配置 NetIQ Access Manager

NetIQ Access ManagerSecurity Assertion Markup LanguageSAML)兼容身份提供者 (IDP)。 您可将 NetIQ Access Manager 3.2 及更高版本配置为 ArcGIS OnlineSAML 登录帐户的 IDP。 配置过程包含两个主要步骤:将 SAML IDP 注册到ArcGIS Online,将ArcGIS Online 注册到 SAML IDP。

注:

要确保安全配置 SAML 登录帐户,请参阅 SAML 安全性最佳实践

所需信息

当用户使用 SAML 登录帐户进行登录时,ArcGIS Online 需要从 IDP 处接收某些属性信息。 NameID 属性为强制属性,并且必须由您的 IDP 在 SAML 响应中发送,才能使 ArcGIS Online 的联合身份验证起作用。 由于 ArcGIS Online 使用 NameID 的值唯一标识指定用户,因此建议使用常量值来唯一标识用户。 IDP 中的用户登录时,ArcGIS Online 会在其用户存储中创建用户名为 NameID_<url_key_for_org> 的新用户。 NameID 发送的值中允许使用的字符包括字母数字、_(下划线)、.(点)和 @(at 符号)。 任何其他字符均会进行转义,从而在 ArcGIS Online 创建的用户名中包含下划线。

ArcGIS Online 支持用户的电子邮件地址、群组成员资格、名字以及姓氏从 SAML 身份提供者处流入。 建议您从 SAML IDP 的电子邮件地址进行传递,以便用户能够接收通知。 如果用户日后成为管理员,此操作将很有帮助。 帐户中存在电子邮件地址的用户拥有接收所有管理活动的相关通知以及向其他用户发送加入组织的邀请的权利。

NetIQ Access Manager 作为 SAML IDP 注册到 ArcGIS Online

  1. 确认您是否以组织管理员的身份登录。
  2. 单击站点顶部的组织,然后单击设置选项卡。
  3. 单击页面左侧的安全性
  4. 登录部分中,单击新建 SAML 登录帐户按钮,然后选择一位身份提供者选项。 在指定属性页面上,输入组织名称(例如,City of Redlands)。 当用户访问组织网站时,此文本将显示为 SAML 登录选项的一部分(例如,使用您的 City of Redlands 帐户)。
    注:

    选择一位标识提供者选项可为您的 ArcGIS Online 组织注册一个 SAML IDP。 要通过多个 IDP 对具有 SAML 登录帐户的用户进行身份验证,请注册基于 SAML 的联合,而非单个 IDP。

  5. 选择自动应管理员的邀请来指定用户加入组织的方式。 选择第一个选项允许用户通过其 SAML 登录帐户登录组织,而不会受到管理员的任何干预;首次登录时,用户的帐户即会自动注册到该组织。 第二个选项需要管理员邀请必要的用户加入该组织。 当用户接收到邀请时,他们可以登录到组织。
  6. 要为 IDP 提供元数据信息,可选择以下三个选项之一:
    • URL - 如果 NetIQ Access Manager 联合身份验证元数据的 URL 可供ArcGIS Online 访问,请选择此选项。 URL 通常是运行 NetIQ Access Manager 的计算机上的 https://<host>:<port>/nidp/saml2/metadata
    • 文件 - 如果 ArcGIS Online 无法访问 URL,请选择此选项。 从以上 URL 获取元数据,将其保存为 XML 文件,然后上传文件。
    • 此处指定的参数 - 如果 URL 或联合身份验证元数据文件无法访问,请选择此选项。 手动输入值并提供所需参数:以 BASE 64 格式编码的登录 URL 和证书。 请联系 NetIQ Access Manager 管理员获取这些参数。
  7. 配置适用的高级设置:
    • 加密声明 - 如果 NetIQ Access Manager 将配置为加密 SAML 声明响应,请启用此选项。
    • 启用签名请求 - 启用此选项可使 ArcGIS Online 对发送至 SAMLNetIQ Access Manager 身份验证请求进行签名。
    • 向身份提供者传递注销 - 启用此选项可使 ArcGIS Online 使用注销 URL 将用户从 Net IQ Access Manager 中注销。 输入将在注销 URL 设置中使用的 URL。 如果 IDP 需要对注销 URL 签名,则需打开启用签名请求
    • 登录时更新个人资料 - 选择此选项可自动将储存在 ArcGIS Online 用户个人资料中的帐户信息(全称和电子邮件地址)与从 IDP 接收的最新帐户信息进行同步。 启用此选项后,您的组织可以验证用户何时以 SAML 登录帐户登录,IDP 信息自创建帐户起是否已发生更改,以及若已更改,则可相应更新用户的 ArcGIS Online 帐户个人资料。
    • 启用基于 SAML 的群组成员资格 - 启用此选项允许组织成员在群组创建过程中将指定基于 SAML 的群组链接到 ArcGIS Online 群组。
    • 注销 URL - 用于注销当前登录用户 IDP URL。 如果在 IDP 的元数据文件中定义此值,则会自动填充此值。 您可以根据需要更新此 URL。
    • 实体 ID - 可更新此值以使用新的实体 ID,以便将您的 ArcGIS Online 组织唯一识别到 NetIQ Access Manager。
  8. 单击保存

