutzernamen und das entsprechende Kennwort direkt in den Anmelde-Manager der Organisation ein, der auch als der Identity-Provider (IdP) der Organisation bezeichnet wird. Nachdem die Anmeldeinformationen des Mitglieds bestätigt wurden, informiert der IdP ArcGIS Online darüber, dass die Identität des Mitglieds, das sich anmeldet, überprüft wurde.
ArcGIS Online unterstützt für die Konfiguration von SAML-Anmeldungen SAML 2.0. SAML ist ein offener Standard für den sicheren Austausch von Authentifizierungs- und Autorisierungsdaten zwischen einem IdP (Ihrer Organisation) und einem Service-Provider (SP). In diesem Fall ist ArcGIS Online mit dem Protokoll SAML 2.0 kompatibel und wird mit IdPs integriert, die SAML 2.0 unterstützen, z. B. Active Directory Federation Services (AD FS), Google Workspace und Okta.
Sie können die ArcGIS Online-Anmeldeseite entweder so konfigurieren, dass nur die SAML-Anmeldung angezeigt wird oder so, dass die SAML-Anmeldung zusammen mit einer oder mehreren der folgenden Optionen angezeigt wird: ArcGIS-Anmeldung, OpenID Connect-Anmeldung (falls konfiguriert) und die Anmeldung über soziale Netzwerke (falls konfiguriert).
Um sicherzustellen, dass die SAML-Anmeldenamen sicher konfiguriert werden, informieren Sie sich über die Best Practices für die SAML-Sicherheit.
In den meisten Situationen richten die Organisationen ihre SAML-Anmeldungen mit nur einem IdP ein. Dieser IdP authentifiziert die Benutzer, die auf gesicherte Ressourcen zugreifen, welche auf mehreren Service-Providern gehostet werden. Der IdP und alle Service-Provider werden durch dieselbe Organisation verwaltet.
Hinweis:
Wenn eine neue Version des ArcGIS Online SAML-Signatur- und Verschlüsselungszertifikats verfügbar ist, müssen Sie auf die neue Version des Zertifikats aktualisieren.
Eine weitere Möglichkeit zum Authentifizieren von Benutzern mit SAML-Anmeldungen besteht darin, Ihre Organisation so zu konfigurieren, dass ein SAML-basierter Verbund aus IdPs verwendet wird. In einem SAML-basierten Verbund zwischen mehreren Organisationen verwendet jede Mitgliedsorganisation auch weiterhin den eigenen IdP, konfiguriert aber mindestens einen der eigenen SP für die ausschließliche Arbeit innerhalb des Verbunds. Um auf eine gesicherte Ressource, die innerhalb des Verbunds freigegeben wurde, zuzugreifen, authentifiziert ein Benutzer seine Identität beim IdP seiner Home-Organisation. Nach der erfolgreichen Authentifizierung wird diese geprüfte Identität für den SP, der die gesicherte Ressource hostet, bereitgestellt. Der SP erteilt dann den Zugriff auf die Ressource, nachdem die Zugriffsberechtigungen des Benutzers überprüft wurden.
SAML-Anmeldung
ArcGIS Online unterstützt vom SP initiierte SAML-Anmeldungen sowie vom IdP initiierte SAML-Anmeldungen. Die Anmeldungen unterscheiden sich.
Vom SP initiierte Anmeldenamen
Bei Anmeldungen, die vom SP initiiert wurden, greifen Mitglieder direkt auf die ArcGIS Online-Website zu. Dabei werden Optionen angezeigt, mit denen sie sich über ihren SAML-SP-Anmeldenamen oder ArcGIS-Anmeldenamen anmelden können. Bei Auswahl der SP-Option werden Mitglieder zu einer Webseite umgeleitet (die als Anmelde-Manager bezeichnet wird), auf der sie aufgefordert werden, ihren SAML-Benutzernamen und ihr Kennwort einzugeben. Nachdem die Anmeldeinformationen des Mitglieds bestätigt wurden, informiert der IdP ArcGIS Online darüber, dass die Identität des Mitglieds, das sich anmeldet, überprüft wurde. Das Mitglied wird daraufhin zur ArcGIS Online-Website umgeleitet.
