Konfigurowanie loginów SAML

Skonfigurowanie loginów specyficznych dla instytucji, takich jak loginy SAML (nazywane wcześniej loginami korporacyjnymi), pozwala członkom instytucji logować się w usłudze ArcGIS Online przy użyciu tych samych danych logowania, których używają do uzyskania dostępu do systemów wewnętrznych przedsiębiorstwa. Zaletą konfiguracji loginów specyficznych dla instytucji zgodnie z opisaną procedurą jest brak konieczności tworzenia przez członków dodatkowych danych logowania w usłudze ArcGIS Online. Zamiast tego mogą oni korzystać z danych logowania zdefiniowanych w instytucji. Podczas logowania do usługi ArcGIS Online członkowie wprowadzają specyficzne dla instytucji nazwę użytkownika i hasło bezpośrednio w pola menedżera logowania instytucji, nazywanego również dostawcą tożsamości instytucji. Po weryfikacji poświadczeń członka dostawca tożsamości przesyła do usługi ArcGIS Online informację dotyczącą zweryfikowanej tożsamości logującego się członka.

Usługa ArcGIS Online obsługuje protokół SAML 2.0 w konfiguracji loginów SAML. SAML to otwarty standard bezpiecznej wymiany danych uwierzytelniania i autoryzacji między dostawcą tożsamości (Twoja instytucja) i dostawcą usług. W tym przypadku usługa ArcGIS Online jest zgodna z protokołem SAML 2.0 i integruje się z dostawcami tożsamości obsługującymi protokół SAML 2.0.

Możesz skonfigurować stronę logowania usługi ArcGIS Online w taki sposób, aby wyświetlany był tylko login SAML lub login SAML z dowolną z następujących opcji: login ArcGIS, login OpenID Connect (jeśli jest skonfigurowany) i loginy społecznościowe (jeśli są skonfigurowane).

Aby sprawdzić, czy loginy SAML zostały prawidłowo skonfigurowane, przejrzyj najważniejsze wskazówki dotyczące zabezpieczeń SAML.

W większości przypadków instytucje konfigurują swoje loginy SAML z użyciem jednego dostawcy tożsamości. Ten dostawca tożsamości uwierzytelnia użytkowników uzyskujących dostęp do zabezpieczonych zasobów hostowanych przez wielu dostawców usług. Dostawca tożsamości i wszyscy dostawcy usług są zarządzani przez tę samą instytucję.

Notatka:

Gdy zostanie udostępniona nowa wersja certyfikatu podpisywania i szyfrowania ArcGIS Online usługi SAML, administratorzy muszą zaktualizować certyfikat.

Innym sposobem uwierzytelniania użytkowników z loginami SAML jest skonfigurowanie w instytucji użycia federacji dostawców tożsamości opartej na protokole SAML. W opartej na protokole SAML federacji wielu instytucji każdy członek instytucji używa nadal własnego dostawcy tożsamości, ale konfiguruje jednego lub więcej dostawców usług do pracy wyłącznie w ramach federacji. Aby uzyskać dostęp do zabezpieczonego zasobu udostępnionego w ramach federacji, użytkownik uwierzytelnia swoją tożsamość w dostawcy tożsamości instytucji macierzystej. Po pomyślnym uwierzytelnieniu ta sprawdzona tożsamość jest przedstawiana dostawcy usług hostującemu zabezpieczony zasób. Następnie dostawca usług nadaje dostęp do zasobu po zweryfikowaniu uprawnień dostępu użytkownika.

Proces logowania SAML

Usługa ArcGIS Online obsługuje zarówno logowanie za pomocą loginów SAML inicjowane przez dostawcę usługi (SP), jak i logowanie za pomocą loginów SAML inicjowane przez dostawcę tożsamości (IDP). Te dwa rodzaje logowania różnią się od siebie.

Logowanie inicjowane przez dostawcę usługi

W przypadku logowania inicjowanego przez dostawcę usługi członkowie uzyskują bezpośredni dostęp do witryny usługi ArcGIS Online, w której są wyświetlane opcje logowania za pomocą loginu SAML dostawcy usługi lub ich loginu ArcGIS. Jeśli członek wybierze opcję logowania za pośrednictwem dostawcy usługi, nastąpi przekierowanie na stronę internetową (nazywaną menedżerem logowania), na której należy podać nazwę użytkownika oraz hasło SAML. Po weryfikacji poświadczeń członka dostawca tożsamości przesyła do usługi ArcGIS Online informację dotyczącą zweryfikowanej tożsamości logującego się członka i następuje przekierowanie go do witryny usługi ArcGIS Online.

