Настройка учетных записей SAML

Настройка учетных записей организации, таких как SAML (ранее известных как корпоративные учетные записи) позволяет участникам вашей организации выполнять вход в ArcGIS Online с использованием тех же учетных данных, которые они используют для входа во внутренние системы вашей организации. Преимущество настройки корпоративных учетных записей заключается в том, что участникам не нужно создавать дополнительные учетные записи в системе ArcGIS Online, вместо этого они могут использовать те, которые уже настроены в их организации. Когда участники входят в ArcGIS Online, они вводят корпоративные имя пользователя и пароль непосредственно в менеджер корпоративных учетных записей, также известный как провайдер корпоративной аутентификации (IdP). После проверки имени пользователя провайдер корпоративной аутентификации передает в ArcGIS Online проверенные данные участника, выполняющего вход.

ArcGIS Online поддерживает SAML 2.0 для настройки учетных записей SAML. SAML является открытым стандартом безопасного обмена аутентификационными и авторизационными данными между IDP (вашей организации) и провайдером сервиса (SP). В этом случае ArcGIS Online совместим с протоколом SAML 2.0 и интегрируется с IdP, поддерживающими SAML 2.0, например, Active Directory Federation Services (AD FS), Google Workspace и Okta.

Можно настроить страницу входа в ArcGIS Online, так, чтобы на ней отображалась только опция входа SAML, или показывать вход SAML наряду с любыми из следующих опций: вход ArcGIS, вход OpenID Connect (если настроен) и вход через социальные сети (если настроены).

Чтобы гарантировать защищенные настройки учетных записей SAML см. рекомендации по безопасности SAML.

В большинстве случаев организации настраивают учетные записи SAML с помощью отдельного IdP. Эти пользователи с аутентификацией IdP имеют доступ к защищенным ресурсам, которые размещаются различными провайдерами сервисов. IdP и все провайдеры сервисов управляются одной организацией.

Примечание:

Когда будет доступна новая версия сертификата шифрования ArcGIS OnlineSAML, администраторы должны обновиться до нового сертификата.

Другой способ аутентификации пользователей с учетными записями SAML – настройка вашей организации на использование объединения IDP на базе SAML. В объединении на базе SAML между несколькими организациями, каждый участник организации продолжает использовать собственный IdP, но настраивает один или более SP для эксклюзивной работы в рамках объединения. Для доступа к защищенным ресурсам, доступным в пределах интегрированных участников, пользователи проверяют подлинность с помощью IdP домашней организации. После успешной аутентификации данные об успешной проверки доступны для SP, размещающего защищенный ресурс. Далее SP предоставляет доступ к ресурсу после проверки прав доступа пользователя.

Вход с использованием SAML

ArcGIS Online поддерживает корпоративные учетные записи SAML, инициированные провайдером сервиса (SP), и учетные записи SAML, инициированные провайдером идентификаций (IdP). Процедуры входа с их использованием отличаются.

Инициированные учетные записи IDP

С учетными записями, инициированными провайдером сервиса, участники напрямую входят на веб-сайт ArcGIS Online и видят опции, позволяющие использовать корпоративные учетные записи SAML, инициированные провайдером сервиса, или учетные записи ArcGIS. Если участники выбирают опцию провайдера сервиса, они перенаправляются на веб-страницу (менеджер входа провайдера корпоративной аутентификации), на которой им предлагается ввести корпоративные имя пользователя и пароль SAML. После проверки учетной записи участника IdP передает в ArcGIS Online проверенные данные участника, и участник снова перенаправляется на веб-сайт ArcGIS Online.

Если участник выбирает опцию учетной записи ArcGIS, открывается страница входа на веб-сайт ArcGIS Online. Участник может ввести свое имя пользователя и пароль ArcGIS для доступа к веб-сайту.

Инициированные IdP учетные записи

Выполняя вход с идентификацией IdP, участники могут получать доступ непосредственно к менеджеру корпоративных идентификаций и входить с использованием своих учетных записей. Когда участник сообщает сведения о своей учетной записи, провайдер идентификаций IdP посылает SAML-ответ непосредственно в ArcGIS Online. Участник входит и перенаправляется на веб-сайт ArcGIS Online, где он может сразу получить доступ к ресурсам без необходимости выполнения повторного входа в организацию.