Wenn das Mitglied die ArcGIS-Option auswählt, wird die Anmeldeseite für ArcGIS Online geöffnet. Das Mitglied kann dann den Benutzernamen und das Kennwort für ArcGIS eingeben, um auf die Website zuzugreifen.
IdP-initiierte Anmeldungen
Bei IdP-initiierten Anmeldungen greifen Mitglieder direkt auf den Anmelde-Manager ihrer Organisation zu und melden sich mit ihrem Konto an. Wenn das Mitglied die Kontoinformationen übermittelt, sendet der IdP die SAML-Antwort direkt an ArcGIS Online. Anschließend wird das Mitglied angemeldet und zur ArcGIS Online-Website der Organisation umgeleitet, was den sofortigen Zugriff auf Ressourcen ohne erneute Anmeldung bei der Organisation ermöglicht.
Die Option für die direkte Anmeldung mit einem ArcGIS-Konto über den Anmelde-Manager ist bei IdP-Anmeldungen nicht verfügbar. Mitglieder, die sich mit ArcGIS-Konten bei ArcGIS Online anmelden möchten, müssen die ArcGIS Online-Website direkt aufrufen.
Konfigurieren von SAML-Anmeldungen
Nachfolgend wird der Prozess der Konfiguration von IdPs bei ArcGIS Online beschrieben. Wenden Sie sich an den Administrator Ihres IdP oder des IdP-Verbunds, um die für die Konfiguration erforderlichen Parameter zu erhalten, bevor Sie den Vorgang fortsetzen. Wenn Ihre Organisation beispielsweise Microsoft Entra ID verwendet, sollten Sie sich an den dafür zuständigen Administrator wenden, um SAML für den IdP zu konfigurieren oder zu aktivieren und die für die Konfiguration in ArcGIS Online erforderlichen Parameter zu erhalten. Zugriff auf detaillierte Drittanbieterdokumentation für die IdP-Konfiguration haben Sie über das ArcGIS/idp-Repository auf GitHub, wo Sie ebenfalls eigene Beiträge zur Dokumentation leisten können.
- Vergewissern Sie sich, dass Sie als Administrator oder als benutzerdefinierte Rolle mit Berechtigungen zum Konfigurieren von Sicherheitseinstellungen angemeldet sind.
- Klicken Sie im oberen Bereich der Seite auf Organisation und dann auf die Registerkarte Einstellungen.
- Wenn Sie planen, dass Mitglieder automatisch beitreten können sollen, konfigurieren Sie zunächst die Standardeinstellungen für neue Mitglieder. Bei Bedarf können Sie diese Einstellungen für bestimmte Mitglieder ändern, nachdem sie der Organisation beigetreten sind.
- Klicken Sie am Rand der Seite auf Standardeinstellungen für neue Mitglieder.
- Wählen Sie den Standardbenutzertyp und die Standardrolle für neue Mitglieder aus.
- Wählen Sie die Add-on-Lizenzen aus, die Mitgliedern automatisch zugewiesen werden sollen, wenn sie der Organisation beitreten.
- Wählen Sie die Gruppen aus, zu denen Mitglieder hinzugefügt werden sollen, wenn sie der Organisation beitreten.
- Wenn die Credit-Budgetierung für Ihre Organisation aktiviert ist, legen Sie als Credit-Zuweisung für jedes neue Mitglied eine bestimmte Zahl von Credits oder aber kein Limit fest.
- Aktivieren Sie optional Esri Zugriff für neue Mitglieder.
Ein Mitglied, in dessen Konto Esri Access aktiviert wurde, kann My Esri verwenden, an Schulungen teilnehmen, Beiträge und Kommentare in der Esri Community und im ArcGIS Blog verfassen sowie die E-Mail-Kommunikation von Esri verwalten. Das Mitglied kann den Zugriff auf diese Esri Ressourcen nicht selbst aktivieren oder deaktivieren.
- Klicken Sie am Rand der Seite auf Sicherheit.
