Настройка учетных записей SAML

Настройка корпоративных учетных записей, таких как SAML (ранее известных как корпоративные учетные записи) позволяет участникам вашей организации выполнять вход в ArcGIS Online с использованием тех же учетных данных, которые они используют для входа во внутренние системы вашей организации. Преимущество настройки корпоративных учетных записей заключается в том, что участникам не нужно создавать дополнительные учетные записи в системе ArcGIS Online, вместо этого они могут использовать те, которые уже настроены в их организации. Когда участники входят в ArcGIS Online, они вводят корпоративные имя пользователя и пароль непосредственно в менеджер корпоративных учетных записей, также известный как провайдер корпоративной аутентификации (IDP). После проверки имени пользователя провайдер корпоративной аутентификации передает в ArcGIS Online проверенные данные участника, выполняющего вход.

ArcGIS Online поддерживает SAML 2.0 для настройки учетных записейSAML. SAML является открытым стандартом безопасного обмена аутентификационными и авторизационными данными между IDP (вашей организацией) и провайдером сервиса – SP – в данном случае ArcGIS Online соответствует SAML 2.0 и интегрирована в IDP, поддерживающими SAML 2.0.

Можно настроить страницу входа в ArcGIS Online, чтобы на ней отображалась только опция входа с помощью корпоративной учетной записи SAML или показывать учетную запись SAML наряду с любыми из следующих опций: учетная запись ArcGIS, учетная запись OpenID Connect (если настроена) и социальные сети (если настроены).

Чтобы гарантировать защищенные настройки учетных записей SAML см. рекомендации по безопасности SAML.

В большинстве случаев организации настраивают учетные записи SAML с помощью отдельного IDP. Эти пользователи с аутентификацией IDP имеют доступ к защищенным ресурсам, которые размещаются различными провайдерами сервисов. IDP и все провайдеры сервисов управляются одной организацией.

Примечание:

Когда будет доступна новая версия сертификата шифрования ArcGIS OnlineSAML, администраторы должны обновиться до нового сертификата.

Другой способ аутентификации пользователей с учетными записями SAML – настройка вашей организации на использование объединения IDP на базе SAML. В объединении на базе SAML между несколькими организациями, каждый участник организации продолжает использовать собственный IDP но настраивает один или более SP для эксклюзивной работы в рамках объединения. Для доступа к защищенным ресурсам, доступным в пределах интегрированных участников, пользователи проверяют подлинность с помощью IDP домашней организации. После успешной аутентификации данные об успешной проверки доступны для SP, размещающего защищенный ресурс. Далее SP предоставляет доступ к ресурсу после проверки прав доступа пользователя.

Вход с использованием SAML

ArcGIS Online поддерживает корпоративные учетные записи SAML, инициированные провайдером сервиса (SP) и учетные записи, инициированные провайдером идентификаций (IDP) SAML. Процедуры входа с их использованием отличаются.

Инициированные учетные записи IDP

С учетными записями, инициированными провайдером сервиса, участники напрямую входят на веб-сайт ArcGIS Online и видят опции, позволяющие использовать корпоративные учетные записи SAML, инициированные провайдером сервиса, или учетные записи ArcGIS. Если участники выбирают опцию провайдера сервиса, они перенаправляются на веб-страницу (менеджер входа провайдера корпоративной аутентификации), на которой им предлагается ввести корпоративные имя пользователя и пароль SAML. После проверки учетной записи участника IDP передает в ArcGIS Online проверенные данные участника, и участник снова перенаправляется на веб-сайт ArcGIS Online.

Если участник выбирает опцию учетной записи ArcGIS, открывается страница входа на веб-сайт ArcGIS Online. Участник может ввести свое имя пользователя и пароль ArcGIS для доступа к веб-сайту.

Инициированные учетные записи IDP

Выполняя вход с идентификацией IDP, участники могут получать доступ непосредственно к менеджеру корпоративных идентификаций и входить с использованием своих учетных записей. Когда участник сообщает сведения о своей учетной записи, провайдер идентификаций IDP посылает SAML-ответ непосредственно в ArcGIS Online. Участник входит и перенаправляется на веб-сайт ArcGIS Online, где он может сразу получить доступ к ресурсам без необходимости выполнения повторного входа в организацию.

Опция входа с помощью учетных записей ArcGIS непосредственно из провайдера аутентификаций не доступна для учетных записей IDP. Чтобы войти в ArcGIS Online с использованием учетных записей ArcGIS, участники должны открыть веб-сайт ArcGIS Online.

Провайдеры идентификации SAML

В следующих руководствах описывается порядок применения SAML-совместимых провайдеров идентификации с ArcGIS Online.

