Skip To Content

Настройка OpenAM

OpenAM - это провайдер идентификации, совместимый с Security Assertion Markup Language (SAML). Вы можете настроить OpenAM 10.1.0 и более новой версии в качестве провайдера IDP для корпоративных учетных записей в ArcGIS Online. Процесс настройки состоит из двух основных шагов: регистрации вашего корпоративного IDP в ArcGIS Online и регистрации ArcGIS Online в корпоративном IDP.

Примечание:

Чтобы гарантировать защищенные настройки корпоративных учетных записей организации, см. рекомендации по безопасности SAML.

Необходимая информация

ArcGIS Online должен получить определенную атрибутивную информацию от IDP, когда пользователь входит с использованием корпоративной учетной записи. NameID Атрибут является обязательным и должен отправляться IDP в ответ на запрос для интеграции работы с ArcGIS Online. Так как ArcGIS Online использует значение NameID для уникальной идентификации именованного пользователя, рекомендуется для идентификации пользователя использовать постоянное значение. Когда пользователь из IDP осуществляет вход, нового пользователя с именем NameID_<url_key_for_org> создает ArcGIS Online в хранилище пользователей. Допустимыми символами значения, которое посылается атрибутом NameID, являются буквы, цифры, _ (нижнее подчеркивание), . (точка) и @ (знак). Другие символы будут заменены нижним подчеркиванием в имени пользователя, созданном ArcGIS Online.

ArcGIS Online поддерживает получение email-адреса пользователя, информацию о его участии в группах, указанного имени и фамилии от поставщика удостоверений SAML. Рекомендуется передавать email-адрес от корпоративного IDP, чтобы пользователь мог получать уведомления. Это помогает, если пользователь в дальнейшем становится администратором. Наличие адреса электронной почты для учётной записи даёт пользователю возможность получать уведомления о любой административной деятельности и отправлять приглашения другим пользователям для присоединения к организации.

Регистрация OpenAM в качестве корпоративного IDP в ArcGIS Online

  1. Убедитесь, что вы вошли в систему в качестве администратора вашей организации.
  2. Вверху сайта щелкните Организация и щелкните закладку Настройки.
  3. Щелкните Безопасность в левой части страницы.
  4. В разделе Учетные записи секции Корпоративная, щелкните кнопку Задать корпоративную учетную запись и выберите опцию Один провайдер идентификации. Введите имя организации в открывшемся окне (например, City of Redlands). При входе пользователей на веб-сайт организации, данный текст отображается внутри строки входа SAML (например, Использование учетной записи City of Redlands).
    Примечание:

    Выбор опции Один провайдер идентификации позволяет зарегистрировать один корпоративный IDP для организации ArcGIS Online. Если вы хотите использовать аутентификацию пользователей с корпоративными учетными записями из нескольких IDP, зарегистрируйте распределение на базе SAML, вместо единого IDP.

  5. Выберите Автоматически или По приглашению администратора, чтобы указать, как пользователи могут присоединиться к организации. Если выбрать первый вариант, пользователи смогут присоединяться к организации с использованием своих корпоративных учетных записей без всякого вмешательства администратора. Их учетная запись автоматически регистрируется в организации во время первого входа. Во втором случае пользователям потребуется приглашение администратора. Когда пользователь получает приглашение, он может выполнить вход в организацию.
  6. Введите метаданные для IDP, используя один из трех приведенных ниже вариантов:
    • URL – выберите данную опцию, если доступен URL-адрес метаданных OpenAM в ArcGIS Online. Обычно это URL-адрес вида http(s)://<host>:<port>/openam/saml2/jsp/exportmetadata.jsp.
    • Файл—Выберите данную опцию, если URL-адрес недоступен для ArcGIS Online. Получите метаданные, используя указанный выше URL-адрес, и перед загрузкой сохраните их в виде файла XML.
    • Указанные здесь параметры – выберите данную опцию, если недоступны URL-адрес или файл метаданных. Вручную введите значения и укажите запрашиваемые параметры: URL для входа и сертификат, закодированный в формате BASE 64. Для получения этих значений свяжитесь с администратором OpenAM.
  7. Доступна расширенная настройка дополнительных опций:
    • Шифровать утверждения – включите эту опцию, если OpenAM будет настроен на шифрование ответов утверждений SAML.
    • Включить подписанный запрос – Выберите эту опцию, чтобы заставить ArcGIS Online подписывать запрос аутентификации SAML, который отправляется на OpenAM.
    • ID объекта – Обновите это значение, чтобы использовать новый ID объекта для уникальной идентификации своей организации ArcGIS Online в OpenAM.
    • Обновить профиль для входа—установите эту отметку, чтобы автоматически синхронизировать информацию учетной записи (полное имя и адрес электронной почты), которая хранится в профилях пользователей ArcGIS Online с последней информацией об учетной записи, полученной от провайдера идентификации. Включение этой опции позволяет вашей организации в момент выполнения входа пользователя с корпоративной учетной записью проверять, изменилась ли информация от провайдера идентификации с момента создания учетной записи, Если информация изменилась, то производится соответствующее обновление профиля учетной записи пользователя ArcGIS Online.
    • Включить членство в группе, основанное на SAML—Включите эту опцию, чтобы позволить пользователям организации связать заданные корпоративные группы, основанные на SAML с ArcGIS Online группами в процессе создания группы.
    Примечание:

