Skip To Content

Настройка NetIQ Access Manager

NetIQ Access Manager - это провайдер идентификации, совместимый с Security Assertion Markup Language (SAML). Вы можете настроить NetIQ Access Manager 3.2 и более новой версии в качестве провайдера IDPдля корпоративных учетных записей в ArcGIS Online. Процесс настройки состоит из двух основных шагов: регистрации вашего корпоративного IDP в ArcGIS Online и регистрации ArcGIS Online в корпоративном IDP.

Примечание:

Чтобы гарантировать защищенные настройки корпоративных учетных записей организации, см. рекомендации по безопасности SAML.

Необходимая информация

ArcGIS Online должен получить определенную атрибутивную информацию от IDP, когда пользователь входит с использованием корпоративной учетной записи. NameID Атрибут является обязательным и должен отправляться IDP в ответ на запрос для интеграции работы с ArcGIS Online. Так как ArcGIS Online использует значение NameID для уникальной идентификации именованного пользователя, рекомендуется для идентификации пользователя использовать постоянное значение. Когда пользователь из IDP осуществляет вход, нового пользователя с именем NameID_<url_key_for_org> создает ArcGIS Online в хранилище пользователей. Допустимыми символами значения, которое посылается атрибутом NameID, являются буквы, цифры, _ (нижнее подчеркивание), . (точка) и @ (знак). Другие символы будут заменены нижним подчеркиванием в имени пользователя, созданном ArcGIS Online.

ArcGIS Online поддерживает получение email-адреса пользователя, информацию о его участии в группах, указанного имени и фамилии от поставщика удостоверений SAML. Рекомендуется передавать email-адрес от корпоративного IDP, чтобы пользователь мог получать уведомления. Это помогает, если пользователь в дальнейшем становится администратором. Наличие адреса электронной почты для учётной записи даёт пользователю возможность получать уведомления о любой административной деятельности и отправлять приглашения другим пользователям для присоединения к организации.

Регистрация NetIQ Access Manager в качестве корпоративного IDP в ArcGIS Online

  1. Убедитесь, что вы вошли в систему в качестве администратора вашей организации.
  2. Вверху сайта щелкните Организация и щелкните закладку Настройки.
  3. Щелкните Безопасность в левой части страницы.
  4. В разделе Учетные записи секции Корпоративная, щелкните кнопку Задать корпоративную учетную запись и выберите опцию Один провайдер идентификации. Введите имя организации в открывшемся окне (например, City of Redlands). При входе пользователей на веб-сайт организации, данный текст отображается внутри строки входа SAML (например, Использование учетной записи City of Redlands).
    Примечание:

    Выбор опции Один провайдер идентификации позволяет зарегистрировать один корпоративный IDP для организации ArcGIS Online. Если вы хотите использовать аутентификацию пользователей с корпоративными учетными записями из нескольких IDP, зарегистрируйте распределение на базе SAML, вместо единого IDP.

  5. Выберите Автоматически или По приглашению администратора, чтобы указать, как пользователи могут присоединиться к организации. Если выбрать первый вариант, пользователи смогут присоединяться к организации с использованием своих корпоративных учетных записей без всякого вмешательства администратора. Их учетная запись автоматически регистрируется в организации во время первого входа. Во втором случае пользователям потребуется приглашение администратора. Когда пользователь получает приглашение, он может выполнить вход в организацию.
  6. Введите метаданные для IDP, используя один из трех приведенных ниже вариантов:
    • URL – выберите данную опцию, если для ArcGIS Online доступен URL распределенных метаданных NetIQ Access Manager URL-адрес обычно указывает на http(s)://<host>:<port>/nidp/saml2/metadata на компьютер, где работает NetIQ Access Manager.
    • Файл—Выберите данную опцию, если URL-адрес недоступен для ArcGIS Online. Получите метаданные, используя указанный выше URL-адрес, и перед загрузкой сохраните их в виде файла XML.
    • Указанные здесь параметры – выберите данную опцию, если недоступны URL-адрес или файл метаданных. Вручную введите значения и укажите запрашиваемые параметры: URL для входа и сертификат, закодированный в формате BASE 64. Для получения этих значений свяжитесь с администратором NetIQ Access Manager.
  7. Доступна расширенная настройка дополнительных опций:
    • Шифровать утверждения – включите эту опцию, если NetIQ Access Manager будет настроен на шифрование ответов утверждений SAML.
    • Включить подписанный запрос – Выберите эту опцию, чтобы заставить ArcGIS Online подписывать запрос аутентификации SAML, который отправляется NetIQ Access Manager.
    • Произвести выход в провайдер аутентификации – включите эту опцию, чтобы заставить ArcGIS Online использовать URL-адрес выхода для выхода пользователя из Net IQ Access Manager. Введите используемый URL в поле URL-адрес выхода. Если IDP для выполнения входа требуется URL-адрес выхода, необходимо включить опцию Включить подписанный запрос.
    • Обновить профиль для входа—установите эту отметку, чтобы автоматически синхронизировать информацию учетной записи (полное имя и адрес электронной почты), которая хранится в профилях пользователей ArcGIS Online с последней информацией об учетной записи, полученной от провайдера идентификации. Включение этой опции позволяет вашей организации в момент выполнения входа пользователя с корпоративной учетной записью проверять, изменилась ли информация от провайдера идентификации с момента создания учетной записи, Если информация изменилась, то производится соответствующее обновление профиля учетной записи пользователя ArcGIS Online.
    • Включить членство в группе, основанное на SAML—Включите эту опцию, чтобы позволить пользователям организации связать заданные корпоративные группы, основанные на SAML с ArcGIS Online группами в процессе создания группы.
    • URL-адрес выхода – URL-адрес IDP, использующегося при выходе работающего в данный момент пользователя. Это значение автоматически заполняется, если задан файл метаданных IDP. При необходимости вы можете обновить этот URL-адрес.
    • ID объекта – Обновите это значение, чтобы использовать новый ID объекта, чтобы уникально идентифицировать свою организацию ArcGIS Online в NetIQ Access Manager.
  8. Щелкните Сохранить.