Jeżeli członek wybierze opcję ArcGIS, zostanie otwarta strona logowania witryny usługi ArcGIS Online. Po podaniu nazwy użytkownika i hasła ArcGIS członek uzyskuje dostęp do witryny internetowej.

Logowanie inicjowane przez dostawcę tożsamości

W przypadku logowania zainicjowanego przez dostawcę tożsamości członkowie uzyskują bezpośredni dostęp do menedżera logowania instytucji i podają dane uwierzytelniania swojego konta. Gdy członek prześle odpowiednie informacje powiązane z kontem, dostawca tożsamości wysyła odpowiedź protokołu SAML bezpośrednio do usługi ArcGIS Online. Następnie członek zostaje zalogowany i przekierowany do witryny usługi ArcGIS Online i ma bezpośredni dostęp do zawartych w niej zasobów, co oznacza, że nie musi ponownie logować się do instytucji.

Opcja logowania za pomocą konta ArcGIS bezpośrednio w menedżerze logowania nie jest dostępna w przypadku logowania inicjowanego przez dostawcę tożsamości. Aby zalogować się do usługi ArcGIS Online przy użyciu kont ArcGIS, użytkownicy muszą uzyskać bezpośredni dostęp do witryny usługi ArcGIS Online.

Dostawcy tożsamości SAML

W poniższych samouczkach przedstawiono sposób korzystania z dostawców tożsamości zgodnych z protokołem SAML w usłudze ArcGIS Online.

Konfiguracja loginów SAML

Poniżej znajduje się opis procedury konfiguracji dostawcy tożsamości w usłudze ArcGIS Online. Przed przystąpieniem do wykonywania opisywanych czynności zalecane jest skontaktowanie się z administratorem dostawcy tożsamości lub federacji dostawców tożsamości w celu uzyskania parametrów niezbędnych w procesie konfiguracji. Jeśli na przykład instytucja użytkownika korzysta z usługi Microsoft Active Directory, osobą, z którą należy się skontaktować w celu konfiguracji lub włączenia protokołu SAML dla dostawcy tożsamości i uzyskania parametrów niezbędnych do konfiguracji usługi ArcGIS Online, jest administrator odpowiedzialny za kwestie związane z użytkowaniem usługi Microsoft Active Directory.

  1. Należy się upewnić, że bieżący użytkownik jest zalogowany jako administrator instytucji.
  2. Kliknij przycisk Instytucja znajdujący się w górnej części witryny, a następnie kliknij kartę Ustawienia.
  3. Jeśli chcesz umożliwić automatyczne dołączanie członków, najpierw skonfiguruj domyślne ustawienia dla nowych członków. Jeśli to konieczne, możesz zmienić te ustawienia dla konkretnych członków, gdy dołączą do instytucji.
    1. Kliknij opcję Wartości domyślne nowych członków z boku strony.
    2. Ustaw domyślne typ użytkownika i rolę dla nowych członków.
    3. Wybierz licencje aplikacji dodatkowych do automatycznego przypisania do członków, gdy dołączą do instytucji.
    4. Wybierz grupy, do których członkowie zostaną dodani, gdy dołączą do instytucji.
    5. Jeśli dla instytucji włączono budżetowanie kredytów, skonfiguruj przydział kredytów dla każdego nowego członka na określoną liczbę kredytów lub skonfiguruj brak limitu.
    6. Wybierz, czy dostęp Esri ma być włączony dla nowych członków.

      Członek, na koncie którego włączono dostęp do zasobów Esri, może używać witryny My Esri, brać udział w szkoleniach, uczestniczyć w Esri Community, dodawać komentarze na blogu ArcGIS i zarządzać komunikacją e-mail z firmą Esri. Członkowie nie mogą włączać dla siebie opcji dostępu do zasobów firmy Esri.