    В данный момент, Произвести выход в провайдер аутентификации и URL-адрес выхода не поддерживаются.

  8. Щелкните Сохранить.

Регистрация ArcGIS Online в качестве проверенного провайдера сервиса в OpenAM

  1. Настройте размещаемого провайдера IDP в OpenAM.
    1. Выполните вход в консоль администрирования OpenAM. Обычно она доступна по адресу https://servername:port/<deploy_uri>/console.
    2. На вкладке Общие задачи щелкните Создать провайдера аутентификации.
    3. Создайте провайдера идентификации IDP и добавьте его в Круг доверия. Вы можете добавить его в существующий круг, если он уже есть, или создать новый.
    4. По умолчанию размещенный провайдер идентификации IDP работает с OpenDJ, встроенным хранилищем пользователей, которое входит в комплект OpenAM. Если вы хотите подключить OpenAM к любому другому хранилищу пользователей, например, Active Directory, необходимо создать новый источник данных на вкладке Управление доступом основной консоли администрирования OpenAM.
  2. Настройка ArcGIS Online в качестве доверенного провайдера сервиса в OpenAM.
    1. Получите файл метаданных вашей организации ArcGIS Online и сохраните его как XML-файл.

      Для получения файла метаданных войдите в вашу организацию в качестве администратора и откройте страницу вашей организации.Щелкните вкладку Настройки, затем Безопасность в левой части страницы. В разделе Учетные записи, секции Корпоративные, щелкните кнопку Загрузить метаданные провайдера сервиса.

    2. В консоли администрирования OpenAM, в разделе Общие задачи щелкните Зарегистрировать удаленного провайдера сервиса.
    3. Выберите опцию Файл для метаданных и загрузите XML-файл метаданных, сохраненный в предыдущем шаге.
    4. Добавьте этого провайдера сервиса в тот же круг доверия, в который вы добавили своего провайдера идентификации.
  3. Настройте формат NameID и атрибуты, которые OpenAM будет отправлять в ArcGIS Online после аутентификации пользователя.
    1. В консоли администрирования OpenAM щелкните вкладку Интеграция. На этой вкладке находится круг доверия, который вы добавили ранее, провайдер сервиса и идентификации.
    2. В разделе Провайдеры аутентификаций щелкните на вашем провайдере идентификации IDP.
    3. На вкладке Содержание утверждений в поле Формат ID имени, убедитесь, что urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified указан наверху. Это формат поля NameID, которое ArcGIS Online будет запрашивать при SAML-запросе к OpenAM.
    4. В поле Карта значений ID имени сопоставьте атрибут пользовательского профиля, например, mail или upn, который будет возвращаться как NameID в ArcGIS Online после аутентификации пользователя.

      Пример: urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified =upn

    5. Щелкните вкладку Содержание утверждений для провайдера идентификации. В разделе Сопоставление атрибутов настройте атрибуты из профиля пользователя, которые вы бы хотели отправлять в ArcGIS Online.

      Щёлкните Сохранить, чтобы сохранить формат NameID, и содержание атрибутов будет изменено.

    6. На вкладке Интеграция в консоли администрирования OpenAM к провайдеру сервиса ArcGIS Online в разделе Провайдеры аутентификаций.
    7. На вкладке Содержание утверждений в разделе Шифрование выберите опцию Утверждения, если была выбрана дополнительная настройка Шифровать утверждения при регистрации OpenAM в качестве корпоративного провайдера идентификации IDP ArcGIS Online.
    8. На вкладке Формат ID имени проверьте, что urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified указан наверху списка. Это формат поля NameID, которое ArcGIS Online будет запрашивать при SAML-запросе к OpenAM..
    9. Щелкните вкладку Содержание утверждений для провайдера идентификации. В разделе Сопоставление атрибутов настройте атрибуты из профиля пользователя, которые вы бы хотели отправлять в ArcGIS Online.
    10. Щёлкните Сохранить, чтобы сохранить формат Name ID, и содержание атрибутов будет изменено.
  4. Перезапустите веб-сервер, на котором развернут OpenAM.