Skip To Content

Настройка корпоративных учетных записей

Настройка корпоративных учетных записей позволит участникам вашей организации входить в ArcGIS Online с использованием тех же учетных записей, которые применяются для доступа к корпоративной системе. Преимущество настройки корпоративных учетных записей с применением этого подхода состоит в том, что участникам не нужно создавать дополнительные учетные записи в системе ArcGIS Online, поскольку можно использовать уже настроенную корпоративную учетную запись. Когда участники входят в ArcGIS Online, они вводят корпоративные имя пользователя и пароль непосредственно в менеджер корпоративных учетных записей, также известный как провайдер корпоративной аутентификации (IDP). После проверки имени пользователя провайдер корпоративной аутентификации передает в ArcGIS Online проверенные данные участника, выполняющего вход. Можно настроить страницу входа в организацию, чтобы на ней отображалась только опция входа с помощью корпоративной учетной записи или обе опции – корпоративная и учетная запись ArcGIS.

ArcGIS Online поддерживает Security Assertion Markup Language 2.0 (SAML) для настройки корпоративных учетных записей. SAML является открытым стандартом безопасного обмена аутентификационными и авторизационными данными между IDP (вашей организацией) и провайдером сервиса – SP – в данном случае ArcGIS Online. ArcGIS Online соответствует SAML 2.0 и интегрирована в IDP, поддерживающими вход SAML 2 Web Single.

В большинстве случаев организации устанавливают корпоративный вход на базе SAML с помощью отдельного IDP. Эти пользователи с аутентификацией IDP имеют доступ к защищенным ресурсам, которые размещаются различными провайдерами сервисов. IDP и все провайдеры сервисов управляются одной организацией.

Другой способ аутентификации пользователей с корпоративным входом – настройка вашей организации на использование объединения IDP на базе SAML. В объединении на базе SAML между несколькими организациями, каждый участник организации продолжает использовать собственный IDP но настраивает один или более SP для эксклюзивной работы в рамках объединения. Для доступа к защищенным ресурсам, доступным в пределах интегрированных участников, пользователи проверяют подлинность с помощью IDP домашней организации. После успешной аутентификации данные об успешной проверки доступны для SP, размещающего защищенный ресурс. Далее SP предоставляет доступ к ресурсу после проверки прав доступа пользователя.

Вход с использованием SAML

ArcGIS Online поддерживает корпоративные учетные записи, инициированные провайдером сервиса (SP) и провайдером идентификаций (IDP). Процедуры входа с их использованием отличаются.

Инициированные учетные записи IDP

С учетными записями, инициированными провайдером сервиса, участники напрямую входят на веб-сайт организации и видят опции, позволяющие использовать корпоративные учетные записи, инициированные провайдером сервиса, или учетные записи ArcGIS. Если участники выбирают опцию провайдера сервиса, они перенаправляются на веб-страницу (менеджер входа провайдера корпоративной аутентификации), на которой им предлагается ввести корпоративные имя пользователя и пароль. После проверки учетной записи участника IDP передает в ArcGIS Online проверенные данные участника, и участник снова перенаправляется на веб-сайт организации.

Если участник выбирает опцию учетной записи ArcGIS, открывается страница входа на веб-сайт организации. Участник может ввести свое имя пользователя и пароль ArcGIS для доступа к веб-сайту. Опция входа с учетной записью ArcGIS не может быть отключена.

Инициированные учетные записи IDP

Выполняя вход с идентификацией IDP, участники могут получать доступ непосредственно к провайдеру корпоративных идентификаций и входить с использованием своих учетных записей. Когда участник сообщает сведения о своей учетной записи, провайдер идентификаций IDP посылает SAML-ответ непосредственно в ArcGIS Online. Участник входит и перенаправляется на веб-сайт своей организации, где он может сразу получить доступ к ресурсам без входа в организацию.

