Skip To Content

Настройка Okta

Okta - это провайдер идентификации, совместимый с Security Assertion Markup Language (SAML). Вы можете настроить его в качестве провайдера IDP для корпоративных учетных записей в ArcGIS Online. Процесс настройки состоит из двух основных шагов: регистрации вашего корпоративного IDP в ArcGIS Online и регистрации ArcGIS Online в корпоративном IDP.

Примечание:

Чтобы гарантировать защищенные настройки корпоративных учетных записей организации, см. рекомендации по безопасности SAML.

Необходимая информация

ArcGIS Online должен получить определенную атрибутивную информацию от IDP, когда пользователь входит с использованием корпоративной учетной записи. NameID Атрибут является обязательным и должен отправляться IDP в ответ на запрос для интеграции работы с ArcGIS Online. Так как ArcGIS Online использует значение NameID для уникальной идентификации именованного пользователя, рекомендуется для идентификации пользователя использовать постоянное значение. Когда пользователь из IDP осуществляет вход, нового пользователя с именем NameID_<url_key_for_org> создает ArcGIS Online в хранилище пользователей. Допустимыми символами значения, которое посылается атрибутом NameID, являются буквы, цифры, _ (нижнее подчеркивание), . (точка) и @ (знак). Другие символы будут заменены нижним подчеркиванием в имени пользователя, созданном ArcGIS Online.

ArcGIS Online поддерживает получение email-адреса пользователя, информацию о его участии в группах, указанного имени и фамилии от поставщика удостоверений SAML. Рекомендуется передавать email-адрес от корпоративного IDP, чтобы пользователь мог получать уведомления. Это помогает, если пользователь в дальнейшем становится администратором. Наличие адреса электронной почты для учётной записи даёт пользователю возможность получать уведомления о любой административной деятельности и отправлять приглашения другим пользователям для присоединения к организации.

Регистрация Okta в качестве корпоративного IDP в ArcGIS Online

  1. Убедитесь, что вы вошли в систему в качестве администратора вашей организации.
  2. Вверху сайта щелкните Организация и щелкните закладку Настройки.
  3. Щелкните Безопасность в левой части страницы.
  4. В разделе Учетные записи секции Корпоративная, щелкните кнопку Задать корпоративную учетную запись и выберите опцию Один провайдер идентификации. Введите имя организации в открывшемся окне (например, City of Redlands). При входе пользователей на веб-сайт организации, данный текст отображается внутри строки входа SAML (например, Использование учетной записи City of Redlands).
    Примечание:

    Выбор опции Один провайдер идентификации позволяет зарегистрировать один корпоративный IDP для организации ArcGIS Online. Если вы хотите использовать аутентификацию пользователей с корпоративными учетными записями из нескольких IDP, зарегистрируйте распределение на базе SAML, вместо единого IDP.

  5. Выберите Автоматически или По приглашению администратора, чтобы указать, как пользователи могут присоединиться к организации. Если выбрать первый вариант, пользователи смогут присоединяться к организации с использованием своих корпоративных учетных записей без всякого вмешательства администратора. Их учетная запись автоматически регистрируется в организации во время первого входа. Во втором случае пользователям потребуется приглашение администратора. Когда пользователь получает приглашение, он может выполнить вход в организацию.
  6. Введите метаданные для IDP, используя один из приведенных ниже вариантов:
    • Файл – Скачайте или получите копию файла метаданных с Okta и загрузите его на ArcGIS Online с помощью опции Файл.
    • Указанные здесь параметры – выберите данную опцию, если недоступны URL-адрес или файл метаданных. Вручную введите значения и укажите запрашиваемые параметры: URL для входа и сертификат, закодированный в формате BASE 64. Для получения этих значений свяжитесь с администратором Okta.
  7. Доступна расширенная настройка дополнительных опций:
    • Шифровать утверждения – включите эту опцию для шифровки ответов подтверждений SAML Okta.
    • Включить подписанный запрос – Выберите эту опцию, чтобы заставить ArcGIS Online подписывать запрос аутентификации SAML, который отправляется Okta.
    • Произвести выход в провайдер идентификации – включите эту опцию, чтобы ArcGIS Online использовал URL-адрес выхода, чтобы выполнить выход пользователя из Okta. Введите URL для использования в настройках URL-адрес выхода. Если IDP для выполнения входа требуется URL-адрес выхода, необходимо включить опцию Включить подписанный запрос.
    • Обновить профиль для входа—установите эту отметку, чтобы автоматически синхронизировать информацию учетной записи (полное имя и адрес электронной почты), которая хранится в профилях пользователей ArcGIS Online с последней информацией об учетной записи, полученной от провайдера идентификации. Включение этой опции позволяет вашей организации в момент выполнения входа пользователя с корпоративной учетной записью проверять, изменилась ли информация от провайдера идентификации с момента создания учетной записи, Если информация изменилась, то производится соответствующее обновление профиля учетной записи пользователя ArcGIS Online.
    • Включить членство в группе, основанное на SAML—Включите эту опцию, чтобы позволить пользователям организации связать заданные корпоративные группы, основанные на SAML с ArcGIS Online группами в процессе создания группы.
    • URL-адрес выхода – URL-адрес IDP, использующегося при выходе работающего в данный момент пользователя.
    • ID объекта – Обновите это значение, чтобы использовать новый ID объекта, чтобы уникально идентифицировать вашу организацию ArcGIS Online в Okta.
  8. По окончании щелкните Сохранить.
  9. Щелкните Загрузить метаданные провайдера сервиса, чтобы загрузить файл метаданных организации. Информация в этом файле будет использоваться для регистрации организации в качестве доверенного провайдера сервиса в Okta.

Регистрация ArcGIS Online в качестве проверенного провайдера сервиса в Okta

  1. Войдите в организацию Okta, как участник с правами администратора.
  2. На вкладке Приложения щелкните кнопку Добавить приложение.
  3. Щелкните Создать новое приложение и выберите опцию SAML 2.0. Нажмите Создать.
  4. В Общих настройках введите Имя приложения для развертывания вашей организации и щелкните Далее.
  5. На вкладке Настройка SAML выполните следующее:
    1. Введите значение Адрес URL единого входа, например, https://[org name].maps.arcgis.com/sharing/rest/oauth2/saml/signin. Это значение может быть скопировано из файла метаданных провайдера сервиса, загруженного из вашей организации.
    2. Введите значение для URL аудитории. По умолчанию значение установлено на [org name].maps.arcgis.com. Это значение может быть скопировано из файла метаданных провайдера сервиса, загруженного из вашей организации.
    3. Оставьте значение параметра Формат ID имени равным Не указано.
    4. В Дополнительных настройках измените опцию Подпись утверждения на Не подписано.
    5. В разделе Выражения атрибутов добавьте следующие выражения атрибутов:

      givenName равно user.firstName

      surname равно user.lastName

      email равно user.email

  6. Щелкните Далее и выберите Готово.
  7. Теперь вы увидите раздел Вход для нового созданного приложения SAML. Чтобы получить метаданные для IDP Okta, щелкните вкладку Вход и щелкните ссылку Метаданные провайдера идентификации.
  8. Щелкните вкладку Пользователи и укажите, какие аутентифицированные пользователи Okta будут иметь доступ к вашей организации.