- Klicken Sie im Bereich Anmeldungen auf Neue SAML-Anmeldung.
- Wählen Sie im nächsten Fenster eine der folgenden Optionen aus:
- Ein Identity-Provider: Benutzer können sich mit ihren vorhandenen SAML-Anmeldeinformationen anmelden, die von Ihrer Organisation verwaltet werden. Dies ist die am häufigsten verwendete Konfiguration.
- Ein Verbund von Identity-Providern: Benutzer, die einem vorhandenen organisationsübergreifenden Verbund wie beispielsweise SWITCHaai angehören, können sich mit den von diesem Verbund unterstützten Anmeldeinformationen anmelden.
- Klicken Sie auf Weiter.
- Wenn Sie Ein Identity-Provider ausgewählt haben, dann gehen Sie wie folgt vor:
- Geben Sie den Namen Ihrer Organisation an.
- Legen Sie fest, wie Mitglieder mit SAML-Anmeldungen der ArcGIS Online-Organisation beitreten sollen: automatisch oder durch eine Einladung. Die automatische Option ermöglicht Mitgliedern den Beitritt zur Organisation durch die Anmeldung mit ihrem SAML-Anmeldenamen. Bei der Einladungsoption generieren Sie E-Mail-Einladungen mit Anweisungen zum Beitritt zu der Organisation durch ArcGIS Online. Wenn Sie die automatische Option auswählen, können Sie trotzdem Mitglieder dazu einladen, der Organisation beizutreten, oder sie direkt hinzufügen, indem Sie deren SAML-ID verwenden.
- Stellen Sie Metadateninformationen zu Ihrem IdP für ArcGIS Online bereit, indem Sie die Quelle angeben, auf die ArcGIS Online zugreift, um Metadateninformationen zum IdP abzurufen.
Es gibt drei mögliche Quellen für diese Informationen:
- Eine URL: Geben Sie eine URL an, die Metadateninformationen zu dem IdP zurückgibt.
- Eine Datei: Laden Sie eine Datei hoch, die Metadateninformationen zu dem IdP enthält.
- Hier angegebene Parameter: Geben Sie die Metadateninformationen zu dem IdP direkt anhand der folgenden Parameter ein:
- Anmelde-URL (Umleitung): Geben Sie die URL des IdP (mit Unterstützung der HTTP-Umleitungsbindung) an, die ArcGIS Online verwenden soll, um die Anmeldung eines Mitglieds zuzulassen.
- Anmelde-URL (POST): Geben Sie die URL des IdP (mit Unterstützung der HTTP-POST-Bindung) an, die ArcGIS Online verwenden soll, um die Anmeldung eines Mitglieds zuzulassen.
- Zertifikat: Geben Sie das Zertifikat (codiert im Base64-Format) für den IdP an. Dieses Zertifikat ermöglicht es ArcGIS Online, die digitale Signatur in den SAML-Antworten zu überprüfen, die es vom IdP empfängt.
Hinweis:
Wenden Sie sich an den Administrator des IdPs, falls Sie Hilfe beim Ermitteln Ihres Identity-Providers und beim Bereitstellen der entsprechenden Metadateninformationsquelle benötigen.
- Wenn Sie Ein Verbund von Identity-Providern ausgewählt haben, dann gehen Sie wie folgt vor:
- Geben Sie den Namen des Verbundes an.
- Legen Sie fest, wie Mitglieder mit SAML-Anmeldungen der ArcGIS Online-Organisation beitreten sollen: automatisch oder durch eine Einladung. Die automatische Option ermöglicht Mitgliedern den Beitritt zur Organisation durch die Anmeldung mit ihrem SAML-Anmeldenamen. Bei der Einladungsoption generieren Sie E-Mail-Einladungen mit Anweisungen zum Beitritt zu der Organisation durch ArcGIS Online. Wenn Sie die automatische Option auswählen, können Sie trotzdem Mitglieder dazu einladen, der Organisation beizutreten, oder sie direkt hinzufügen, indem Sie deren SAML-ID verwenden.