Регистрация ArcGIS Online в качестве проверенного провайдера сервиса в NetIQ Access Manager

  1. Настройте набор атрибутов.

    Выполните указанные ниже шаги для создания нового набора атрибутов, чтобы их можно было отправить на ArcGIS Online в качестве SAML-подтверждения после аутентификации пользователя. Если у вас уже имеется настроенный набор атрибутов в NetIQ Access Manager, можно использовать его.

    1. Выполните вход в консоль администрирования NetIQ Access Manager. Обычно она доступна по адресу http(s)://<host>:<port>/nps.
    2. В административной консоли NetIQ перейдите к серверу аутентификации и щёлкните вкладку Настройки общего доступа. В разделе Наборы атрибутов можно увидеть все уже созданные наборы. Щелкните Новый и создайте новый набор атрибутов. Введите ArcGISOnline в поле Задать имя и щелкните Далее.

      Создание набора атрибутов

    3. Задайте сопоставление атрибутов и добавьте их в набор атрибутов, созданный в предыдущем шаге.

    Щелкните ссылку Новый и добавьте любые новые сопоставления атрибутов. На снимках экрана ниже показано добавление сопоставления атрибутов для givenName, email address и uid. Вы можете выбрать любые атрибуты из источника аутентификации вместо показанных.

    Атрибут givenName
    Атрибут email
    Атрибут uid

    Щелкните Готово в мастере Создание набора атрибутов. Появится новый набор атрибутов с именем ArcGISOnline.

  2. Выполните указанные ниже шаги, чтобы добавить ArcGIS Online в качестве доверенного провайдера NetIQ Access Manager.
    1. Выполните вход в административную консоль NetIQ, выберите сервер аутентификации и щелкните ссылку Редактировать.
      Консоль администрирования

      Откроется вкладка Общие.

    2. Щелкните закладку SAML 2.0 и выберите Новый > Провайдер сервиса.

      В окне Провайдер сервиса можно добавить ArcGIS Online в качестве доверенного провайдера сервисов с NetIQ Access Manager.

    3. В мастере Создать доверенный провайдер сервиса щелкните Текст метаданных как Источник и вставьте метаданные вашей организации ArcGIS Online в поле Текст.

      Чтобы получить метаданные вашей организации ArcGIS Online, войдите в организацию от имени администратора, щелкните вкладку Настройки и выберите Безопасность слева на странице. В разделе Учетные записи, секции Корпоративные, щелкните кнопку Загрузить метаданные провайдера сервиса. Сохраните метаданные как XML-файл.

      Создание доверенного провайдера сервиса

      Щелкните Далее и Готово, чтобы завершить создание доверенного провайдера сервиса.

      Доверенный провайдер
  3. Выполните указанные ниже шаги, чтобы задать свойства интеграции ArcGIS Online и NetIQ Access Manager.
    1. На вкладке SAML 2.0 щелкните ссылку провайдера сервиса в разделе Провайдеры сервисов. (Например, на изображении экрана выше эта ссылка называется ArcGISOnlineSAMLTest.) Откроется вкладка Конфигурация. Щелкните вкладку Метаданные и убедитесь, что метаданные вашей организации ArcGIS Online корректны.
    2. Щёлкните вкладку Конфигурация, чтобы вернуться к разделу настроек Доверенные. Выберите опцию Шифровать утверждения, если была выбрана дополнительная настройка Шифровать утверждения при регистрации в качестве корпоративного IDP NetIQ Access Manager на ArcGIS Online.
    3. Щелкните вкладку Атрибуты.

      В этом шаге вы добавите сопоставление атрибутов из набора, созданного ранее, чтобы NetIQ Access Manager мог отправить атрибуты в ArcGIS Online в качестве подтверждения SAML.

      Выберите набор атрибутов, заданный в шаге 2.1. После выбора набора атрибутов соответствующие атрибуты появятся в поле Доступно. Переместите атрибуты givenName и email в поле Отправить вместе с аутентификацией.

      Набор атрибутов
    4. Щёлкните вкладку Ответ аутентификации под вкладкой Конфигурация провайдера сервиса и настройте ответ аутентификации.

      Щелкните Закрепить в ниспадающем меню Привязка.

      В столбце Идентификатор имени включите опцию Не указано.

      В столбце По умолчанию выберите опцию Не указано.

      В столбце Значение выберите Ldap Attribute uid.

      Примечание:

      Вы можете настроить любые другие уникальные атрибуты из списка атрибутов вашего источника, которые будут отправляться как NameID. Значение этого параметра будет использоваться в качестве имени пользователя в организации.

      Щёлкните Применить. Убедитесь, что ваша страница соответствует изображению экрана, показанному ниже.

      Ответ аутентификации
    5. В разделе Конфигурация щелкните закладку Опции и выберите контракт аутентификации пользователей, например, Имя/Пароль – форма и щелкните Применить.

      Опции конфигурации

  4. Перезапустите NetIQ Access Manager, выбрав сервер аутентификации и щелкнув ссылку Обновить все.

    Перезапуск NetIQ