  4. Kliknij opcję Bezpieczeństwo z boku strony.
  5. W sekcji Loginy kliknij opcję Nowy login SAML.
  6. W wyświetlonym oknie wybierz jedną z następujących opcji:
    • Jeden dostawca tożsamości — zezwala użytkownikom na logowanie się przy użyciu istniejących poświadczeń SAML zarządzanych przez instytucję. To jest najczęściej używana konfiguracja.
    • Federacja dostawców tożsamości — zezwala użytkownikom należącym do istniejącej federacji międzyinstytucjonalnej, takiej jak federacja SWITCHaai, na logowanie się przy użyciu poświadczeń obsługiwanych przez tę federację.
  7. Kliknij przycisk Dalej.
  8. Jeśli została wybrana opcja Jeden dostawca tożsamości, wykonaj następujące czynności:
    1. Wprowadź nazwę instytucji.
    2. Wybierz sposób dołączania członków do instytucji w usłudze SAML za pomocą loginów ArcGIS Online: automatycznie lub poprzez zaproszenie. Wybór opcji automatycznego przyłączania umożliwia członkom przystąpienie do instytucji poprzez zalogowanie za pomocą loginów SAML. Opcja zaproszenia powoduje wygenerowanie za pośrednictwem usługi ArcGIS Online wiadomości e-mail z zaproszeniem zawierających instrukcje dołączenia do instytucji. W przypadku wybrania opcji automatycznej można nadal zapraszać członków do dołączenia do instytucji lub dodawać ich bezpośrednio przy użyciu ich identyfikatorów SAML.
    3. Wprowadź w usłudze ArcGIS Online metadane dostawcy tożsamości.

    Aby podać te informacje, określ źródło, do którego usługa ArcGIS Online będzie uzyskiwać dostęp w celu pobrania metadanych dostawcy tożsamości. Istnieją trzy potencjale źródła tych informacji:

    • Adres URL — wprowadź adres URL zwracający metadane dostawcy tożsamości.
    • Plik — prześlij plik zawierający metadane dostawcy tożsamości.
    • Parametry podane tutaj — wprowadź bezpośrednio metadane dostawcy tożsamości, podając następujące parametry:
      • Adres URL logowania (przekierowanie) — wprowadź adres URL dostawcy tożsamości (z obsługą powiązania przekierowania HTTP), którego usługa ArcGIS Online ma używać, aby umożliwić członkowi zalogowanie.
      • Adres URL logowania (POST) — wprowadź adres URL dostawcy tożsamości (z obsługą powiązania HTTP POST), którego usługa ArcGIS Online ma używać, aby umożliwić członkowi zalogowanie.
      • Certyfikat — podaj certyfikat zakodowany w formacie BASE 64 dla dostawcy tożsamości. Certyfikat umożliwia usłudze ArcGIS Online zweryfikowanie podpisu cyfrowego odpowiedzi protokołu SAML wysyłanych do serwisu przez dostawcę tożsamości.
    Notatka:

    Jeśli nie masz pewności, które źródło metadanych podać, skontaktuj się z administratorem dostawcy tożsamości.

