Einrichten von SAML-Anmeldungen

Durch die Konfiguration von organisationsspezifischen Anmeldenamen wie SAML-Anmeldungen (ehemals Enterprise-Anmeldenamen) können die Mitglieder Ihrer Organisation für die Anmeldung bei ArcGIS Online dieselben Anmeldeinformationen wie für den Zugriff auf die internen Systeme Ihrer Organisation verwenden. Der Vorteil der Einrichtung von organisationsspezifischen Anmeldenamen mit dieser Methode besteht darin, dass Mitglieder innerhalb des ArcGIS Online-Systems keine zusätzlichen Anmeldenamen erstellen müssen, sondern stattdessen den Anmeldenamen verwenden können, der bereits für die Organisation eingerichtet wurde. Während der Anmeldung bei ArcGIS Online geben Mitglieder den organisationsspezifischen Benutzernamen und das entsprechende Kennwort direkt in den Anmelde-Manager der Organisation ein, der auch als der Identity-Provider (IDP) der Organisation bezeichnet wird. Nachdem der Anmeldeinformationen des Mitglieds bestätigt wurden, informiert der IDP ArcGIS Online darüber, dass die Identität des Mitglieds, das sich anmeldet, überprüft wurde.

ArcGIS Online unterstützt für die Konfiguration von SAML-Anmeldungen SAML 2.0. SAML ist ein offener Standard für den sicheren Austausch von Authentifizierungs- und Autorisierungsdaten zwischen einem IDP (Ihre Organisation) und einem Service-Provider (SP). In diesem Fall ist ArcGIS Online mit dem SAML-2.0-Protokoll kompatibel und kann in IDPs integriert werden, die SAML 2.0 unterstützen.

Sie können die ArcGIS Online-Anmeldeseite entweder so konfigurieren, dass nur die SAML-Anmeldung angezeigt wird oder so, dass die SAML-Anmeldung zusammen mit einer oder mehreren der folgenden Optionen angezeigt wird: ArcGIS-Anmeldung, OpenID Connect-Anmeldung (falls konfiguriert) und die Anmeldung über soziale Netzwerke (falls konfiguriert).

Um sicherzustellen, dass die SAML-Anmeldenamen sicher konfiguriert werden, informieren Sie sich über die Best Practices für die SAML-Sicherheit.

In den meisten Situationen richten die Organisationen ihre SAML-Anmeldungen mit nur einem IDP ein. Dieser IDP authentifiziert die Benutzer, die auf gesicherte Ressourcen zugreifen, welche auf mehreren Service-Providern gehostet werden. Der IDP und alle Service-Provider werden durch dieselbe Organisation verwaltet.

Hinweis:

Wenn eine neue Version des ArcGIS Online SAML-Signatur- und Verschlüsselungszertifikats verfügbar ist, müssen Sie auf die neue Version des Zertifikats aktualisieren.

Eine weitere Möglichkeit zum Authentifizieren von Benutzern mit SAML-Anmeldungen besteht darin, Ihre Organisation so zu konfigurieren, dass ein SAML-basierter Verbund aus IDPs verwendet wird. In einem SAML-basierten Verbund zwischen mehreren Organisationen verwendet jede Mitgliedsorganisation auch weiterhin den eigenen IDP, konfiguriert aber mindestens einen der eigenen SP für die ausschließliche Arbeit innerhalb des Verbunds. Um auf eine gesicherte Ressource, die innerhalb des Verbunds freigegeben wurde, zuzugreifen, authentifiziert ein Benutzer seine Identität beim IDP seiner Home-Organisation. Nach der erfolgreichen Authentifizierung wird diese geprüfte Identität für den SP, der die gesicherte Ressource hostet, bereitgestellt. Der SP erteilt dann den Zugriff auf die Ressource, nachdem die Zugriffsberechtigungen des Benutzers überprüft wurden.

SAML-Anmeldung

ArcGIS Online unterstützt vom SP initiierte SAML-Anmeldungen sowie vom IDP initiierte SAML-Anmeldungen. Die Anmeldungen unterscheiden sich.