Опция входа с помощью учетных записей ArcGIS непосредственно из провайдера аутентификаций не доступна для учетных записей IdP. Чтобы войти в ArcGIS Online с использованием учетных записей ArcGIS, участники должны открыть веб-сайт ArcGIS Online.

Настройка учетных записей SAML

Процесс настройки провайдеров идентификации с ArcGIS Online описан ниже. Перед продолжением рекомендуется связаться с администратором вашего IdP или объединения нескольких IdP для получения параметров, необходимых для настройки. Например, если организация использует Microsoft Entra ID, следует связаться с его администратором, чтобы выполнить настройку и активацию SAML на стороне IdP и получить параметры, необходимые для настройки на стороне ArcGIS Online. Вы можете также просматривать и использовать подробную документацию по конфигурации IdP сторонних организаций в репозитории ArcGIS/idp GitHub.

  1. Убедитесь, что вы вошли под учётной записью администратора или участника с пользовательской ролью, имеющей права управления настройками безопасности.
  2. Щелкните Организация вверху сайта, затем выберите вкладку Настройки.
  3. Если вы планируете разрешить автоматическое присоединение участников, сначала измените настройки по умолчанию для новых участников. Если необходимо, можно изменить эти настройки для определенных участников после их присоединения к организации.
    1. Щелкните Параметры по умолчанию для новых участников сбоку страницы.
    2. Выберите тип пользователя и роль по умолчанию для новых участников.
    3. Выберите добавочные лицензии для автоматического присвоения участникам при их присоединении к организации.
    4. Выберите группы, в которые будут добавлены участники при присоединении к организации.
    5. Если для организации включено управление кредитами, задайте распределение кредитов для каждого нового участника, указав определенное число кредитов или отсутствие ограничений.
    6. При желании разрешите Esri доступ для новых участников.

      Участник, учетная запись которого имеет доступ к Esri, может использовать My Esri, обучаться на курсах, участвовать в Esri Community, добавлять комментарии в ArcGIS Blog и управлять перепиской по email из Esri. Участники не могут самостоятельно включать или отключать себе доступ к этим ресурсам Esri.

  4. Щелкните Безопасность сбоку страницы.
  5. В разделе Учетные записи щелкните Новая учетная запись SAML.
  6. В открывшемся окне выберите одно из следующего:
    • Один провайдер идентификации – позволит пользователям выполнять вход под своими учетными записями SAML, управляемые вашей организацией. Это наиболее часто используемая конфигурация.
    • Объединение провайдеров идентификации – позволяет пользователям, которые принадлежат существующему объединению организаций, например, объединению SWITCHaai, входить под своими учетными данными объединения.
  7. Щелкните Далее.
  8. Если вы выбрали Один провайдер идентификации, выполните следующее:
    1. Введите имя организации.
    2. Выберите, как участники с учетными записямиSAML будут присоединяться к организации ArcGIS Online – автоматически или по приглашению. Автоматическое присоединение позволяет участникам присоединяться к организации при входе с указанием учетной записи SAML. С опцией приглашения вы создаете email-приглашения через ArcGIS Online, включающие инструкции по присоединению к организации. Если выбрано автоматическое присоединение, вы все равно имеете возможность приглашать участников присоединяться к организации или напрямую добавлять их с помощью их SAML ID.
    3. Предоставьте ArcGIS Online метаданные о вашем провайдере корпоративной идентификации, указав источник, который предоставит ArcGIS Online метаданные о провайдере корпоративной идентификации.

      Имеется три возможных источника этих метаданных:

      • URL-адрес – введите URL-адрес, который возвращает метаданные о IdP.
      • Файл – загрузите файл, который содержит метаданные о провайдере корпоративной идентификации.
      • Параметры, указанные здесь – введите метаданные провайдера корпоративной идентификации напрямую, предоставив следующие параметры:
        • URL учетной записи (Перенаправление) – Введите URL IdP (поддерживающее привязку перенаправления HTTP), который будет использоваться в ArcGIS Online для входа участника.
        • URL учетной записи (POST) – введите адрес URL IDP (поддерживающий привязку HTTP POST), который будет использоваться в ArcGIS Online для входа участника.
        • Сертификат – укажите сертификат провайдера идентификации в формате BASE 64. Это сертификат, который позволяет ArcGIS Online проверять цифровые подписи в ответах SAML, направляемых в него провайдером корпоративной идентификации.