  9. Jeśli została wybrana opcja Federacja dostawców tożsamości, wykonaj następujące czynności:
    1. Wprowadź nazwę federacji.
    2. Wybierz sposób dołączania członków do instytucji w usłudze SAML za pomocą loginów ArcGIS Online: automatycznie lub poprzez zaproszenie. Wybór opcji automatycznego przyłączania umożliwia członkom przystąpienie do instytucji poprzez zalogowanie za pomocą loginów SAML. Opcja zaproszenia powoduje wygenerowanie za pośrednictwem usługi ArcGIS Online wiadomości e-mail z zaproszeniem zawierających instrukcje dołączenia do instytucji. W przypadku wybrania opcji automatycznej można nadal zapraszać członków do dołączenia do instytucji lub dodawać ich bezpośrednio przy użyciu ich identyfikatorów SAML.
    3. Wprowadź adres URL scentralizowanej usługi wykrywania dostawcy tożsamości hostowanej przez federację, na przykład: https://wayf.samplefederation.com/WAYF.
    4. Wprowadź adres URL metadanych federacji, które są zagregowaniem metadanych wszystkich dostawców tożsamości i dostawców usług uczestniczących w federacji.
    5. Skopiuj i wklej certyfikat zakodowany w formacie Base64, który umożliwia instytucji zweryfikowanie poprawności metadanych federacji.
  10. Kliknij opcję Pokaż ustawienia zaawansowane, aby skonfigurować odpowiednio następujące ustawienia zaawansowane:
    • Szyfruj potwierdzenie — włącz tę opcję, aby wskazać dostawcy tożsamości używającemu protokołu SAML, że usługa ArcGIS Online obsługuje szyfrowane odpowiedzi na potwierdzenia SAML. Po włączeniu tej opcji dostawca tożsamości szyfruje sekcję potwierdzenia odpowiedzi SAML. Cały ruch danych SAML do i z usługi ArcGIS Online jest już szyfrowany za pomocą protokołu HTTPS, jednak ta opcja powoduje dodanie kolejnej warstwy szyfrowania.
    • Włącz żądanie podpisu — włącz tę opcję, aby usługa ArcGIS Online podpisywała żądanie uwierzytelnienia SAML wysłane do dostawcy tożsamości. Podpisanie początkowego żądania logowania wysłanego przez usługę ArcGIS Online umożliwia dostawcy tożsamości sprawdzenie, czy wszystkie żądania logowania pochodzą od zaufanego dostawcy usług.
    • Prześlij informację o wylogowaniu do dostawcy tożsamości — włącz tę opcję, aby usługa ArcGIS Online używała adresu URL wylogowania w celu wylogowania użytkownika z dostawcy tożsamości. Wprowadź adres URL, który będzie używany w ustawieniu Adres URL wylogowania. Jeśli dostawca tożsamości wymaga podpisania adresu URL wylogowania, opcja Włącz żądanie podpisu także musi być włączona. Gdy ta opcja jest niedostępna, kliknięcie opcji Wyloguj się w usłudze ArcGIS Online spowoduje wylogowanie użytkownika z usługi ArcGIS Online, ale nie z dostawcy tożsamości. Jeśli pamięć podręczna przeglądarki internetowej użytkownika nie zostanie wyczyszczona, kolejna próba ponownego zalogowania się do usługi ArcGIS Online przy użyciu loginu SAML spowoduje natychmiastowe zalogowanie bez konieczności podawania poświadczeń użytkownika dostawcy tożsamości SAML. Jest to luka w zabezpieczeniach, która może zostać wykorzystana wtedy, gdy używany jest komputer łatwo dostępny dla użytkowników nieautoryzowanych lub dla wszystkich użytkowników.
    • Aktualizuj profile podczas logowania — włącz tę opcję, aby automatycznie synchronizować informacje o koncie (pełna nazwa i adres e-mail) zapisane w profilach użytkownika usługi ArcGIS Online za pomocą najnowszych informacji o koncie odebranych od dostawcy tożsamości. Włączenie tej opcji umożliwia instytucji sprawdzenie, kiedy użytkownik loguje się przy użyciu loginu SAML, czy informacje o dostawcy tożsamości zostały zmienione od momentu utworzenia konta, a jeśli tak było, odpowiednie zaktualizowanie profilu konta użytkownika w usłudze ArcGIS Online.
    • Włącz przynależność do grup na podstawie protokołu SAML — włącz tę opcję, aby umożliwić członkom instytucji łączenie podanych grup korzystających z protokołu SAML z grupami usługi ArcGIS Online podczas tworzenia grup. Jeśli włączysz tę opcję, członkowie instytucji z uprawnieniami do łączenia się z grupami SAML uzyskają możliwość tworzenia grup usługi ArcGIS Online, których członkostwo jest kontrolowane przez grupę SAML zarządzaną przez zewnętrznego dostawcę tożsamości SAML. Gdy grupa zostanie pomyślnie połączona z zewnętrzną grupą korzystającą z protokołu SAML, członkostwo w grupie będzie określane na podstawie odpowiedzi na potwierdzenia SAML otrzymywanej od dostawcy tożsamości podczas każdego logowania.