Vom SP initiierte Anmeldenamen

Bei Anmeldungen, die vom SP initiiert wurden, greifen Mitglieder direkt auf die ArcGIS Online-Website zu. Dabei werden Optionen angezeigt, mit denen sie sich über ihren SAML-SP-Anmeldenamen oder ArcGIS-Anmeldenamen anmelden können. Bei Auswahl der SP-Option werden Mitglieder zu einer Webseite umgeleitet (die als Anmelde-Manager bezeichnet wird), auf der sie aufgefordert werden, ihren SAML-Benutzernamen und ihr Kennwort einzugeben. Nachdem die Anmeldeinformationen des Mitglieds bestätigt wurden, informiert der IDP ArcGIS Online darüber, dass die Identität des Mitglieds, das sich anmeldet, überprüft wurde, und dass das Mitglied zur ArcGIS Online-Website umgeleitet wird.

Wenn das Mitglied die ArcGIS-Option auswählt, wird die Anmeldeseite für ArcGIS Online geöffnet. Das Mitglied kann dann den Benutzernamen und das Kennwort für ArcGIS eingeben, um auf die Website zuzugreifen.

IDP-initiierte Anmeldungen

Bei IDP-initiierten Anmeldungen greifen Mitglieder direkt auf den Anmelde-Manager ihrer Organisation zu und melden sich mit ihrem Konto an. Wenn das Mitglied die Kontoinformationen übermittelt, sendet der IDP die SAML-Antwort direkt an ArcGIS Online. Anschließend wird das Mitglied angemeldet und zur ArcGIS Online-Website der Organisation umgeleitet, die den sofortigen Zugriff auf Ressourcen ohne erneute Anmeldung bei der Organisation ermöglicht.

Die Option für die direkte Anmeldung mit einem ArcGIS-Konto über den Anmelde-Manager ist bei IDP-Anmeldungen nicht verfügbar. Mitglieder, die sich mit ArcGIS-Konten bei ArcGIS Online anmelden möchten, müssen die ArcGIS Online-Website direkt aufrufen.

SAML-IDPs

In den folgenden Lernprogrammen wird die Verwendung SAML-kompatibler IDPs mit ArcGIS Online gezeigt:

Konfigurieren von SAML-Anmeldungen

Nachfolgend wird der Prozess der Konfiguration von IDPs bei ArcGIS Online beschrieben. Wenden Sie sich an den Administrator Ihres IDP oder des Verbunds aus IDPs, um die für die Konfiguration erforderlichen Parameter zu erhalten, bevor Sie den Vorgang fortsetzen. Wenn Ihre Organisation beispielsweise Microsoft Active Directory verwendet, sollten Sie sich an den dafür zuständigen Administrator wenden, um SAML für den IDP zu konfigurieren oder zu aktivieren und die für die Konfiguration auf der ArcGIS Online-Site erforderlichen Parameter zu erhalten.

  1. Überprüfen Sie, ob Sie als Administrator Ihrer Organisation angemeldet sind.
  2. Klicken Sie im oberen Bereich der Seite auf Organisation und dann auf die Registerkarte Einstellungen.
  3. Wenn Sie planen, dass Mitglieder automatisch beitreten können sollen, konfigurieren Sie zunächst die Standardeinstellungen für neue Mitglieder. Bei Bedarf können Sie diese Einstellungen für bestimmte Mitglieder ändern, nachdem sie der Organisation beigetreten sind.
    1. Klicken Sie links auf der Seite auf Standardeinstellungen für neue Mitglieder.
    2. Wählen Sie den Standardbenutzertyp und die Standardrolle für neue Mitglieder aus.
    3. Wählen Sie die Add-on-Lizenzen aus, die Mitgliedern automatisch zugewiesen werden sollen, wenn sie der Organisation beitreten.
    4. Wählen Sie die Gruppen aus, zu denen Mitglieder hinzugefügt werden sollen, wenn sie der Organisation beitreten.
    5. Wenn die Credit-Budgetierung für Ihre Organisation aktiviert ist, legen Sie als Credit-Zuweisung für jedes neue Mitglied eine bestimmte Zahl von Credits oder aber kein Limit fest.
    6. Legen Sie fest, ob Sie Esri Access für neue Mitglieder aktivieren möchten.

      Ein Mitglied, in dessen Konto Esri Access aktiviert wurde, kann My Esri verwenden, an Schulungen teilnehmen, Beiträge und Kommentare in der Community, in Foren (GeoNet) und im ArcGIS Blog verfassen sowie die E-Mail-Kommunikation von Esri verwalten. Das Mitglied kann den Zugriff auf diese Esri Ressourcen nicht selbst aktivieren oder deaktivieren.