Настройка учетных записей SAML

Процесс настройки провайдеров идентификации с ArcGIS Online описан ниже. Перед продолжением рекомендуется связаться с администратором вашего IDP или объединения нескольких IDP для получения параметров, необходимых для настройки. Например, если организация использует Microsoft Active Directory, следует связаться с его администратором, чтобы выполнить настройку и активацию SAML на стороне корпоративного IDP и получить параметры, необходимые для настройки на стороне портала ArcGIS Online.

  1. Убедитесь, что вы вошли в систему в качестве администратора вашей организации.
  2. Щелкните Организация вверху сайта, затем выберите вкладку Настройки.
  3. Если вы планируете разрешить автоматическое присоединение участников, сначала измените настройки по умолчанию для новых участников. Если необходимо, можно изменить эти настройки для определенных участников после их присоединения к организации.
    1. Щелкните Параметры по умолчанию для новых участников в левой части страницы.
    2. Выберите тип пользователя и роль по умолчанию для новых участников.
    3. Выберите добавочные лицензии для автоматического присвоения участникам при их присоединении к организации.
    4. Выберите группы, в которые будут добавлены участники при присоединении к организации.
    5. Если для организации включено управление кредитами, задайте распределение кредитов для каждого нового участника, указав определенное число кредитов или отсутствие ограничений.
    6. Выберите, хотите ли вы включить доступ к Esri для новых участников.

      Участник, учетная запись которого имеет доступ к Esri, может использовать My Esri, обучаться на курсах, участвовать в сообществах и форумах (GeoNet), добавлять комментарии в ArcGIS Blog и управлять перепиской по email изEsri. Участники не могут самостоятельно включать или отключать себе доступ к этим ресурсам Esri.

  4. Щелкните Безопасность в левой части страницы.
  5. В разделе Учетные записи, в секции Учетная запись , щелкните Задать учетную запись SAML.
  6. В открывшемся окне выберите одно из следующего:
    • Один провайдер идентификации – позволит пользователям выполнять вход под своими учетными записями SAML, управляемые вашей организацией. Это наиболее часто используемая конфигурация.
    • Объединение провайдеров идентификации – позволяет пользователям, которые принадлежат существующему объединению организаций, например, объединению SWITCHaai, входить под своими учетными данными объединения.
  7. Нажмите Далее.
  8. Если вы выбрали Один провайдер идентификации, выполните следующее:
    1. Введите название организации.
    2. Выберите, как участники с учетными записямиSAML будут присоединяться к организации ArcGIS Online – автоматически или по приглашению. Автоматическое присоединение позволяет участникам присоединяться к организации при входе с указанием учетной записи SAML. С опцией приглашения вы создаете email-приглашения через ArcGIS Online, включающие инструкции по присоединению к организации. Если выбрано автоматическое присоединение, вы все равно имеете возможность приглашать участников присоединяться к организации и напрямую их добавлять с помощью SAML ID.
    3. Предоставьте в ArcGIS Online информацию в виде метаданных о вашем провайдере корпоративной идентификации.

    Сделайте это, указав источник, который предоставит ArcGIS Online метаданные о провайдере корпоративной идентификации. Имеется три возможных источника этих метаданных:

    • URL-адрес – введите URL-адрес, который возвращает метаданные о провайдере корпоративной идентификации.
    • Файл – загрузите файл, который содержит метаданные о провайдере корпоративной идентификации.
    • Параметры, указанные здесь – введите метаданные провайдера корпоративной идентификации напрямую, предоставив следующие параметры:
      • URL учетной записи (Перенаправление) – введите URL провайдера идентификации (поддерживающий привязку перенаправления HTTP), который должен использоваться в ArcGIS Online для входа участника.
      • URL учетной записи (POST) – введите URL-адрес провайдера идентификации (поддерживающий привязку HTTP POST), который должен использоваться в ArcGIS Online для входа участника.
      • Сертификат – укажите сертификат провайдера идентификации в формате BASE 64. Это сертификат, который позволяет ArcGIS Online проверять цифровые подписи в ответах SAML, направляемых в него провайдером корпоративной идентификации.
    Примечание:

    Свяжитесь с администратором провайдера идентификации, если вам требуется помощь при определении источника метаданных.