      Aby upewnić się, że grupa usługi ArcGIS Online jest prawidłowo połączona z zewnętrzną grupą SAML, twórca grupy musi wprowadzić dokładną wartość zewnętrznej grupy SAML zwracanej jako wartość atrybutu w potwierdzeniu SAML. Wyświetl odpowiedź na potwierdzenie SAML od dostawcy tożsamości SAML, aby określić wartość używaną do odwoływania się do grupy. Obsługiwane nazwy (wielkość liter nie jest rozróżniana) atrybutu definiującego członkostwo użytkownika w grupie są następujące:

      • Grupa
      • Grupy
      • Rola
      • Role
      • MemberOf
      • member-of
      • https://wso2.com/claims/role
      • http://schemas.xmlsoap.org/claims/Group
      • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
      • urn:oid:1.3.6.1.4.1.5923.1.5.1.1
      • urn:oid:2.16.840.1.113719.1.1.4.1.25

      Przykład: logujący się użytkownik jest członkiem grup SAML FullTimeEmployees i GIS Faculty. W pokazanym poniżej potwierdzeniu SAML otrzymanym od dostawcy tożsamości nazwa atrybutu zawierającego informacje o grupie to MemberOf. W tym przykładzie, aby utworzyć nową grupę połączoną z grupą SAML GIS Faculty, twórca grupy musi jako nazwę grupy wprowadzić GIS Faculty.

      <saml2p:Response>
        ...
        ...
        <saml2:Assertion>
            ...
            ...	  
            <saml2:AttributeStatement>
              ...
              ...	  
              <saml2:Attribute Name="MemberOf">
        	      <saml2:AttributeValue>FullTimeEmployees</saml2:AttributeValue>
      	      <saml2:AttributeValue>GIS Faculty</saml2:AttributeValue>
              </saml2:Attribute>	  
          </saml2:AttributeStatement>
        </saml2:Assertion>
      </saml2p:Response>

      Poniżej przedstawiono kolejny przykład wykorzystania wartości identyfikatorów do identyfikacji grup:

      <saml2p:Response>
        ...
        ...
        <saml2:Assertion>
            ...
            ...	  
            <saml2:AttributeStatement>
              ...
              ...	  
              <saml2:Attribute Name="urn:oid:2.16.840.1.113719.1.1.4.1.25" FriendlyName="groups">
        	      <saml2:AttributeValue>GIDff63a68d51325b53153eeedd78cc498b</saml2:AttributeValue>
      	      <saml2:AttributeValue>GIDba5debd8d2f9bb7baf015af7b2c25440</saml2:AttributeValue>
              </saml2:Attribute>	  
          </saml2:AttributeStatement>
        </saml2:Assertion>
      </saml2p:Response>

    • Adres URL wylogowania — jeśli w poprzednim etapie została wybrana opcja Jeden dostawca tożsamości, wprowadź adres URL dostawcy tożsamości używany do wylogowania bieżącego użytkownika. Jeśli ta właściwość jest określona w pliku metadanych dostawcy tożsamości, jest ona ustawiana automatycznie.
    • Identyfikator elementu — zaktualizuj tę wartość, aby użyć nowego identyfikatora elementu do jednoznacznej identyfikacji instytucji ArcGIS Online w dostawcy tożsamości SAML lub federacji SAML.
  11. Po zakończeniu kliknij przycisk Zapisz.
  12. Aby ukończyć proces konfiguracji, należy ustanowić relację zaufania z usługą wykrywania federacji (jeśli istnieje) i dostawcą tożsamości przez zarejestrowanie metadanych dostawcy usługi ArcGIS Online. Istnieją dwa sposoby uzyskania tych metadanych:
    • Kliknij przycisk Pobierz metadane dostawcy usług, aby pobrać plik metadanych Twojej instytucji.
    • Otwórz adres URL pliku metadanych i zapisz go jako plik XML na komputerze. Ten adres URL możesz wyświetlić i skopiować w oknie Edycja loginu SAML w obszarze Łącze do pobrania metadanych dostawcy usług.

    Łącza do instrukcji rejestrowania metadanych dostawcy usługi z certyfikowanymi dostawcami są dostępne powyżej w sekcji Dostawcy tożsamości używający protokołu SAML. Jeśli została wybrana opcja Federacja dostawców tożsamości, po pobraniu metadanych dostawcy usługi skontaktuj się z administratorami federacji SAML w celu uzyskania instrukcji dotyczących sposobu integracji metadanych dostawcy usługi z plikiem zagregowanych metadanych federacji. Konieczne jest także uzyskanie instrukcji dotyczących rejestrowania dostawcy tożsamości w federacji.