  4. Klicken Sie links auf der Seite auf Sicherheit.
  5. Klicken Sie im Abschnitt Anmeldungen unter SAML-Anmeldung auf SAML-Anmeldung einrichten.
  6. Wählen Sie im nächsten Fenster eine der folgenden Optionen aus:
    • Ein Identity-Provider: Benutzer können sich mit ihren vorhandenen SAML-Anmeldeinformationen anmelden, die von Ihrer Organisation verwaltet werden. Dies ist die am häufigsten verwendete Konfiguration.
    • Ein Verbund von Identity-Providern: Benutzer, die einem vorhandenen organisationsübergreifenden Verbund wie beispielsweise SWITCHaai angehören, können sich mit den von diesem Verbund unterstützten Anmeldeinformationen anmelden.
  7. Klicken Sie auf Weiter.
  8. Wenn Sie Ein Identity-Provider ausgewählt haben, dann gehen Sie wie folgt vor:
    1. Geben Sie den Namen Ihrer Organisation ein.
    2. Legen Sie fest, wie Mitglieder mit SAML-Anmeldungen der ArcGIS Online-Organisation beitreten sollen: automatisch oder durch eine Einladung. Die automatische Option ermöglicht Mitgliedern den Beitritt zur Organisation durch die Anmeldung mit ihrem SAML-Anmeldenamen. Bei der Einladungsoption generieren Sie E-Mail-Einladungen mit Anweisungen zum Beitritt zu der Organisation durch ArcGIS Online. Wenn Sie die automatische Option auswählen, können Sie trotzdem Mitglieder dazu einladen, der Organisation beizutreten, oder sie direkt hinzufügen, indem Sie deren SAML-ID verwenden.
    3. Stellen Sie die Metadateninformationen zu Ihrem IDP für ArcGIS Online bereit.

    Geben Sie hierzu die Quelle an, auf die ArcGIS Online zugreift, um Metadateninformationen zum IDP abzurufen. Es gibt drei mögliche Quellen für diese Informationen:

    • Eine URL: Geben Sie eine URL ein, die Metadateninformationen zu dem IDP zurückgibt.
    • Eine Datei: Laden Sie eine Datei hoch, die Metadateninformationen zu dem IDP enthält.
    • Hier angegebene Parameter: Geben Sie die Metadateninformationen zu dem IDP direkt anhand der folgenden Parameter ein:
      • Anmelde-URL (Umleitung): Geben Sie die URL des IDP (mit Unterstützung der HTTP-Umleitungsbindung) an, die ArcGIS Online verwenden soll, um die Anmeldung eines Mitglieds zuzulassen.
      • Anmelde-URL (POST): Geben Sie die URL des IDP (mit Unterstützung der HTTP-POST-Bindung) an, die ArcGIS Online verwenden soll, um die Anmeldung eines Mitglieds zuzulassen.
      • Zertifikat: Geben Sie das Zertifikat (codiert im Base64-Format) für den IDP an. Dieses Zertifikat ermöglicht es ArcGIS Online, die digitale Signatur in den SAML-Antworten zu überprüfen, die es vom IDP empfängt.
    Hinweis:

    Wenden Sie sich an den Administrator des IDPs, falls Sie Hilfe beim Ermitteln Ihres Identity-Providers und beim Bereitstellen der entsprechenden Metadateninformationsquelle benötigen.