Опция входа с помощью учетных записей ArcGIS непосредственно из провайдера корпоративных аутентификаций не доступна для учетных записей IDP. Чтобы войти в организацию с использованием учетных записей ArcGIS, участники должны открыть веб-сайт своей организации.

Провайдеры идентификации SAML

В следующих руководствах описывается порядок применения SAML-совместимых провайдеров идентификации сArcGIS Online.

Настройка корпоративной учетной записи

Процесс настройки провайдеров идентификации с ArcGIS Online описан ниже. Перед продолжением рекомендуется связаться с администратором вашего корпоративного IDP или объединения нескольких IDP для получения параметров, необходимых для настройки. Например, если организация использует Microsoft Active Directory, следует связаться с его администратором, чтобы выполнить настройку и активацию SAML на стороне корпоративного IDP и получить параметры, необходимые для настройки на стороне портала. ArcGIS Online

  1. Убедитесь, что вы вошли в систему в качестве администратора вашей организации.
  2. Щелкните Организация вверху сайта, затем выберите вкладку Настройки.
  3. Если вы планируете разрешить автоматическое присоединение участников, сначала измените настройки по умолчанию для новых участников. Если необходимо, можно изменить эти настройки для определенных участников после их присоединения к организации.
    1. Нажмите Параметры по умолчанию для новых участников в левой части страницы.
    2. Выберите тип пользователя и роль по умолчанию для новых участников.
    3. Выберите добавочные лицензии для автоматического присвоения участникам при их присоединении к организации.
    4. Выберите группы, в которые будут добавлены участники при присоединении к организации.
    5. Если для организации включено управление кредитами, задайте распределение кредитов для каждого нового участника, указав определенное число кредитов или отсутствие ограничений.
    6. Выберите, будете ли вы включать или выключать доступ Esri для новых пользователей.

      Участник, учетная запись которого имеет доступ Esri, может использовать My Esri и Сообщество и форумы (GeoNet), имеет доступ к самостоятельному интерактивному обучению на веб-сайте Esri Training, а также управлять email-перепиской из Esri. Сами участники не могут включать или отключать доступ к этим ресурсам Esri.

  4. Щелкните Безопасность в левой части страницы.
  5. Под Корпоративные учетные записи выполните одно из следующих действий:
    • Один провайдер идентификации – позволит пользователям выполнять вход под своими корпоративными учетными записями, управляемые вашей организацией. Это наиболее часто используемая конфигурация.
    • Объединение провайдеров идентификации – позволяет пользователям, которые принадлежат существующему объединению организаций, например, объединению SWITCHaai, входить под своими учетными данными объединения.
  6. Щелкните кнопку Настроить корпоративный вход.
  7. В открывшемся окне выполните одно из следующих действий:
    • Если вы выбрали один провайдер идентификации, введите имя организации.
    • Если вы выбрали Объединение провайдеров идентификации, введите имя объединения.
  8. Выберите, как участники с корпоративными учетными записями будут присоединяться к организации ArcGIS Online – автоматически или по приглашению.

    Автоматическое присоединение позволяет участникам присоединяться к организации при входе с указанием корпоративной учетной записи. Присоединение с приглашением означает, что вы должны разослать через ArcGIS Online приглашения, содержащие инструкции по присоединению к организации. Если выбрано автоматическое присоединение, вы все равно имеете возможность приглашать участников присоединяться к организации и напрямую их добавлять с помощью корпоративных ID.

  9. Если вы выбрали Один провайдер идентификации укажите в ArcGIS Online информацию о вашем корпоративном IDP.