Modyfikowanie lub usuwanie dostawcy tożsamości SAML

Po skonfigurowaniu dostawcy tożsamości SAML możesz zaktualizować jego ustawienia, klikając opcję Skonfiguruj logowanie obok aktualnie zarejestrowanego dostawcy tożsamości SAML. Zaktualizuj ustawienia w oknie Edycja loginu SAML.

Aby usunąć aktualnie zarejestrowanego dostawcę tożsamości, kliknij opcję Skonfiguruj logowanie obok dostawcy tożsamości i kliknij przycisk Usuń login w oknie Edycja loginu SAML. Po usunięciu dostawcy tożsamości można opcjonalnie skonfigurować nowego dostawcę tożsamości lub federację dostawców tożsamości.

Najważniejsze wskazówki dotyczące zabezpieczeń SAML

Aby włączyć loginy SAML, można skonfigurować usługę ArcGIS Online jako dostawcę usługi (service provider - SP) dostawcy tożsamości SAML (identity provider - IDP). Aby zagwarantować niezawodne zabezpieczenia, zwróć uwagę na następujące najważniejsze wskazówki.

Cyfrowe podpisywanie żądań logowania i wylogowania SAML oraz podpisywanie odpowiedzi na potwierdzenia SAML

Podpisy zapewniają integralność komunikatów SAML i pełnią rolę zabezpieczenia przed atakami typu MITM (man-in-the-middle). Dzięki cyfrowym podpisom żądań SAML można mieć także pewność, że zostały one wysłane przez zaufanych dostawców usług, co pozwala dostawcom tożsamości lepiej radzić sobie z atakami typu DOS (denial-of-service). Włącz opcję Włącz żądania podpisane w ustawieniach zaawansowanych podczas konfigurowania loginów SAML.

Notatka:

Gdy żądania podpisane są włączone, należy aktualizować dostawcę tożsamości za każdym razem, gdy certyfikat podpisywania używany przez dostawcę usług jest odnawiany lub zastępowany.

Skonfiguruj dostawcę tożsamości SAML tak, aby podpisywał odpowiedź SAML, co zapobiegnie modyfikowaniu przesyłanych odpowiedzi na potwierdzenia SAML.

Notatka:

Gdy żądania podpisane są włączone, należy aktualizować dostawcę usług (usługę ArcGIS Online) za każdym razem, gdy certyfikat podpisywania używany przez dostawcę tożsamości jest odnawiany lub zastępowany.

Korzystanie z punktu końcowego HTTPS dostawcy tożsamości

Cała komunikacja między dostawcą usług, dostawcą tożsamości i przeglądarką użytkownika przesyłana przez sieć wewnętrzną lub Internet w niezaszyfrowanej formie może zostać przechwycona przez nieuprawniony podmiot. Jeśli dostawca tożsamości SAML obsługuje protokół HTTPS, zaleca się użycie punktu końcowego HTTPS do zapewnienia poufności danych przesyłanych podczas operacji logowania SAML.

Szyfrowanie odpowiedzi na potwierdzenia SAML

Korzystanie z protokołu HTTPS do obsługi komunikacji SAML zabezpiecza komunikaty SAML przesyłane między dostawcą tożsamości i dostawcą usług. Jednak zalogowani użytkownicy nadal mogą dekodować i wyświetlać komunikaty SAML w przeglądarce internetowej. Włączenie szyfrowania odpowiedzi na potwierdzenia uniemożliwia użytkownikom wyświetlanie poufnych lub wrażliwych informacji przesyłanych między dostawcą tożsamości i dostawcą usług.

Notatka:

Gdy szyfrowane potwierdzenia są włączone, należy aktualizować dostawcę tożsamości za każdym razem, gdy certyfikat szyfrowania używany przez dostawcę usług (usługę ArcGIS Online) jest odnawiany lub zastępowany.

Bezpieczne zarządzanie certyfikatami podpisywania i szyfrowania

Zalecane jest używanie certyfikatów z silnymi kluczami kryptograficznymi do cyfrowego podpisywania i szyfrowania komunikatów SAML. Certyfikaty należy odnawiać lub zastępować co trzy do pięciu lat.