  9. Wenn Sie Ein Verbund von Identity-Providern ausgewählt haben, dann gehen Sie wie folgt vor:
    1. Geben Sie den Namen des Verbundes ein.
    2. Legen Sie fest, wie Mitglieder mit SAML-Anmeldungen der ArcGIS Online-Organisation beitreten sollen: automatisch oder durch eine Einladung. Die automatische Option ermöglicht Mitgliedern den Beitritt zur Organisation durch die Anmeldung mit ihrem SAML-Anmeldenamen. Bei der Einladungsoption generieren Sie E-Mail-Einladungen mit Anweisungen zum Beitritt zu der Organisation durch ArcGIS Online. Wenn Sie die automatische Option auswählen, können Sie trotzdem Mitglieder dazu einladen, der Organisation beizutreten, oder sie direkt hinzufügen, indem Sie deren SAML-ID verwenden.
    3. Geben Sie die URL zum im Verbund gehosteten zentralen IDP-Discovery-Service ein, zum Beispiel https://wayf.samplefederation.com/WAYF.
    4. Geben Sie die URL zu den Verbundmetadaten ein. Dies ist eine Aggregation der Metadaten aller am Verbund beteiligten IDPs und SPs.
    5. Kopieren Sie das im Base64-Format codierte Zertifikat, und fügen Sie es ein. Mit diesem Zertifikat kann das Portal die Gültigkeit der Verbundmetadaten überprüfen.
  10. Klicken Sie auf Erweiterte Einstellungen anzeigen, um die folgenden erweiterten Einstellungen je nach Bedarf zu konfigurieren:
    • Assertion verschlüsseln: Aktivieren Sie diese Option, um den SAML-IDP darüber zu informieren, dass ArcGIS Online verschlüsselte Antworten auf SAML-Assertionen unterstützt. Wenn diese Option aktiviert ist, verschlüsselt der IDP den Assertionsteil der SAML-Antwort. Obwohl der gesamte SAML-Datenverkehr an und von ArcGIS Online durch die Verwendung von HTTPS bereits verschlüsselt ist, wird mit dieser Option eine weitere Verschlüsselungsebene hinzugefügt.
    • Signierte Anforderung aktivieren: Aktivieren Sie diese Option, wenn ArcGIS Online die den IDP gesendete SAML-Authentifizierungsanforderung signieren soll. Durch das Signieren der ersten Anmeldeanforderung, die von ArcGIS Online gesendet wird, kann der IDP überprüfen, ob alle Anmeldeanforderungen von einem vertrauenswürdigen SP stammen.
    • Abmeldung an Identity-Provider propagieren: Aktivieren Sie diese Option, damit ArcGIS Online eine Abmelde-URL verwendet, um den Benutzer vom IDP abzumelden. Geben Sie die URL ein, die in der Einstellung Abmelde-URL verwendet werden soll. Wenn der IDP eine Signierung der Abmelde-URL erfordert, muss die Option Signierte Anforderung aktivieren ebenfalls aktiviert sein. Wenn diese Option nicht verfügbar ist, wird der Benutzer durch Klicken auf Abmelden in ArcGIS Online von ArcGIS Online, jedoch nicht vom IDP abgemeldet. Wenn der Web-Browser-Cache des Benutzers nicht gelöscht wird, führt der Versuch, sich mit der Option für ArcGIS Online-Anmeldungen direkt wieder bei SAML anzumelden, zur sofortigen Anmeldung, ohne Benutzeranmeldeinformationen für den SAML-IDP eingeben zu müssen. Dies stellt ein Sicherheitsrisiko dar, das ausgenutzt werden kann, wenn ein Computer verwendet wird, der für nicht autorisierte Benutzer oder die allgemeine Öffentlichkeit leicht zugänglich ist.
    • Profile beim Anmelden aktualisieren: Aktivieren Sie diese Option, um die Kontoinformationen (vollständiger Name und E-Mail-Adresse), die in Benutzerprofilen von ArcGIS Online gespeichert sind, automatisch mit den aktuellen Kontoinformationen zu synchronisieren, die vom IDP empfangen wurden. Wenn diese Option aktiviert ist, kann Ihre Organisation überprüfen, wann sich ein Benutzer mit einem SAML-Anmeldenamen anmeldet und ob sich die IDP-Informationen seit der Erstellung des Kontos geändert haben. Ist dies der Fall, kann das ArcGIS Online-Kontoprofil des Benutzers entsprechend aktualisiert werden.
    • SAML-basierte Gruppenmitgliedschaft aktivieren: Aktivieren Sie diese Option, damit Mitglieder der Organisation bestimmte SAML-basierte Gruppen während der Gruppenerstellung mit ArcGIS Online-Gruppen verknüpfen können. Wenn Sie diese Option aktivieren, können Mitglieder der Organisation mit der Berechtigung zum Verknüpfen mit SAML-Gruppen eine ArcGIS Online-Gruppe erstellen, deren Mitgliedschaft von einer SAML-Gruppe gesteuert wird, die von einem externen SAML-IDP verwaltet wird. Nachdem eine Gruppe erfolgreich mit einer externen, SAML-basierten Gruppe verknüpft wurde, wird die Mitgliedschaft der einzelnen Benutzer in der Gruppe anhand der Antwort auf die SAML-Assertion ermittelt, die bei jeder Anmeldung des Benutzers vom IDP empfangen wird.

