Skip To Content

Настройка Active Directory Federation Services

Active Directory Federation Services (AD FS) - это провайдер идентификации, совместимый с Security Assertion Markup Language (SAML). Вы можете настроить его в ОС Microsoft Windows Server как свой провайдер идентификации (IDP) для корпоративных учетных записей в ArcGIS Online. Процесс настройки состоит из двух основных шагов: регистрации вашего корпоративного IDP в ArcGIS Online и регистрации ArcGIS Online в корпоративном IDP.

Примечание:

Чтобы гарантировать защищенные настройки корпоративных учетных записей организации, см. рекомендации по безопасности SAML.

Необходимая информация

ArcGIS Online должен получить определенную атрибутивную информацию от IDP, когда пользователь входит с использованием корпоративной учетной записи. NameID Атрибут является обязательным и должен отправляться IDP в ответ на запрос для интеграции работы с ArcGIS Online. Так как ArcGIS Online использует значение NameID для уникальной идентификации именованного пользователя, рекомендуется для идентификации пользователя использовать постоянное значение. Когда пользователь из IDP осуществляет вход, нового пользователя с именем NameID_<url_key_for_org> создает ArcGIS Online в хранилище пользователей. Допустимыми символами значения, которое посылается атрибутом NameID, являются буквы, цифры, _ (нижнее подчеркивание), . (точка) и @ (знак). Другие символы будут заменены нижним подчеркиванием в имени пользователя, созданном ArcGIS Online.

ArcGIS Online поддерживает получение email-адреса пользователя, информацию о его участии в группах, указанного имени и фамилии от поставщика удостоверений SAML. Рекомендуется передавать email-адрес от корпоративного IDP, чтобы пользователь мог получать уведомления. Это помогает, если пользователь в дальнейшем становится администратором. Наличие адреса электронной почты для учётной записи даёт пользователю возможность получать уведомления о любой административной деятельности и отправлять приглашения другим пользователям для присоединения к организации.

Регистрация AD FS в качестве корпоративного IDP в ArcGIS Online

  1. Убедитесь, что вы вошли в систему в качестве администратора вашей организации.
  2. Вверху сайта щелкните Организация и щелкните закладку Настройки.
  3. Щелкните Безопасность в левой части страницы.
  4. В разделе Учетные записи секции Корпоративная, щелкните кнопку Задать корпоративную учетную запись и выберите опцию Один провайдер идентификации. Введите имя организации в открывшемся окне (например, City of Redlands). При входе пользователей на веб-сайт организации, данный текст отображается внутри строки входа SAML (например, Использование учетной записи City of Redlands).
    Примечание:

    Выбор опции Один провайдер идентификации позволяет зарегистрировать один корпоративный IDP для организации ArcGIS Online. Если вы хотите использовать аутентификацию пользователей с корпоративными учетными записями из нескольких IDP, зарегистрируйте распределение на базе SAML, вместо единого IDP.

  5. Выберите Автоматически или По приглашению администратора, чтобы указать, как пользователи могут присоединиться к организации. Если выбрать первый вариант, пользователи смогут присоединяться к организации с использованием своих корпоративных учетных записей без всякого вмешательства администратора. Их учетная запись автоматически регистрируется в организации во время первого входа. Во втором случае пользователям потребуется приглашение администратора. Когда пользователь получает приглашение, он может выполнить вход в организацию.
  6. Введите метаданные для IDP, используя один из приведенных ниже вариантов:
    • URL – если URL метаданных AD FS доступен, выберите эту опцию и введите URL (к примеру, https://<adfs-server>/federationmetadata/2007-06/federationmetadata.xml).
    • Файл – выберите данную опцию, если URL-адрес недоступен. Загрузите или создайте копию файла метаданных AD FS и выгрузите его на ArcGIS Online с помощью опции Файл.
    • Указанные здесь параметры – выберите данную опцию, если недоступны URL-адрес или файл метаданных. Вручную введите значения и укажите запрашиваемые параметры: URL для входа и сертификат, закодированный в формате BASE 64. Для получения этих значений свяжитесь с администратором AD FS.
  7. Доступна расширенная настройка дополнительных опций:
    • Шифровать утверждения – включите эту опцию для шифровки ответов подтверждений AD FS SAML.
    • Включить подписанный запрос – Выберите эту опцию, чтобы заставить ArcGIS Online подписывать запрос аутентификации SAML, который отправляется AD FS.
    • Произвести выход в провайдер идентификации – включите эту опцию, чтобы ArcGIS Online использовал URL-адрес выхода, чтобы выполнить выход пользователя из AD FS. Введите URL для использования в настройках URL-адрес выхода. Если IDP для выполнения входа требуется URL-адрес выхода, необходимо включить опцию Включить подписанный запрос.
      Примечание:

      По умолчанию, для AD FS необходимы запросы на выход из системы, подписанные с помощью SHA-256, поэтому необходимо проверить, что включены опции Включить подписанный запрос и Вход с помощью SHA256.

    • Обновить профиль для входа—установите эту отметку, чтобы автоматически синхронизировать информацию учетной записи (полное имя и адрес электронной почты), которая хранится в профилях пользователей ArcGIS Online с последней информацией об учетной записи, полученной от провайдера идентификации. Включение этой опции позволяет вашей организации в момент выполнения входа пользователя с корпоративной учетной записью проверять, изменилась ли информация от провайдера идентификации с момента создания учетной записи, Если информация изменилась, то производится соответствующее обновление профиля учетной записи пользователя ArcGIS Online.
    • Включить членство в группе, основанное на SAML—Включите эту опцию, чтобы позволить пользователям организации связать заданные корпоративные группы, основанные на SAML с ArcGIS Online группами в процессе создания группы.
    • URL-адрес выхода – URL-адрес, который использует IDP для выхода работающего в данный момент пользователя.
    • ID объекта – Обновите это значение, чтобы использовать новый ID объекта, чтобы уникально идентифицировать вашу организацию ArcGIS Online в AD FS.
  8. Щелкните Сохранить.

Регистрация ArcGIS Online в качестве проверенного провайдера сервиса в AD FS

  1. Откройте консоль управления AD FS.
  2. Выберите Отношение доверия проверяющей стороны > Добавить отношение доверия проверяющей стороны.
  3. В мастере Добавить отношение доверия проверяющей стороны щелкните кнопку Пуск.
  4. Для Выбора источника данных укажите одну опцию для получения данных проверяющей стороны: импорт из URL-адреса, импорт из файла или ввод вручную. Для опций URL-адреса и файла необходимо получение метаданных из вашей организации. Если у Вас нет доступа к URL-адресу метаданных или файлу, вы можете ввести информацию вручную. В некоторых случаях ввод данных вручную оказывается наиболее простым вариантом.
    • Импорт данных о проверяющей стороне, опубликованных в Интернет или в локальной сети

      Эта опция использует URL метаданных вашей организации ArcGIS Online. URL-адрес – это https://<url_key_for_org>.maps.arcgis.com/sharing/rest/portals/self/sp/metadata?token=<token>, например, https://samltest.maps.arcgis.com/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY.

      Сгенерируйте токен, используя https://www.arcgis.com/sharing/rest/generateToken. Вам требуется сгенерировать токен с использованием HTTP POST программно с выходным форматом JSON. Дополнительные сведения см. в разделе ArcGIS REST API.

    • Импорт данных о проверяющей стороне из файла

      Эта опция использует файл metadata.xml вашей организации ArcGIS Online. Есть два способа получения файла метаданных XML:

      • На странице организации щелкните вкладку Настройки, затем Безопасность в левой части страницы. В разделе Учетные записи, секции Корпоративные, щелкните кнопку Загрузить метаданные провайдера сервиса. Это предоставит вам метаданные для вашей организации, которые вы можете сохранить в виде файла XML на вашем компьютере.
      • Откройте URL файла метаданных и сохраните его как файл XML на вашем компьютере. Вы можете просмотреть и скопировать URL в окне Редактирование корпоративной учетной записи в разделе Ссылка на загрузку метаданных провайдера сервиса.
    • Введите данные о проверяющей стороне вручную

      В этом случае мастер Добавить отношение доверия проверяющей стороны отобразит дополнительные окна, в которых вы сможете вручную ввести данные. Это описано ниже – в шагах с 6 по 8.