- Geben Sie die URL zum im Verbund gehosteten zentralen IdP-Discovery-Service an, zum Beispiel https://wayf.samplefederation.com/WAYF.
- Geben Sie die URL zu den Verbundmetadaten an. Dies ist eine Aggregation der Metadaten aller am Verbund beteiligten IdPs und SPs.
- Kopieren Sie das im Base64-Format codierte Zertifikat, und fügen Sie es ein. Mit diesem Zertifikat kann das Portal die Gültigkeit der Verbundmetadaten überprüfen.
- Klicken Sie auf Erweiterte Einstellungen anzeigen, um die folgenden erweiterten Einstellungen je nach Bedarf zu konfigurieren:
- Verschlüsselte Assertion zulassen: Aktivieren Sie diese Option, um den SAML-IdP darüber zu informieren, dass ArcGIS Online verschlüsselte Antworten auf SAML-Assertionen unterstützt. Wenn diese Option aktiviert ist, verschlüsselt der IdP den Assertionsteil der SAML-Antwort. Obwohl der gesamte SAML-Datenverkehr an und von ArcGIS Online durch die Verwendung von HTTPS bereits verschlüsselt ist, wird mit dieser Option eine weitere Verschlüsselungsebene hinzugefügt.
Hinweis:
Bestimmte IdPs verschlüsseln Assertionen nicht standardmäßig. Es wird empfohlen, dass Sie sich bei Ihrem IdP-Administrator erkundigen, ob verschlüsselte Assertionen aktiviert sind.
- Signierte Anforderung aktivieren: Aktivieren Sie diese Option, wenn ArcGIS Online die an den IdP gesendete SAML-Authentifizierungsanforderung signieren soll. Durch das Signieren der ersten Anmeldeanforderung, die von ArcGIS Online gesendet wird, kann der IdP überprüfen, ob alle Anmeldeanforderungen von einem vertrauenswürdigen SP stammen.
- Abmeldung an Identity-Provider propagieren: Aktivieren Sie diese Option, damit ArcGIS Online eine Abmelde-URL verwendet, um den Benutzer vom IdP abzumelden. Geben Sie die URL an, die in der Einstellung Abmelde-URL verwendet werden soll. Wenn der IdP eine Signierung der Abmelde-URL erfordert, muss die Option Signierte Anforderung aktivieren ebenfalls aktiviert sein. Wenn diese Option nicht verfügbar ist, wird der Benutzer durch Klicken auf Abmelden in ArcGIS Online von ArcGIS Online, jedoch nicht vom IdP abgemeldet. Wenn der Web-Browser-Cache des Benutzers nicht gelöscht wird, führt der Versuch, sich mit der Option für SAML-Anmeldungen direkt wieder bei ArcGIS Online anzumelden, zur sofortigen Anmeldung, ohne Benutzeranmeldeinformationen für den SAML-IdP eingeben zu müssen. Dies stellt ein Sicherheitsrisiko dar, das ausgenutzt werden kann, wenn ein Computer verwendet wird, der für nicht autorisierte Benutzer oder die allgemeine Öffentlichkeit leicht zugänglich ist.
- Profile beim Anmelden aktualisieren: Aktivieren Sie diese Option, um die Kontoinformationen (vollständiger Name und E-Mail-Adresse), die in Benutzerprofilen von ArcGIS Online gespeichert sind, automatisch mit den aktuellen Kontoinformationen zu synchronisieren, die vom IdP empfangen wurden. Wenn diese Option aktiviert ist, kann Ihre Organisation überprüfen, wann sich ein Benutzer mit einem SAML-Anmeldenamen anmeldet und ob sich die IdP-Informationen seit der Erstellung des Kontos geändert haben. Ist dies der Fall, kann das ArcGIS Online-Kontoprofil des Benutzers entsprechend aktualisiert werden.