      Um sicherzustellen, dass die ArcGIS Online-Gruppe erfolgreich mit der externen SAML-Gruppe verknüpft wurde, muss der Ersteller der Gruppe den Namen der externen SAML-Gruppe genau so eingeben, wie er als Attributwert in der SAML-Assertion zurückgegeben wird. Die unterstützten Namen (ohne Unterscheidung zwischen Groß- und Kleinschreibung) für das Attribut zum Definieren der Gruppenmitgliedschaft eines Benutzers lauten:

      • Group
      • Groups
      • Roles
      • MemberOf
      • member-of
      • http://schemas.xmlsoap.org/claims/Group
      • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
      • urn:oid:1.3.6.1.4.1.5923.1.5.1.1
      • urn:oid:2.16.840.1.113719.1.1.4.1.25

      Angenommen, ein Benutzer, der sich anmeldet, ist Mitglied der SAML-Gruppen "FullTimeEmployees" und "GIS Faculty". In der unten dargestellten SAML-Assertion, die vom IDP empfangen wurde, lautet der Name des Attributs mit den Gruppeninformationen "MemberOf". In diesem Beispiel muss der Ersteller der Gruppe GIS Faculty als Gruppennamen eingeben, um eine mit der SAML-Gruppe "GIS Faculty" verknüpfte Gruppe zu erstellen.

      <saml2p:Response>
        ...
        ...
        <saml2:Assertion>
            ...
            ...	  
            <saml2:AttributeStatement>
              ...
              ...	  
              <saml2:Attribute Name="MemberOf">
        	      <saml2:AttributeValue>FullTimeEmployees</saml2:AttributeValue>
      	      <saml2:AttributeValue>GIS Faculty</saml2:AttributeValue>
              </saml2:Attribute>	  
          </saml2:AttributeStatement>
        </saml2:Assertion>
      </saml2p:Response>

    • Abmelde-URL: Wenn Sie Ein Identity-Provider in einem vorherigen Schritt ausgewählt haben, dann geben Sie die IDP-URL ein, die zum Abmelden des aktuell angemeldeten Benutzers verwendet werden soll. Wenn diese Eigenschaft in der Metadatendatei des IDPs angegeben ist, wird sie automatisch festgelegt.
    • Entitäts-ID: Aktualisieren Sie diesen Wert, wenn für die eindeutige Identifizierung der ArcGIS Online-Organisation beim SAML-IDP- oder SAML-Verbund eine neue Entitäts-ID verwendet werden soll.
  11. Klicken Sie abschließend auf Speichern.
  12. Um den Konfigurationsprozess abzuschließen, müssen Sie eine vertrauenswürdige Verbindung mit dem Discovery-Service des Verbunds (sofern zutreffend) und dem IDP einrichten, indem Sie die ArcGIS Online-SP-Metadaten des Portals bei ihnen registrieren. Zum Abrufen dieser Metadaten gibt es zwei Möglichkeiten:
    • Klicken Sie auf Service-Provider-Metadaten herunterladen, um die Metadatendatei für Ihre Organisation herunterzuladen.
    • Öffnen Sie die URL der Metadatendatei, und speichern Sie sie als XML-Datei auf Ihrem Computer. Sie können die URL im Fenster SAML-Anmeldung bearbeiten unter Link zum Herunterladen der Service-Provider-Metadaten anzeigen und kopieren, um die Metadaten des Service-Providers herunterzuladen.

    Links zu Anweisungen zum Registrieren der SP-Metadaten bei zertifizierten Providern finden Sie im Abschnitt SAML-IDPs oben. Wenn Sie einen Verbund von Identity-Providern ausgewählt haben, bitten Sie die Administratoren des SAML-Verbunds um Anweisungen zum Integrieren der SP-Metadaten in die aggregierte Metadatendatei des Verbunds, nachdem Sie die SP-Metadaten heruntergeladen haben. Sie benötigen von den Administratoren auch Anweisungen zum Registrieren Ihres Identity Providers beim Verbund.