    Сделайте это, указав источник, который предоставит ArcGIS Online метаданные о провайдере корпоративной идентификации. Имеется три возможных источника этих метаданных:

    • URL-адрес – введите URL-адрес, который возвращает метаданные о провайдере корпоративной идентификации.
    • Файл – загрузите файл, который содержит метаданные о провайдере корпоративной идентификации.
    • Параметры, указанные здесь – введите метаданные провайдера корпоративной идентификации напрямую, предоставив следующие параметры:
      • URL учетной записи (Перенаправление) – введите URL провайдера идентификации (поддерживающий привязку перенаправления HTTP), который должен использоваться в ArcGIS Online для входа участника.
      • URL учетной записи (POST) – введите URL-адрес провайдера идентификации (поддерживающий привязку HTTP POST), который должен использоваться в ArcGIS Online для входа участника.
      • Сертификат – укажите сертификат провайдера корпоративной идентификации в формате BASE 64. Это сертификат, который позволяет ArcGIS Online проверять цифровые подписи в ответах SAML, направляемых в него провайдером корпоративной идентификации.
    Примечание:

    Свяжитесь с администратором провайдера идентификации, если вам требуется помощь при определении источника метаданных.

  10. Если вы выбрали Объединение провайдеров идентификации, выполните следующее:
    1. Введите URL в централизованный сервис Discovery IDP, размещенный в объединении – например, https://wayf.samplefederation.com/WAYF.
    2. Введите URL в метаданные объединения, где агрегированы всех метаданные IDP и SP, участвующих в объединении.
    3. Скопируйте и вставьте сертификат, закодированный в Base64, что позволяет организации проверить подлинность метаданных объединения.
  11. Щелкните Показать дополнительные настройки для следующих настроек, если они требуются:
    • Шифровать утверждения – выберите эту опцию, чтобы показать IDP SAML, что ArcGIS Online поддерживает шифрованные ответы утверждений SAML. Если эта опция выбрана, то IDP зашифрует раздел утверждений для ответов SAML. Весь трафик SAML шифруется в обе стороны с ArcGIS Online путем использования HTTPS, эта опция добавляет дополнительный уровень шифрования.
    • Включить подписанный запрос – выберите эту опцию, чтобы ArcGIS Online подписал запрос аутентификации SAML, направленный IDP. Подпись исходного запроса аутентификации, отправленного ArcGIS Online, позволяет провайдеру идентификации проверять, все ли запросы аутентификации исходят от доверенного провайдера сервисов.
    • Произвести выход в провайдер аутентификации – выберите эту опцию, чтобы в ArcGIS Online использовался URL-адрес выхода для выхода пользователя из IDP. Введите используемый URL в поле URL-адрес выхода. Если провайдеру идентификации для выполнения входа требуется URL-адрес выхода, необходимо также отметить опцию Включить подписанный запрос. Если эта опция недоступна, то при нажатии Выйти в ArcGIS Online произойдет выход пользователя из ArcGIS Online, но не из провайдера идентификации. Если кэш веб-браузера пользователя не очищен, попытка немедленно выполнить вход обратно в ArcGIS Online, используя опцию корпоративной учетной записи, приведет к немедленному входу без необходимости предоставления учетных данных для провайдера идентификации SAML. Это уязвимость в системе безопасности, которая может быть использована при пользовании компьютером, доступным неавторизованным пользователям или широкой публике.
    • Обновить профиль для входа – установите эту отметку, чтобы автоматически синхронизировать информацию учетной записи (полное имя и адрес электронной почты), которая хранится в профилях пользователей ArcGIS Online, со свежей информацией об учетной записи, полученной от провайдера идентификации. Установка этой отметки позволяет вашей организации в момент выполнения входа пользователя с корпоративной учетной записью проверять, изменилась ли информация от провайдера идентификации с момента создания учетной записи. Если информация изменилась, то производится обновление профиля учетной записи ArcGIS Online для пользователя.
    • Включить участие в группе на основании SAML – отметьте эту опцию, чтобы позволить участникам организации связывать корпоративные группы на основе SAML с группами ArcGIS Online во время процесса создания группы. Если вы отмечаете этот пункт, участники организации с правами связывать с корпоративными группами будут иметь опцию создания группы ArcGIS Online, участие в которой будет контролироваться корпоративной группой, управляемой внешним провайдером идентификации SAML. После того, как группа успешно связана с внешней группой на основе SAML, участие каждого пользователя в группе определяется ответом утверждения SAML, полученным от провайдера идентификации при каждом входе этого пользователя.