- SAML-basierte Gruppenmitgliedschaft aktivieren: Aktivieren Sie diese Option, damit Mitglieder der Organisation bestimmte SAML-basierte Gruppen während der Gruppenerstellung mit ArcGIS Online-Gruppen verknüpfen können. Wenn Sie diese Option aktivieren, können Mitglieder der Organisation mit der Berechtigung zum Verknüpfen mit SAML-Gruppen eine ArcGIS Online-Gruppe erstellen, deren Mitgliedschaft von einer SAML-Gruppe gesteuert wird, die von einem externen SAML-IdP verwaltet wird. Nachdem eine Gruppe erfolgreich mit einer externen, SAML-basierten Gruppe verknüpft wurde, wird die Mitgliedschaft der einzelnen Benutzer in der Gruppe anhand der Antwort auf die SAML-Assertion ermittelt, die bei jeder Anmeldung des Benutzers vom IdP empfangen wird.
Um sicherzustellen, dass die ArcGIS Online-Gruppe erfolgreich mit der externen SAML-Gruppe verknüpft wurde, muss der Ersteller der Gruppe den Wert der externen SAML-Gruppe genau so eingeben, wie er in dem Attributwert der SAML-Assertion zurückgegeben wird. Zeigen Sie die Antwort auf die SAML-Assertion vom SAML-IdP an, um den Wert für die Referenzierung der Gruppe zu bestimmen. Die unterstützten Namen (ohne Unterscheidung zwischen Groß- und Kleinschreibung) für das Attribut, mit dem die Gruppenmitgliedschaft eines Benutzers definiert wird, lauten:
- Group
- Groups
- Role
- Roles
- MemberOf
- member-of
- https://wso2.com/claims/role
- http://schemas.xmlsoap.org/claims/Group
- http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
- urn:oid:1.3.6.1.4.1.5923.1.5.1.1
- urn:oid:2.16.840.1.113719.1.1.4.1.25
Beispiel: Ein Benutzer, der sich anmeldet, ist Mitglied der SAML-Gruppen "FullTimeEmployees" und "GIS Faculty". In der unten dargestellten SAML-Assertion, die vom IdP empfangen wurde, lautet der Name des Attributs mit den Gruppeninformationen "MemberOf". In diesem Beispiel muss der Ersteller der Gruppe GIS Faculty als Gruppennamen eingeben, um eine mit der SAML-Gruppe "GIS Faculty" verknüpfte Gruppe zu erstellen.
<saml2p:Response> ... ... <saml2:Assertion> ... ... <saml2:AttributeStatement> ... ... <saml2:Attribute Name="MemberOf"> <saml2:AttributeValue>FullTimeEmployees</saml2:AttributeValue> <saml2:AttributeValue>GIS Faculty</saml2:AttributeValue> </saml2:Attribute> </saml2:AttributeStatement> </saml2:Assertion> </saml2p:Response>Das nachstehende Beispiel zeigt die Verwendung von ID-Werten für die Identifizierung von Gruppen:
<saml2p:Response> ... ... <saml2:Assertion> ... ... <saml2:AttributeStatement> ... ... <saml2:Attribute Name="urn:oid:2.16.840.1.113719.1.1.4.1.25" FriendlyName="groups"> <saml2:AttributeValue>GIDff63a68d51325b53153eeedd78cc498b</saml2:AttributeValue> <saml2:AttributeValue>GIDba5debd8d2f9bb7baf015af7b2c25440</saml2:AttributeValue> </saml2:Attribute> </saml2:AttributeStatement> </saml2:Assertion> </saml2p:Response> - Abmelde-URL: Wenn Sie in einem vorherigen Schritt Ein Identity-Provider ausgewählt haben, geben Sie die IdP-URL an, die zum Abmelden des aktuell angemeldeten Benutzers verwendet werden soll. Wenn diese Eigenschaft in der Metadatendatei des IdPs angegeben ist, wird sie automatisch festgelegt.
- Entitäts-ID: Aktualisieren Sie diesen Wert, wenn für die eindeutige Identifizierung der ArcGIS Online-Organisation beim SAML-IdP- oder SAML-Verbund eine neue Entitäts-ID verwendet werden soll.