Ändern oder Entfernen des SAML-IDP

Wenn Sie einen SAML-IDP eingerichtet haben, können Sie dessen Einstellungen aktualisieren, indem Sie neben dem aktuell registrierten SAML-IDP auf die Schaltfläche Bearbeiten Bearbeiten klicken. Aktualisieren Sie die Einstellungen im Fenster SAML-Anmeldung bearbeiten.

Um den aktuell registrierten IDP zu entfernen, klicken Sie neben dem IDP auf die Schaltfläche Bearbeiten Bearbeiten und dann im Fenster SAML-Anmeldung bearbeiten auf Anmeldung löschen. Nachdem Sie einen IDP entfernt haben, können Sie optional einen neuen IDP oder Verbund aus IDPs einrichten.

Best Practices für die SAML-Sicherheit

Indem Sie ArcGIS Online als Service-Provider (SP) für den SAML-Identity-Provider (IDP) konfigurieren, können Sie SAML-Anmeldungen aktivieren. Berücksichtigen Sie die folgenden Best Practices für eine umfassende Sicherheitsstrategie.

Digitales Signieren von SAML-Anmelde- und -Abmeldeanforderungen und Signieren von Antworten auf SAML-Assertionen

Anhand von Signaturen wird die Integrität von SAML-Nachrichten sichergestellt, wodurch sie auch einen Schutz vor Man-in-the-Middle-Angriffen (MITM-Angriffen) darstellen. Durch die digitale Signierung der SAML-Anforderung wird ebenfalls sichergestellt, dass die Anforderung von einem vertrauenswürdigen SP stammt. Auf diese Weise können Denial-of-Service-Angriffe (DOS-Angriffe) besser vom IDP abgewehrt werden. Aktivieren Sie bei der Konfiguration von SAML-Anmeldungen die Option Signierte Anforderung aktivieren.

Hinweis:

Sind signierte Anforderungen aktiviert, muss der IDP aktualisiert werden, sobald das Signaturzertifikat des SP erneuert oder ersetzt wird.

Konfigurieren Sie den SAML-IDP so, dass die SAML-Antwort signiert wird, damit bei der Übertragung keine Änderungen an der Antwort auf die SAML-Assertion vorgenommen werden können.

Hinweis:

Sind signierte Anforderungen aktiviert, muss der SP (ArcGIS Online) aktualisiert werden, sobald das Signaturzertifikat des IDP erneuert oder ersetzt wird.

Verwenden des HTTPS-Endpunktes des IDP

Alle Arten von Kommunikation, die unverschlüsselt zwischen dem SP, IDP und dem Browser des Benutzers über ein internes Netzwerk oder das Internet gesendet werden, können von einem böswilligen Benutzer abgefangen werden. Wenn Ihr SAML-IDP die Nutzung von HTTPS unterstützt, empfiehlt sich die Verwendung des HTTPS-Endpunktes, um die Vertraulichkeit der Daten sicherzustellen, die bei SAML-Anmeldungen übermittelt werden.

Verschlüsseln von Antworten auf SAML-Assertionen

Durch die Verwendung von HTTPS für die SAML-Kommunikation wird sichergestellt, dass SAML-Nachrichten sicher zwischen dem IDP und SP gesendet werden. Angemeldete Benutzer können jedoch weiterhin die SAML-Nachrichten über den Webbrowser decodieren und anzeigen. Indem Sie die Verschlüsselung von Antworten auf Assertionen aktivieren, verhindern Sie, dass die zwischen IDP und SP kommunizierten vertraulichen Informationen und sensiblen Daten angezeigt werden können.

Hinweis:

Sind verschlüsselte Assertionen aktiviert, muss der IDP aktualisiert werden, sobald das Verschlüsselungszertifikat des SP (ArcGIS Online) erneuert oder ersetzt wird.

Sicheres Verwalten der Signatur- und Verschlüsselungszertifikate

Für die digitale Signatur bzw. Verschlüsselung von SAML-Nachrichten sollten Sie sichere kryptografische Schlüssel verwenden. Es empfiehlt sich zudem, die Zertifikate in einem Abstand von drei bis fünf Jahren zu erneuern bzw. zu ersetzen.