配置 Active Directory Federation Services

Active Directory Federation Services (AD FS)Security Assertion Markup LanguageSAML)兼容身份提供者 (IDP)。 您可以在 Microsoft Windows Server 操作系统中将其配置为 ArcGIS OnlineArcGIS Online 中 SAML 登录帐户的 IDP。 配置过程包含两个主要步骤:将 SAML IDP 注册到ArcGIS Online,将 ArcGIS Online 注册到 SAML IDP。

注:

要确保安全配置 SAML 登录帐户,请参阅 SAML 安全性最佳实践

所需信息

当用户使用 SAML 登录帐户进行登录时,ArcGIS Online 需要从 IDP 处接收某些属性信息。 NameID 属性为强制属性,并且必须由您的 IDP 在 SAML 响应中发送,才能使 ArcGIS Online 的联合身份验证起作用。 由于 ArcGIS Online 使用 NameID 的值唯一标识指定用户,因此建议使用常量值来唯一标识用户。 IDP 中的用户登录时,ArcGIS Online 会在其用户存储中创建用户名为 NameID_<url_key_for_org> 的新用户。 NameID 发送的值中允许使用的字符包括字母数字、_(下划线)、.(点)和 @(at 符号)。 任何其他字符均会进行转义,从而在 ArcGIS Online 创建的用户名中包含下划线。

ArcGIS Online 支持用户的电子邮件地址、群组成员资格、名字以及姓氏从 SAML 身份提供者处流入。 建议您从 SAML IDP 的电子邮件地址进行传递,以便用户能够接收通知。 如果用户日后成为管理员,此操作将很有帮助。 帐户中存在电子邮件地址的用户拥有接收所有管理活动的相关通知以及向其他用户发送加入组织的邀请的权利。

AD FS 作为 SAML IDP 注册到 ArcGIS Online

  1. 确认您是否以组织管理员的身份登录。
  2. 单击站点顶部的组织,然后单击设置选项卡。
  3. 单击页面左侧的安全性
  4. 登录部分中,单击新建 SAML 登录帐户按钮,然后选择一位身份提供者选项。 在指定属性页面上,输入组织名称(例如,City of Redlands)。 当用户访问组织网站时,此文本将显示为 SAML 登录选项的一部分(例如,使用您的 City of Redlands 帐户)。
    注:

    选择一位标识提供者选项可为您的 ArcGIS Online 组织注册一个 SAML IDP。 要通过多个 IDP 对具有 SAML 登录帐户的用户进行身份验证,请注册基于 SAML 的联合,而非单个 IDP。

  5. 选择自动应管理员的邀请来指定用户加入组织的方式。 选择第一个选项允许用户通过其 SAML 登录帐户登录组织,而不会受到管理员的任何干预;首次登录时,用户的帐户即会自动注册到该组织。 第二个选项需要管理员邀请必要的用户加入该组织。 当用户接收到邀请时,他们可以登录到组织。
  6. 要为 IDP 提供元数据信息,可选择以下选项之一:
    • URL - 如果 AD FS 联合身份验证元数据的 URL 可供访问,请选择此选项并输入 URL(例如 https://<adfs-server>/federationmetadata/2007-06/federationmetadata.xml)。
    • 文件 - 如果无法访问 URL,请选择此选项。 从 AD FS 下载或获取联合身份验证元数据文件的副本,并使用文件选项将该文件上传至 ArcGIS Online
    • 此处指定的参数 - 如果 URL 或联合身份验证元数据文件无法访问,请选择此选项。 手动输入值并提供所需参数:以 BASE 64 格式编码的登录 URL 和证书。 请联系 AD FS 管理员获取这些参数。
  7. 配置适用的高级设置:
    • 加密声明 - 启用此选项可对 AD FS SAML 声明响应进行加密。
    • 启用签名请求 - 启用此选项可使 ArcGIS Online 对发送至 SAMLAD FS 身份验证请求进行签名。
    • 向身份提供者传递注销 - 启用此选项可使 ArcGIS Online 使用注销 URL 注销 AD FS 中的用户。 输入将在注销 URL 设置中使用的 URL。 如果 IDP 需要对注销 URL 签名,则需打开启用签名请求
      注:

      默认情况下,AD FS 需要使用 SHA-256 签名的注销请求,所以您必须启用启用签名请求切换按钮并选择使用 SHA256 签名

    • 登录时更新个人资料 - 选择此选项可自动将储存在 ArcGIS Online 用户个人资料中的帐户信息(全称和电子邮件地址)与从 IDP 接收的最新帐户信息进行同步。 启用此选项后,您的组织可以验证用户何时以 SAML 登录帐户登录,IDP 信息自创建帐户起是否已发生更改,以及若已更改,则可相应更新用户的 ArcGIS Online 帐户个人资料。
    • 启用基于 SAML 的群组成员资格 - 启用此选项允许组织成员在群组创建过程中将指定基于 SAML 的群组链接到 ArcGIS Online 群组。
    • 注销 URL - 用于注销当前登录用户的 IDP URL。
    • 实体 ID - 可更新此值以使用新的实体 ID,以便将您的 ArcGIS Online 组织唯一识别到 AD FS
  8. 单击保存

ArcGIS Online 作为受信任的服务提供者注册到 AD FS

  1. 打开 AD FS 管理控制台。
  2. 选择依赖方信任 > 添加依赖方信任
  3. 添加依赖方信任向导中,单击开始按钮。
  4. 对于选择数据源,可选择以下选项之一以获取依赖方相关数据:从 URL 导入、从文件导入或手动输入。

