配置 Google Workspace

Google Workspace(以前称为 G Suite)是 Security Assertion Markup Language (SAML) 兼容身份提供者 (IDP)。 可将其配置为 SAMLArcGIS Online 登录帐户的 IDP。 配置过程包含两个主要步骤:将 SAML IDP 注册到 ArcGIS Online,将 ArcGIS Online 注册到 SAML IDP。

注:

要确保安全配置 SAML 登录帐户,请参阅 SAML 安全性最佳实践

所需信息

当用户使用 SAML 登录帐户进行登录时,ArcGIS Online 需要从 IDP 处接收某些属性信息。 NameID 属性为强制属性,并且必须由您的 IDP 在 SAML 响应中发送,才能使 ArcGIS Online 的联合身份验证起作用。 由于 ArcGIS Online 使用 NameID 的值唯一标识指定用户,因此建议使用常量值来唯一标识用户。 IDP 中的用户登录时,ArcGIS Online 会在其用户存储中创建用户名为 NameID_<url_key_for_org> 的新用户。 NameID 发送的值中允许使用的字符包括字母数字、_(下划线)、.(点)和 @(at 符号)。 任何其他字符均会进行转义,从而在 ArcGIS Online 创建的用户名中包含下划线。

ArcGIS Online 支持用户的电子邮件地址、群组成员资格、名字以及姓氏从 SAML 身份提供者处流入。 建议您从 SAML IDP 的电子邮件地址进行传递,以便用户能够接收通知。 如果用户日后成为管理员,此操作将很有帮助。 帐户中存在电子邮件地址的用户拥有接收所有管理活动的相关通知以及向其他用户发送加入组织的邀请的权利。

配置 SAML 登录帐户

注:

对于 Google 订阅,以下步骤需要具有超级管理员权限的 Google Workspace 帐户。

  1. 登录到您的 Google 管理控制台 (https://admin.google.com) 以访问管理员仪表盘。
  2. 在管理控制台主页上,转至应用程序
    注:

    要在主页上查看应用程序,您可能需要单击底部的更多控件。 您也可以使用主菜单来访问应用程序

  3. 单击 SAML 应用程序,然后单击底角的加号 (+) 按钮。
  4. 在随即出现的窗口中,单击设置我自己的自定义应用程序
  5. Google IdP 信息窗口中,针对选项 2,单击下载以下载 IDP 元数据。 将此文件保存到本地存储上的某个位置。
  6. 单击下一步
  7. 打开新浏览器窗口并转到 ArcGIS Online
  8. 确认您是否以组织管理员的身份登录。
  9. 单击站点顶部的组织,然后单击设置选项卡。
  10. 单击页面左侧的安全性
  11. 登录部分的 SAML 登录帐户下,单击设置 SAML 登录帐户按钮,然后选择一位身份提供者选项。 在出现的窗口中输入组织名称(例如,City of Redlands)。 当用户访问组织网站时,此文本将显示为 SAML 登录选项的一部分(例如,使用您的 City of Redlands 帐户)。
  12. 选择自动应管理员的邀请来指定用户加入组织的方式。 选择第一个选项允许用户通过其 SAML 登录帐户登录组织,而不会受到管理员的任何干预;首次登录时,用户的帐户即会自动注册到该组织。 第二个选项需要管理员邀请必要的用户加入该组织。 当用户接收到邀请时,他们可以登录到组织。
  13. 通过选择文件选项,为 IDP 提供元数据信息。 使用您之前下载的 IDP 元数据文件。
  14. 保留高级设置不变并单击保存
  15. 单击下载服务提供者元数据,然后将服务提供者元数据保存在本地。

    该文件中的信息将用于将组织作为受信任服务提供者注册到 Google Workspace

  16. 在文本编辑器(比如记事本)中打开该文件。
  17. 返回到 Google 管理控制台的浏览器窗口。 在自定义应用程序的基本信息窗口中,为您的应用程序输入名称并单击下一步
  18. 服务提供者详细信息窗口中,使用组织的元数据文件中的内容完成以下参数:
    1. 对于 ACS URL,复制 AssertionConsumerService 元素的值。

      示例:https://[org name].maps.arcgis.com/sharing/rest/oauth2/saml/signin

    2. 对于实体 ID,复制 entityID 属性的值。

      示例:[org name].maps.arcgis.com

    3. 对于启动 URL,复制 OrganizationURL 属性的值。

      示例:https://[org name].maps.arcgis.com

    4. 名称 ID 保留为基本信息主要电子邮件(或者 Google Workspace 订阅使用的另一个唯一属性)。
    5. 名称 ID 格式保留为未指定
  19. 单击下一步
  20. 属性映射窗口中,输入 givenName,选择基本信息,然后选择名字
  21. 属性映射窗口中,输入 surName,选择基本信息,然后选择姓氏
  22. 单击完成以完成配置。
  23. 单击编辑服务。 对于服务状态,选择对所有人启用并单击保存