      Примечание:

      Свяжитесь с администратором провайдера идентификации, если вам требуется помощь при определении источника метаданных.

  9. Если вы выбрали Объединение провайдеров идентификации, выполните следующее:
    1. Введите название вашего объединения.
    2. Выберите, как участники с учетными записямиSAML будут присоединяться к организации ArcGIS Online – автоматически или по приглашению. Автоматическое присоединение позволяет участникам присоединяться к организации при входе с указанием учетной записи SAML. С опцией приглашения вы создаете email-приглашения через ArcGIS Online, включающие инструкции по присоединению к организации. Если выбрано автоматическое присоединение, вы все равно имеете возможность приглашать участников присоединяться к организации или напрямую добавлять их с помощью их SAML ID.
    3. Введите URL в централизованный сервис Discovery IdP, размещенный в объединении – например, https://wayf.samplefederation.com/WAYF.
    4. Введите URL в метаданные объединения, где агрегированы всех метаданные IdP и SP, участвующих в объединении.
    5. Скопируйте и вставьте сертификат, закодированный в Base64, что позволяет организации проверить подлинность метаданных объединения.
  10. Щелкните Показать дополнительные настройки для следующих настроек, если они требуются:
    • Разрешить шифрование утверждений – включите эту опцию, чтобы показать IdP SAML, что ArcGIS Online поддерживает шифрованные ответы утверждений SAML. Если эта опция включена, то IdP зашифрует раздел утверждений для ответов SAML. Весь трафик SAML шифруется в обе стороны от ArcGIS Online при использовании HTTPS, эта опция добавляет дополнительный уровень шифрования.
      Примечание:

      У некоторых IdP по умолчанию не шифруются утверждения. Рекомендуется подтвердить у вашего администратора IdP, что включено шифрование утверждений.

    • Включить подписанный запрос — включите эту опцию для входа в ArcGIS Online запроса аутентификации SAML, отправляемого в IdP. Подпись исходного запроса аутентификации, отправленного ArcGIS Online, позволяет провайдеру идентификации проверять, все ли запросы аутентификации исходят от доверенного провайдера сервисов.
    • Произвести выход в провайдер идентификации – включите эту опцию, чтобы ArcGIS Online использовал URL-адрес выхода, чтобы выполнить выход пользователя из IdP. Введите используемый URL в поле URL-адрес выхода. Если IdP для выполнения входа требуется URL-адрес выхода, необходимо также отметить опцию Включить подписанный запрос. Если эта опция недоступна, то при нажатии Выйти в ArcGIS Online произойдет выход пользователя из ArcGIS Online, но не из провайдера идентификации. Если кэш веб-браузера пользователя не очищен, попытка немедленно выполнить вход обратно в ArcGIS Online, используя опцию SAML учетной записи, приведет к немедленному входу без необходимости предоставления учетных данных для провайдера идентификации SAML. Это уязвимость в системе безопасности, которая может быть использована при работе на компьютере, доступным неавторизованным пользователям или широкой публике.
    • Обновить профиль для входа — включите эту опцию, чтобы автоматически синхронизировать информацию учетной записи (полное имя и адрес электронной почты), которая хранится в профилях пользователей ArcGIS Online с последней информацией об учетной записи, полученной от провайдера идентификации. Включение этой опции позволяет вашей организации проверять в момент входа пользователя с учетной записью SAML, изменилась ли информация провайдера идентификации IdP с момента создания учетной записи. Если информация изменилась, то производится соответствующее обновление профиля учетной записи ArcGIS Online.
    • Включить участие в группе на основании SAML - выберите эту опцию, чтобы позволить пользователям организации связать основанные на SAML группы с группами ArcGIS Online в процессе создания группы. Если вы включили эту опцию, участники организации с правами связывания с группами SAML, получили возможность создания группы ArcGIS Online, участие в которой будет контролироваться группой SAML, управляемой внешним провайдером идентификации SAML. После того как группа будет успешно связана с внешней группой на основе SAML, участие каждого пользователя в группе определяется ответом утверждения SAML, полученным от провайдера идентификации при каждом входе этого пользователя.