      Чтобы убедиться, что группа ArcGIS Online успешно связана со внешней корпоративной группой, создатель группы должен ввести точное имя внешней корпоративной группы, возвращаемое, как значение атрибута утверждения SAML. Поддерживаются следующие (чувствительные к регистру) имена для атрибутов, задающих участие пользователя в группе:

      • Group
      • Groups
      • Roles
      • MemberOf
      • member-of
      • http://schemas.xmlsoap.org/claims/Group
      • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
      • urn:oid:1.3.6.1.4.1.5923.1.5.1.1
      • urn:oid:2.16.840.1.113719.1.1.4.1.25

      Например, предположим, что пользователь, выполняющий вход, является участником корпоративных групп FullTimeEmployees и GIS Faculty. В утверждении SAML, полученном от провайдера идентификации, как показано ниже, именем атрибута, содержащего информацию о группе, является MemberOf. В данном примере, чтобы создать новую группу, связанную с корпоративной группой GIS Faculty, создателю группы понадобится ввести GIS Faculty в качестве имени группы.

      <saml2p:Response>
        ...
        ...
        <saml2:Assertion>
            ...
            ...	  
            <saml2:AttributeStatement>
              ...
              ...	  
              <saml2:Attribute Name="MemberOf">
        	      <saml2:AttributeValue>FullTimeEmployees</saml2:AttributeValue>
      	      <saml2:AttributeValue>GIS Faculty</saml2:AttributeValue>
              </saml2:Attribute>	  
          </saml2:AttributeStatement>
        </saml2:Assertion>
      </saml2p:Response>

    • URL выхода – если вы выбрали Один провайдер идентификации в предыдущем шаге, введите IDP URL и используйте его для выхода пользователя, который в данный момент выполнил вход. Если это свойство указано в файле метаданных провайдера идентификации, оно устанавливается автоматически.
    • ID объекта – обновите это значение, чтобы для уникальной идентификации вашей организации ArcGIS Online IDP SAML использовал новый ID объекта.
  12. По окончании щелкните Установить провайдер аутентификации.
  13. Чтобы завершить процесс настройки, установите доверительные отношения между сервисом обнаружения интеграцией и провайдером идентификаций вашей организации, зарегистрировав в ней метаданные сервиса ArcGIS Online. Получить метаданные можно двумя способами:
    • Щелкните Получить провайдера сервиса, чтобы загрузить файл метаданных организации в организации.
    • Откройте URL файла метаданных и сохраните его как файл XML на вашем компьютере. URL-адрес – это https://<url_key_for_org>.maps.arcgis.com/sharing/rest/portals/self/sp/metadata?token=<token>, например, https://samltest.maps.arcgis.com/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Вы можете создать токен с помощью https://www.arcgis.com/sharing/rest/generateToken. Вам требуется сгенерировать токен с использованием HTTP POST программно с выходным форматом JSON. Дополнительные сведения см. в разделе ArcGIS REST API.

    Для доступа к инструкции о регистрации метаданных сервиса провайдера портала в сертифицированных провайдерах перейдите к разделу Провайдеры аутентификации SAML выше. Если вы выбрали Интегрирование провайдеров идентификации, после загрузки метаданных SP обратитесь к администраторам SAML за инструкциями по интеграции метаданных SP в файл агрегированных метаданных интеграции. Вам также потребуются инструкции от них для регистрации вашего IDP в интеграции.

Изменение или удаление корпоративного IDP

Вы можете обновить настройки вашего корпоративного IDP, используя кнопку Редактировать корпоративный вход или удалить зарегистрированный в данный момент IDP, с помощью кнопки Удалить корпоративный вход. Эта кнопка доступна только после настройки IDP. После удаления IDP можно настроить новый IDP или объединение нескольких IDP, если необходимо.