  9. Если вы выбрали Объединение провайдеров идентификации, выполните следующее:
    1. Введите название вашего объединения.
    2. Выберите, как участники с учетными записямиSAML будут присоединяться к организации ArcGIS Online – автоматически или по приглашению. Автоматическое присоединение позволяет участникам присоединяться к организации при входе с указанием учетной записи SAML. С опцией приглашения вы создаете email-приглашения через ArcGIS Online, включающие инструкции по присоединению к организации. Если выбрано автоматическое присоединение, вы все равно имеете возможность приглашать участников присоединяться к организации и напрямую их добавлять с помощью SAML ID.
    3. Введите URL в централизованный сервис Discovery IDP, размещенный в объединении – например, https://wayf.samplefederation.com/WAYF.
    4. Введите URL в метаданные объединения, где агрегированы всех метаданные IDP и SP, участвующих в объединении.
    5. Скопируйте и вставьте сертификат, закодированный в Base64, что позволяет организации проверить подлинность метаданных объединения.
  10. Щелкните Показать дополнительные настройки для следующих настроек, если они требуются:
    • Шифровать утверждения – включите эту опцию, чтобы показать IDP SAML, что ArcGIS Online поддерживает шифрованные ответы утверждений SAML. Если эта опция включена, то IDP зашифрует раздел утверждений для ответов SAML. Весь трафик SAML шифруется в обе стороны от ArcGIS Online при использовании HTTPS, эта опция добавляет дополнительный уровень шифрования.
    • Шифровать утверждения — включите эту опцию для входа в ArcGIS Online запрос аутентификации SAML, отправляемый в IDP. Подпись исходного запроса аутентификации, отправленного ArcGIS Online, позволяет провайдеру идентификации проверять, все ли запросы аутентификации исходят от доверенного провайдера сервисов.
    • Произвести выход в провайдер идентификации – включите эту опцию, чтобы ArcGIS Online использовал URL-адрес выхода, чтобы выполнить выход пользователя из IDP. Введите используемый URL в поле URL-адрес выхода. Если IDP для выполнения входа требуется URL-адрес выхода, необходимо также отметить опцию Включить подписанный запрос. Если эта опция недоступна, то при нажатии Выйти в ArcGIS Online произойдет выход пользователя из ArcGIS Online, но не из провайдера идентификации. Если кэш веб-браузера пользователя не очищен, попытка немедленно выполнить вход обратно в ArcGIS Online, используя опцию учетной записи SAML, приведет к немедленному входу без необходимости предоставления учетных данных для провайдера идентификации SAML. Это уязвимость в системе безопасности, которая может быть использована при пользовании компьютером, доступным неавторизованным пользователям или широкой публике.
    • Обновить профиль для входа — установите эту отметку, чтобы автоматически синхронизировать информацию учетной записи (полное имя и адрес электронной почты), которая хранится в профилях пользователей ArcGIS Online с последней информацией об учетной записи, полученной от провайдера идентификации. Включение этой опции позволяет вашей организации проверять в момент входа пользователя с учетной записью SAML, изменилась ли информация провайдера идентификации IDP с момента создания учетной записи. Если информация изменилась, то производится соответствующее обновление профиля учетной записи ArcGIS Online.
    • Включить членство в группе, основанное на SAML - выберите эту опцию, чтобы позволить пользователям организации связать основанные на SAML группы с группами ArcGIS Online в процессе создания группы. Если вы включили эту опцию, участники организации с правами связывания с группами SAML, будут иметь опцию создания группы ArcGIS Online, участие в которой будет контролироваться группой SAML, управляемой внешним провайдером идентификации SAML. После того, как группа успешно связана с внешней группой на основе SAML, участие каждого пользователя в группе определяется ответом утверждения SAML, полученным от провайдера идентификации при каждом входе этого пользователя.

      Чтобы убедиться, что группа ArcGIS Online успешно связана со внешней группой SAML, создатель группы должен ввести точное имя внешней группы SAML, возвращаемое, как значение атрибута утверждения SAML. Поддерживаются следующие (чувствительные к регистру) имена для атрибутов, задающих участие пользователя в группе:

      • Группа
      • Группы
      • Роли
      • MemberOf
      • member-of
      • http://schemas.xmlsoap.org/claims/Group
      • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
      • urn:oid:1.3.6.1.4.1.5923.1.5.1.1
      • urn:oid:2.16.840.1.113719.1.1.4.1.25

      Например, предположим, что пользователь, выполняющий вход, является участником групп SAML FullTimeEmployees и GIS Faculty. В утверждении SAML, полученном от провайдера идентификации, как показано ниже, именем атрибута, содержащего информацию о группе, является MemberOf. В данном примере, чтобы создать группу, связанную с SAML группой GIS Faculty, создателю группы понадобится ввести GIS Faculty в качестве имени группы.