      Чтобы убедиться, что группа ArcGIS Online успешно связана со внешней группой SAML, создатель группы должен ввести точное значение внешней группы SAML, возвращаемое, как значение атрибута подтверждения SAML. Посмотрите ответ подтверждения SAML от SAML IdP, чтобы определить значение, используемое для обозначения группы. Поддерживаемые имена, которые не чувствительны к регистру, для атрибута, определяющего участие пользователя в группе, следующие:

      • Group
      • Groups
      • Role
      • Roles
      • MemberOf
      • member-of
      • https://wso2.com/claims/role
      • http://schemas.xmlsoap.org/claims/Group
      • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
      • urn:oid:1.3.6.1.4.1.5923.1.5.1.1
      • urn:oid:2.16.840.1.113719.1.1.4.1.25

      Например, пользователь, выполняющий вход, является участником групп SAML FullTimeEmployees и GIS Faculty. В утверждении SAML, полученном от провайдера идентификации (IdP), как показано ниже, именем атрибута, содержащего информацию о группе, является MemberOf. В данном примере, чтобы создать группу, связанную с SAML группой GIS Faculty, создателю группы понадобится ввести GIS Faculty в качестве имени группы.

      <saml2p:Response>
        ...
        ...
        <saml2:Assertion>
            ...
            ...	  
            <saml2:AttributeStatement>
              ...
              ...	  
              <saml2:Attribute Name="MemberOf">
        	      <saml2:AttributeValue>FullTimeEmployees</saml2:AttributeValue>
      	      <saml2:AttributeValue>GIS Faculty</saml2:AttributeValue>
              </saml2:Attribute>	  
          </saml2:AttributeStatement>
        </saml2:Assertion>
      </saml2p:Response>

      Ниже приведен другой пример использования значений ID для идентификации групп:

      <saml2p:Response>
        ...
        ...
        <saml2:Assertion>
            ...
            ...	  
            <saml2:AttributeStatement>
              ...
              ...	  
              <saml2:Attribute Name="urn:oid:2.16.840.1.113719.1.1.4.1.25" FriendlyName="groups">
        	      <saml2:AttributeValue>GIDff63a68d51325b53153eeedd78cc498b</saml2:AttributeValue>
      	      <saml2:AttributeValue>GIDba5debd8d2f9bb7baf015af7b2c25440</saml2:AttributeValue>
              </saml2:Attribute>	  
          </saml2:AttributeStatement>
        </saml2:Assertion>
      </saml2p:Response>

    • URL выхода – если вы выбрали Один провайдер идентификации на предыдущем шаге, введите IdP URL и используйте его для выхода пользователя, который в данный момент выполнил вход. Если это свойство указано в файле метаданных провайдера идентификации, оно устанавливается автоматически.
    • ID объекта – обновите это значение, чтобы для уникальной идентификации организации ArcGIS Online с IdP SAML или интеграцией SAML использовался новый ID объекта.
  11. По завершении нажмите Сохранить.
  12. Чтобы завершить процесс настройки, установите доверительные отношения между сервисом обнаружения интеграции и провайдером идентификаций вашей организации, зарегистрировав в ней метаданные сервиса ArcGIS Online.
    Получить метаданные можно двумя способами:
    • Щелкните Загрузить метаданные провайдера сервиса, чтобы загрузить файл метаданных организации в организации.
    • Откройте URL файла метаданных и сохраните его как файл .xml на вашем компьютере. Вы можете просмотреть и скопировать URL в окне Редактирование входа SAML в разделе Ссылка на загрузку метаданных провайдера сервиса.

    Для доступа к инструкции о регистрации метаданных сервиса провайдера портала в сертифицированных провайдерах перейдите к разделу Провайдеры аутентификации SAML выше. Если вы выбрали Интегрирование провайдеров идентификации, после загрузки метаданных SP обратитесь к администраторам SAML за инструкциями по интеграции метаданных SP в файл агрегированных метаданных интеграции. Вам также потребуются инструкции от них для регистрации вашего IdP в интеграции.