- Verschlüsselte Assertion zulassen: Aktivieren Sie diese Option, um den SAML-IdP darüber zu informieren, dass ArcGIS Online verschlüsselte Antworten auf SAML-Assertionen unterstützt. Wenn diese Option aktiviert ist, verschlüsselt der IdP den Assertionsteil der SAML-Antwort. Obwohl der gesamte SAML-Datenverkehr an und von ArcGIS Online durch die Verwendung von HTTPS bereits verschlüsselt ist, wird mit dieser Option eine weitere Verschlüsselungsebene hinzugefügt.
- Klicken Sie abschließend auf Speichern.
- Um den Konfigurationsprozess abzuschließen, müssen Sie eine vertrauenswürdige Verbindung mit dem Discovery-Service des Verbunds (sofern zutreffend) und dem IdP einrichten, indem Sie die ArcGIS Online-SP-Metadaten des Portals bei ihnen registrieren.Zum Abrufen dieser Metadaten gibt es zwei Möglichkeiten:
- Klicken Sie auf Service-Provider-Metadaten herunterladen, um die Metadatendatei für Ihre Organisation herunterzuladen.
- Öffnen Sie die URL der Metadaten-Datei, und speichern Sie sie als .xml-Datei auf Ihrem Computer. Sie können die URL im Fenster SAML-Anmeldung bearbeiten unter Link zum Herunterladen der Service-Provider-Metadaten anzeigen und kopieren, um die Metadaten des Service-Providers herunterzuladen.
Links zu Anweisungen zum Registrieren der SP-Metadaten bei zertifizierten Providern finden Sie im Abschnitt SAML-IdPs oben. Wenn Sie einen Verbund von Identity-Providern ausgewählt haben, bitten Sie die Administratoren des SAML-Verbunds um Anweisungen zum Integrieren der SP-Metadaten in die aggregierte Metadatendatei des Verbunds, nachdem Sie die SP-Metadaten heruntergeladen haben. Sie benötigen von den Administratoren auch Anweisungen zum Registrieren Ihres Identity Providers beim Verbund.
Ändern oder Entfernen des SAML-IdP
Wenn Sie einen SAML-IdP eingerichtet haben, können Sie dessen Einstellungen aktualisieren, indem Sie neben dem aktuell registrierten SAML-IdP auf die Schaltfläche Anmeldung konfigurieren klicken. Aktualisieren Sie die Einstellungen im Fenster SAML-Anmeldung bearbeiten.
Um den aktuell registrierten IdP zu entfernen, klicken Sie neben dem IdP auf die Schaltfläche Anmeldung konfigurieren und dann im Fenster SAML-Anmeldung bearbeiten auf Anmeldung löschen. Nachdem Sie einen IdP entfernt haben, können Sie optional einen neuen IdP oder einen Verbund aus IdPs einrichten.
Best Practices für die SAML-Sicherheit
Wenn Sie SAML-Anmeldungen aktivieren möchten, können Sie ArcGIS Online als SP für Ihren SAML-IdP konfigurieren. Berücksichtigen Sie die folgenden Empfehlungen für eine Sicherheitsstrategie.
Digitales Signieren von SAML-Anmelde- und -Abmeldeanforderungen und Signieren von Antworten auf SAML-Assertionen
Anhand von Signaturen wird die Integrität von SAML-Nachrichten sichergestellt, wodurch sie einen Schutz vor Man-in-the-Middle-(MITM-)Angriffen darstellen. Durch die digitale Signierung der SAML-Anforderung wird ebenfalls sichergestellt, dass die Anforderung von einem vertrauenswürdigen SP stammt. Auf diese Weise können Denial-of-Service-Angriffe (DOS-Angriffe) besser vom IdP abgewehrt werden. Aktivieren Sie bei der Konfiguration von SAML-Anmeldungen die Option Signierte Anforderung aktivieren.
Hinweis:
- Sind signierte Anforderungen aktiviert, muss der IdP aktualisiert werden, sobald das Signaturzertifikat des SP erneuert oder ersetzt wird.
- Sind signierte Anforderungen aktiviert, muss der SP (ArcGIS Online) aktualisiert werden, sobald das Signaturzertifikat des IdP erneuert oder ersetzt wird.