      <saml2p:Response>
        ...
        ...
        <saml2:Assertion>
            ...
            ...	  
            <saml2:AttributeStatement>
              ...
              ...	  
              <saml2:Attribute Name="MemberOf">
        	      <saml2:AttributeValue>FullTimeEmployees</saml2:AttributeValue>
      	      <saml2:AttributeValue>GIS Faculty</saml2:AttributeValue>
              </saml2:Attribute>	  
          </saml2:AttributeStatement>
        </saml2:Assertion>
      </saml2p:Response>

    • URL выхода – если вы выбрали Один провайдер идентификации в предыдущем шаге, введите IDP URL и используйте его для выхода пользователя, который в данный момент выполнил вход. Если это свойство указано в файле метаданных провайдера идентификации, оно устанавливается автоматически.
    • ID объекта – обновите это значение, чтобы для уникальной идентификации организации ArcGIS Online с IDP SAML или интеграцией SAML использовался новый ID объекта.
  11. По завершении нажмите Сохранить.
  12. Чтобы завершить процесс настройки, установите доверительные отношения между сервисом обнаружения интеграцией и провайдером идентификаций вашей организации, зарегистрировав в ней метаданные сервиса ArcGIS Online. Получить метаданные можно двумя способами:
    • Щелкните Загрузить метаданные провайдера сервиса, чтобы загрузить файл метаданных организации в организации.
    • Откройте URL файла метаданных и сохраните его как файл XML на вашем компьютере. Вы можете просмотреть и скопировать URL в окне Редактирование входа SAML в разделе Ссылка на загрузку метаданных провайдера сервиса.

    Для доступа к инструкции о регистрации метаданных сервиса провайдера портала в сертифицированных провайдерах перейдите к разделу Провайдеры аутентификации SAML выше. Если вы выбрали Интегрирование провайдеров идентификации, после загрузки метаданных SP обратитесь к администраторам SAML за инструкциями по интеграции метаданных SP в файл агрегированных метаданных интеграции. Вам также потребуются инструкции от них для регистрации вашего IDP в интеграции.

Изменение или удаление IDP SAML

Если настроен IDP SAML, вы можете обносить настройки для него, нажав кнопку Редактировать Редактировать рядом с текущим зарегистрированным IDP SAML. Обновите настройки в окне Редактировать учетную запись SAML.

Чтобы удалить текущий зарегистрированный IDP, щелкните кнопку Редактировать Редактировать рядом с IDP и затем Удалить учетную запись в окне Редактировать учетную запись SAML. После удаления IDP можно настроить новый IDP или объединение нескольких IDP, если необходимо.

Рекомендации по SAML-безопасности

Чтобы включить учетные записи на базе SAML, вы можете настроить ArcGIS Online в качестве провайдера сервиса (SP) для вашего провайдера аутентификации (IDP) SAML. Для обеспечения надежной безопасности имейте в виду следующее.

В цифровой форме подписать запросы на вход и выход из SAML и подписать ответ подтверждения SAML

Подписи используются для обеспечения целостности сообщений SAML и, таким образом, служат защитой от атак «человек посередине» (MITM). Цифровая подпись запроса SAML также гарантирует, что запрос отправляется доверенным SP, что позволяет IDP лучше справляться с атаками типа «отказ в обслуживании» (DOS). Включите опцию Включить подписанный запрос в расширенных настройках при настройке учетных записей SAML.

Примечание:

Включение подписанных запросов требует обновления IDP всякий раз, когда сертификат подписи, используемый SP, обновляется или заменяется.

Настройте IDP SAML для подписания ответа SAML, чтобы избежать изменения ответа подтверждения SAML при передаче.

Примечание:

Включение подписанных запросов требует обновления SP (ArcGIS Online) всякий раз, когда сертификат подписи, используемый IDP, обновляется или заменяется.

Использование HTTPS как конечной точки IDP

Любой обмен данными между SP, IDP и браузером пользователя, который отправляется по внутренней сети или через Интернет в незашифрованном формате, может быть перехвачен злоумышленниками. Если ваш SAML IDP поддерживает HTTPS, рекомендуется использовать конечную точку HTTPS для обеспечения конфиденциальности данных, передаваемых во время входа в систему SAML.

Шифрование ответа подтверждения SAML

Использование HTTPS для сообщения SAML защищает сообщения SAML, которые отправляются между SP и IDP. Однако вошедшие в систему пользователи могут декодировать и просматривать сообщения SAML через веб-браузер. Включение шифрования ответа на утверждение не позволяет пользователям просматривать конфиденциальную или конфиденциальную информацию, передаваемую между IDP и SP.

Примечание:

Включение зашифрованных утверждений требует обновления IDP при каждом обновлении или замене сертификата шифрования, используемого SP (ArcGIS Online).

Безопасное управление сертификатами подписи и шифрования

Рекомендуется использовать сертификаты с надежными ключами шифрования для цифровой подписи или шифрования сообщений SAML, а также обновлять или заменять сертификаты каждые три-пять лет.