ArcGIS Online 作为受信任的服务提供者注册到 NetIQ Access Manager

  1. 配置属性集。

    按照下列步骤创建新属性集,以便在验证用户身份后可将这些属性作为 ArcGIS Online 声明的一部分发送到 SAML。 如果已在 NetIQ Access Manager 中配置现有属性集,也可使用该属性集。

    1. 登录到 NetIQ Access Manager 管理控制台。 通常在 https://<host>:<port>/nps 上提供。
    2. 浏览到 NetIQ 管理控制台中的 Identity Server 并单击共享设置选项卡。 在属性集下,可看到已创建的所有属性集。 单击新建,创建新属性集。 集名称中输入 ArcGISOnline,然后单击下一步

      创建属性集

    3. 定义属性映射,并将其添加到在先前步骤中创建的属性集。

    单击新建链接,添加任一新属性映射。 下方的屏幕截图显示的是添加 givenNameemail addressuid 的属性映射。 可从身份验证源而非这些示例中选择任何属性。

    givenName 属性
    email 属性
    uid 属性

    创建属性集向导中单击完成这将创建名为 ArcGISOnline 的新属性集。

  2. 按照下列步骤将 ArcGIS Online 作为 NetIQ Access Manager 的受信任提供者添加。
    1. 登录到 NetIQ 管理控制台、选择 Identity Server 并单击编辑链接。
      管理控制台

      常规选项卡打开。

    2. 单击 SAML 2.0 选项卡,然后单击新建 > 服务提供者

      可在服务提供者窗口中将 ArcGIS Online 添加为 NetIQ Access Manager 的受信任服务提供者。

    3. 创建受信任服务提供者向导中,单击元数据文本作为,然后将 ArcGIS Online 组织的元数据粘贴到文本框中。

      要获取 ArcGIS Online 组织的元数据,请以管理员身份登录到组织,然后依次单击设置选项卡和页面左侧的安全性登录部分的 SAML 登录帐户下,单击下载服务提供者元数据按钮,为组织下载元数据文件。

      创建受信任服务提供者

      单击下一步,然后单击完成,完成受信任服务提供者的添加。

      受信任提供者
  3. 按照下列步骤对 ArcGIS Online 以及 NetIQ Access Manager 联合属性进行配置。
    1. SAML 2.0 选项卡中,单击服务提供者下的服务提供者链接。(例如,在上述屏幕截图中,链接名为 ArcGISOnlineSAMLTest。)配置选项卡随即打开。 单击元数据选项卡并验证 ArcGIS OnlineArcGIS Online 组织的元数据是否正确。
    2. 单击配置选项卡,返回至配置的信任部分。 如果您在将 NetIQ Access Manager 作为 SAML IDP 注册到 ArcGIS Online 时选择了高级设置加密声明,则请选择加密声明选项。
    3. 单击属性选项卡。

      在此步骤中,添加之前所创建的集中的属性映射,这样 NetIQ Access Manager 便可在 SAML 声明中将属性发送至 ArcGIS Online

      选择上述步骤 2.1 中所定义的属性集。 选择属性集后,在集中定义的属性将显示在可用框中。 将 givenNameemail 属性移动至通过身份验证发送框。

      属性集
    4. 单击服务提供者的配置选项卡下的身份验证响应选项卡,然后对身份验证响应进行设置。

      单击绑定下拉菜单中的提交

      名称标识符列中,选中未指定旁边的复选框。

      默认值列中,选中未指定旁边的单选按钮。

      列中,选择 Ldap 属性 uid

      注:

      通过作为 NameID 发送的身份验证源,可对属性集中的任何其他唯一属性进行配置。 此参数的值将用作组织中的用户名。

      单击应用验证页面是否与下方的屏幕截图一致。

      身份验证响应
    5. 单击配置下的选项选项卡并选择用户身份验证合约(例如,用户名/密码 - 表格),然后单击应用

      配置选项

  4. 浏览到 Identity Server 并单击更新全部链接,以便重新启动 NetIQ Access Manager

    重新启动 NetIQ