    URL 和文件选项要求您从组织中获取元数据。 如果您无权访问元数据 URL 或文件,可以手动输入信息。 在某些情况下,手动输入数据可能是最轻松的选择。

    • 导入在线发布或在本地网络上发布的依赖方相关数据

      此选项使用 ArcGIS Online 组织的 URL 元数据。 URL 为 https://<url_key_for_org>.maps.arcgis.com/sharing/rest/portals/self/sp/metadata?token=<token>,例如 https://samltest.maps.arcgis.com/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY

      使用 https://www.arcgis.com/sharing/rest/generateToken 生成令牌。 您必须通过编程方式使用 HTTPS POST 以 JSON 输出格式生成令牌。 有关详细信息,请参阅 ArcGIS REST API

    • 从文件导入依赖方相关数据

      此选项使用 ArcGIS Online 组织中的 metadata.xml 文件。 可通过两种方式获得元数据 .xml 文件:

      • 在组织页面上,单击设置选项卡,然后单击页面左侧的安全性。 在登录部分的 SAML 登录帐户下,单击下载服务提供者元数据按钮,为组织下载元数据文件。
      • 打开元数据文件的 URL,并在您的计算机上将其另存为 .xml 文件。 您可以在编辑 SAML 登录帐户窗口的用于下载服务提供者元数据的链接下查看和复制 URL。
    • 手动输入依赖方相关数据

      如果选择此选项,添加依赖方信任向导将显示用于手动输入数据的附加窗口。 下面的步骤 6 到 8 中对此进行了描述。

  5. 指定显示名称中输入显示名称。

    显示名称用于标识 AD FS 中的依赖方。 除此之外,没有任何意义。 将其设置为 ArcGIS 或 ArcGIS 中组织的名称,例如 ArcGIS—SamlTest

    提示:

    如果您选择从 URL 或文件导入数据源,则继续执行步骤 9

  6. (仅限手动数据源)对于选择配置文件,请选择适用于您的环境的 AD FS 配置文件。
  7. (仅限手动输入数据源)对于配置 URL,请选中启用对 SAML 2.0 WebSSO 协议的支持复选框,并输入依赖方 SAML 2.0 SSO 服务的 URL。

    依赖方 URL 必须为 AD FS 在验证用户后发送 SAML 响应的 URL。 这必须是 HTTPS URL:https://<url_key_for_org>.maps.arcgis.com/sharing/rest/oauth2/saml/signin

  8. (仅限手动输入数据源)对于配置标识符,输入依赖方信任标识符的 URL。

    这必须是 <url_key_for_org>.maps.arcgis.com

  9. 对于选择发放授权规则,选择允许所有用户访问此依赖方
  10. 对于准备添加信任,检查依赖方的所有设置。

    仅在选择从 URL 导入数据源时,才会填充元数据 URL。

    提示:

    如果启用了监控依赖方选项,AD FS 将定期检查联合身份验证元数据 URL,并将其与依赖方信任的当前状态进行比较。 但是,一旦联合身份验证元数据 URL 中的令牌过期,监控将失败。 失败将记录在 AD FS 事件日志中。 要抑制这些消息,建议您禁用监控或更新令牌。

  11. 单击下一步
  12. 对于完成,选中单击关闭按钮后自动打开编辑声明规则对话框的复选框。
  13. 要设置声明规则,请打开编辑声明规则向导,然后单击添加规则
  14. 对于选择规则模板步骤,为要创建的声明规则选择以声明形式发送 LDAP 属性模板。 单击下一步
  15. 为了配置声明规则步骤,请按照以下说明编辑声明规则。
    1. 对于声明规则名称,提供规则名称,例如 DefaultClaims
    2. 属性存储中,选择 Active Directory
    3. 对于 LDAP 属性到外向声明类型的映射,请从下拉菜单中选择值,以指定 LDAP 属性如何映射到从规则发出的外向声明类型。

      请使用下表作为指导:

      LDAP 属性外向声明类型

      包含唯一用户名的 LDAP 属性(例如 User-Principal-NameSAM-Account-Name

      名称 ID

      名字

      给定名称

      姓氏

      姓氏

      电子邮件地址

      电子邮件地址

      令牌群组 - 未限定名称

      群组

    配置规则 - DefaultClaims

    警告:

    如果手动输入值而非从下拉菜单中选择值,则会创建用户定义的属性,并可能导致错误。 为了获得最佳结果,请使用下拉菜单指定值。

    通过此声明,AD FS 会在对用户进行身份验证后将名称为 givennamesurnameemailgroup membership 的属性发送至 ArcGIS Online。 然后,ArcGIS Online 将使用 givennamesurnameemail 属性中接收的值,并填充用户帐户的名字、姓氏和电子邮件地址。 群组属性中的值用于更新用户的群组成员资格。

    注:

    如果您在将 AD FS 注册为 SAML IDP 时选择了启用基于 SAML 的群组成员资格选项,每次用户成功登录后,都会从身份提供者处收到的 SAML 声明响应中获取每个用户的成员资格。 有关链接 SAML 群组的详细信息,请参阅创建群组

  16. 单击完成,结束将 AD FS IDP 配置为将 ArcGIS Online 作为依赖方包括在内的流程。