Konfigurieren Sie den SAML-IdP so, dass die SAML-Antwort signiert wird, damit bei der Übertragung keine Änderungen an der Antwort auf die SAML-Assertion vorgenommen werden können.
Verwenden des HTTPS-Endpunktes des IdP
Alle Arten von Kommunikation, die unverschlüsselt zwischen dem SP, dem IdP und dem Browser des Benutzers über ein internes Netzwerk oder das Internet gesendet werden, können von einem böswilligen Benutzer abgefangen werden. Wenn Ihr SAML-IdP die Nutzung von HTTPS unterstützt, empfiehlt sich die Verwendung des HTTPS-Endpunktes, um die Vertraulichkeit der Daten sicherzustellen, die bei SAML-Anmeldungen übermittelt werden.
Verschlüsseln von Antworten auf SAML-Assertionen
Durch die Verwendung von HTTPS für die SAML-Kommunikation wird sichergestellt, dass SAML-Nachrichten sicher zwischen dem IdP und SP gesendet werden. Angemeldete Benutzer können jedoch weiterhin die SAML-Nachrichten über den Webbrowser decodieren und anzeigen. Indem Sie die Verschlüsselung von Antworten auf Assertionen aktivieren, verhindern Sie, dass die zwischen IdP und SP kommunizierten vertraulichen Informationen und sensiblen Daten angezeigt werden können.
Hinweis:
Sind verschlüsselte Assertionen aktiviert, muss der IdP aktualisiert werden, sobald das Verschlüsselungszertifikat des SP (ArcGIS Online) erneuert oder ersetzt wird.
Sicheres Verwalten des Signaturzertifikats eines SAML-IdPs
Es empfiehlt sich, für den SAML-IdP die Verwendung eines Zertifikats mit einem sicheren kryptografischen Schlüssel für die digitale Signatur der Antwort auf die SAML-Assertion zu konfigurieren. Wenn das Zertifikat des SAML-IdPs verlängert wird, müssen Sie die SAML-Konfiguration der ArcGIS Online-Organisation sofort anhand des neuen Zertifikats aktualisieren, um sicherzustellen, dass SAML-Anmeldungen auch weiterhin verwendet werden können. Es wird empfohlen, das Zertifikat des SAML-IdPs zu aktualisieren, wenn geplante Wartungsmaßnahmen in der ArcGIS Online-Organisation durchgeführt werden.
Hinweis:
Das Zertifikat zum Signieren von SAML-Anforderungen und Verschlüsseln von Antworten auf Assertionen wird von ArcGIS Online verwaltet und jährlich verlängert.
Gehen Sie nach dem Abrufen des neuen, im BASE 64-Format codierten IdP-Zertifikats vom SAML-IdP-Administrator folgendermaßen vor, um das Zertifikat für die Konfiguration der SAML-Anmeldung Ihrer Organisation zu ersetzen:
- Fragen Sie Ihren SAML-IdP-Administrator nach den neuesten SAML-IdP-Metadaten.
- Vergewissern Sie sich, dass Sie als Administrator oder als benutzerdefinierte Rolle mit Berechtigungen zum Konfigurieren von Sicherheitseinstellungen angemeldet sind.
- Klicken Sie im oberen Bereich der Seite auf Organisation und dann auf die Registerkarte Einstellungen.
- Klicken Sie am Rand der Seite auf Sicherheit.
- Klicken Sie im Abschnitt Anmeldungen auf Anmeldung konfigurieren neben der Umschaltfläche SAML-Anmeldung.
- Klicken Sie im Fenster SAML-Anmeldung bearbeiten unter Metadatenquelle für Enterprise-Identity-Provider auf Datei.
- Klicken Sie auf Datei auswählen und wählen Sie die neue IdP-Metadatendatei aus, die Sie vom SAML-IdP-Administrator erhalten haben.
- Klicken Sie auf Speichern, um die ArcGIS Online SAML-Anmeldekonfiguration zu aktualisieren und das neue Zertifikat zu verwenden.