  5. В окне Укажите имя отображения (Specify Display Name) введите имя отображения.

    Имя отображения используется для идентификации проверяющей стороны в AD FS. Для других случаев оно не используется. Нужно указать ArcGIS или имя организации в ArcGIS, например, ArcGIS – SamlTest.

    Подсказка:

    Если вы выбрали импорт исходных данных из URL или файла, перейдите к шагу 9.

  6. (Выбор источника данных только вручную) В качестве опции Выбрать профиль укажите профиль AD FS, который применяется в вашей среде.
  7. (Только ручной выбор источника данных) Для Настройки URL выберите опцию Включить поддержку протокола SAML 2.0 WebSSO и введите URL сервиса SAML 2.0 SSO проверяющей стороны.

    URL проверяющей стороны – это URL-адрес, на который AD FS посылает ответ SAML после аутентификации пользователя. Это должен быть HTTPS URL: https://<url_key_for_org>.maps.arcgis.com/sharing/rest/oauth2/saml/signin.

  8. (Только ручной выбор источника данных) Чтобы Настроить идентификаторы (Configure Identifiers), введите URL идентификатора отношения доверия проверяющей стороны.

    Это должен быть <url_key_for_org>.maps.arcgis.com.

  9. Для Выбора правил авторизации нажмите Разрешить всем пользователям доступ к проверяющей стороне (Permit all users to access this relying party).
  10. В окне Готов добавить доверительное отношение проверьте все настройки проверяющей стороны. URL метаданных заполняется, только если вы решили импортировать источник данных из URL.

    Нажмите Далее.

    Подсказка:

    При активации опции Отслеживать проверяющую сторону AD FS будет периодически проверять URL метаданных и сравнивать его с текущим состоянием доверительного отношения проверяющей стороны. Однако отслеживание не будет работать, когда срок работы токена в URL метаданных истечет. Ошибки записываются в журнале событий AD FS. Чтобы не получать эти сообщения, отключите отслеживание или обновите токен.

  11. Чтобы Завершить, выберите опцию автоматического открытия диалогового окна Редактировать правила заявления (Edit Claim Rules) после нажатия на кнопку Закрыть.
  12. Чтобы установить правила заявления, откройте мастер Редактировать правила заявления (Edit Claim Rules) и щелкните Добавить правило (Add Rule).
  13. В окне Выбрать шаблон правила выберите шаблон Послать атрибуты LDAP как заявления для правила заявления, которое вы создаете. Нажмите Далее.
  14. В шаге Настройка правила заявления следуйте инструкциям ниже и выполните редактирование правил заявлений.
    1. В окне Имя правила заявления (Claim rule name) введите имя правила, такое как DefaultClaims.
    2. Для Хранилища атрибутов выберите Active Directory.
    3. В окне Отображение атрибутов LDAP в выходных типах заявлений используйте следующую таблицу в качестве руководства и укажите, как атрибуты LDAP будут отображаться в выходных типах заявлений, которые будут вытекать из этого правила.

      Атрибут LDAPТип исходящего заявления

      Атрибут LDAP, который содержит имена пользователей (например, User-Principal-Name или SAM-Account-Name)

      NameID

      Given-Name

      Присвоенное имя

      Фамилия

      Фамилия

      E-Mail-Addresses

      Адрес E-Mail

      Token-Groups - Незаданные имена

      Группа

    Правило Настроить - DefaultClaims

    С этим заявлением AD FS отправляет атрибуты с именами givenname, surname, email и group membership в ArcGIS Online после аутентификации пользователя. ArcGIS Online затем использует значения, полученные в атрибуты givenname, surname и email для заполнения имени и электронной почты пользовательского аккаунта. Значения в атрибуте группы нужны для обновления членства пользователя в группе.

    Примечание:

    Если вы выберете опцию Включить основанное на SAML членство в группе при регистрации AD FS в качестве корпоративного IDP, членство каждого пользователя будет получено из ответа на выражение SAML от провайдера идентификации при каждом успешном входе пользователя. Более подробно о связывании корпоративных групп см. Создание групп.

  15. Щелкните Завершить, чтобы закончить настройку IDP AD FS с целью включения ArcGIS Online в качестве проверяющей стороны.