Изменение или удаление провайдра идентификации SAML

Когда вы установите SAML IdP, вы cможете обновить его настройки, нажав Настройка логина рядом с зарегистрированным в данный момент провайдером идентификации SAML. Обновите настройки в окне Редактировать учетную запись SAML.

Чтобы удалить зарегистрированный в данный момент IdP, щелкните Настройка логина рядом с этим IdP, а затем нажмите Удалить учетную запись в окне Редактировать учетную запись SAML. После удаления IdP можно настроить новый IdP или объединение нескольких IdP, если это необходимо.

Рекомендации по SAML-безопасности

Чтобы включить учетные записи на базе SAML, вы можете настроить ArcGIS Online в качестве SP для вашего SAML IdP. Для обеспечения безопасности имейте в виду следующее.

В цифровой форме подписать запросы на вход и выход из SAML и подписать ответ подтверждения SAML

Подписи используются для обеспечения целостности сообщений SAML и защиты от атак типа человек посередине (MITM). Цифровая подпись запроса SAML также гарантирует, что запрос отправляется доверенным SP, что позволяет IDP лучше справляться с атаками типа «отказ в обслуживании» (DOS). Включите опцию Включить подписанный запрос в расширенных настройках при настройке учетных записей SAML.

Примечание:

  • Включение подписанных запросов требует обновления IdP всякий раз, когда сертификат подписи, используемый SP, обновляется или заменяется.
  • Включение подписанных запросов требует обновления SP (ArcGIS Online) всякий раз, когда сертификат подписи, используемый IdP, обновляется или заменяется.

Настройте IDP SAML для подписания ответа SAML, чтобы избежать изменения ответа подтверждения SAML при передаче.

Использование точки доступа HTTPS IdP

Любой обмен данными между SP, IdP и браузером пользователя, который отправляется по внутренней сети или через Интернет в незашифрованном формате, может быть перехвачен злоумышленниками. Если ваш SAML IdP поддерживает HTTPS, рекомендуется использовать конечную точку HTTPS для обеспечения конфиденциальности данных, передаваемых во время входа в систему SAML.

Шифрование ответа подтверждения SAML

Использование HTTPS для сообщения SAML защищает сообщения SAML, которые отправляются между SP и IDP. Однако вошедшие в систему пользователи могут декодировать и просматривать сообщения SAML через веб-браузер. Включение шифрования ответа на утверждение не позволяет пользователям просматривать конфиденциальную или конфиденциальную информацию, передаваемую между IdP и SP.

Примечание:

Включение зашифрованных утверждений требует обновления IDP при каждом обновлении или замене сертификата шифрования, используемого SP (ArcGIS Online).

Безопасное управление сертификатом подписи SAML IdP

Рекомендуется настроить SAML IdP на использование сертификата с надежным ключом шифрования для цифровой подписи ответа подтверждения SAML. Если сертификат SAML IdP обновится, вы должны немедленно обновить конфигурацию SAML организации ArcGIS Online с помощью нового сертификата, чтобы учетные записи SAML продолжали работать. Рекомендуется обновлять сертификат SAML IdP во время планового обслуживания вашей организации ArcGIS Online.

Примечание:

Сертификат, используемый для подписи запросов SAML и шифрования ответа на утверждение, управляется ArcGIS Online и обновляется ежегодно.

После получения нового сертификата IdP в формате BASE 64 от администратора SAML IdP выполните следующие действия, чтобы заменить сертификат для конфигурации учетной записи SAML организации:

  1. Получите последние метаданные SAML IdP у вашего администратора SAML IdP.
  2. Убедитесь, что вы вошли под учётной записью администратора или участника с пользовательской ролью, имеющей права управления настройками безопасности.
  3. Щелкните Организация вверху сайта, затем выберите вкладку Настройки.
  4. Щелкните Безопасность сбоку страницы.
  5. В разделе Учетные записи нажмите Настроить учетные записи рядом с переключателем Учетная запись SAML.
  6. В окне Редактировать учетную запись SAML щелкните Файл в разделе Источник метаданных для провайдера корпоративной аутентификации.
  7. Щелкните Выбрать файл и перейдите к новому файлу метаданных IdP, полученному от администратора SAML IdP, и выберите его.
  8. Щелкните Сохранить, чтобы обновить настройки учетных записей ArcGIS Online SAML для использования нового сертификата.