配置 SimpleSAMLphp

SimpleSAMLphpSecurity Assertion Markup LanguageSAML)兼容身份提供者 (IDP)。 您可将 SimpleSAMLphp 1.10 及更高版本配置为 ArcGIS OnlineSAML 登录帐户的 IDP。 配置过程包含两个主要步骤:将 SAML IDP 注册到 ArcGIS Online,将 ArcGIS Online 注册到 SAML IDP。

注:

要确保安全配置 SAML 登录帐户,请参阅 SAML 安全性最佳实践

所需信息

当用户使用 SAML 登录帐户进行登录时,ArcGIS Online 需要从 IDP 处接收某些属性信息。 NameID 属性为强制属性,并且必须由您的 IDP 在 SAML 响应中发送,才能使 ArcGIS Online 的联合身份验证起作用。 由于 ArcGIS Online 使用 NameID 的值唯一标识指定用户,因此建议使用常量值来唯一标识用户。 IDP 中的用户登录时,ArcGIS Online 会在其用户存储中创建用户名为 NameID_<url_key_for_org> 的新用户。 NameID 发送的值中允许使用的字符包括字母数字、_(下划线)、.(点)和 @(at 符号)。 任何其他字符均会进行转义,从而在 ArcGIS Online 创建的用户名中包含下划线。

ArcGIS Online 支持用户的电子邮件地址、群组成员资格、名字以及姓氏从 SAML 身份提供者处流入。 建议您从 SAML IDP 的电子邮件地址进行传递,以便用户能够接收通知。 如果用户日后成为管理员,此操作将很有帮助。 帐户中存在电子邮件地址的用户拥有接收所有管理活动的相关通知以及向其他用户发送加入组织的邀请的权利。

SimpleSAMLphp 作为 SAML IDP 注册到 ArcGIS Online

  1. SimpleSAMLphp IdP 中配置身份验证源。
    1. 创建身份验证源。

      SimpleSAMLphp 支持对来自各种身份验证源的用户进行身份验证,如 LDAP 服务器、SQL Server 中的用户、Active Directory 域等。 以下示例显示了如何在 SimpleSAMLphp IdP 中将 Apache Directory Server 配置为身份验证源。

      可在 <SimpleSAML_HOME>/config/authsources.php 文件中对身份验证源进行配置。 要配置 LDAP 服务器,请打开 config/authsources.php 文件并以如下格式添加基于 LDAP 的身份验证源:

      'example-ldapApacheDS' => array(
      		'ldap:LDAP',
      
      		/* The hostname of the LDAP server. */
      		'hostname' => 'host:port',
      
      		/* Whether TLS should be used when contacting the LDAP server. */
      		'enable_tls' => TRUE,
      
      		/*
      		 * Which attributes should be retrieved from the LDAP server.
      		 * This can be an array of attribute names, or NULL, in which case
      		 * all attributes are fetched.
      		 */
      		'attributes' => NULL,
      
      		/*
      		 * The pattern that should be used to create the users DN given the username.
      		 * %username% in this pattern will be replaced with the user's username.
      		 *
      		 * This option is not used if the search.enable option is set to TRUE.
      		 */
      		'dnpattern' => 'uid=%username%,ou=users,ou=system',
      
      		/*
      		 * As an alternative to specifying a pattern for the users DN, it is possible to
      		 * search for the username in a set of attributes. This is enabled by this option.
      		 */
      		'search.enable' => FALSE,
      
      		/*
      		 * The DN that will be used as a base for the search.
      		 * This can be a single string, in which case only that DN is searched, or an
      		 * array of strings, in which case they will be searched in the order given.
      		 */
      		'search.base' => 'ou=users,ou=system',
      
      		/*
      		 * The attribute(s) the username should match against.
      		 *
      		 * This is an array with one or more attribute names. Any of the attributes in
      		 * the array may match the value the username.
      		 */
      		'search.attributes' => array('uid', 'mail'),
      
      		/*
      		 * The username & password the simpleSAMLphp should bind to before searching. If
      		 * this is left as NULL, no bind will be performed before searching.
      		 */
      		'search.username' => 'uid=admin,ou=system',
      		'search.password' => 'password',
      	),
    2. 将上面创建的身份验证源配置为 SimpleSAMLphp IdP 中的身份验证模块。 打开 metadata/ saml20-idp-hosted.php 文件并添加要使用的身份验证源。
      /*
      	 * Authentication source to use. Must be one that is configured in
      	 * 'config/authsources.php'.
      	 */
      	'auth' => 'example-ldapApacheDS',
  2. 配置 SimpleSAMLphp IDP 支持的名称标识符格式。 打开 < SimpleSAML_HOME >/metadata/saml20-idp-hosted.php 文件并添加以下片段。 在以下示例中,SimpleSAMLphp IDP 在对用户进行身份验证后将 uid 作为 NameID 传递给 ArcGIS Online
    'NameIDFormat' => 'urn:oasis:names:tc:SAML:2.0:nameid-format:persistent',
    		'authproc' => array(
    
    			  3 => array(
    
    			  'class' => 'saml:AttributeNameID',
    			  'attribute' => 'uid',
    	              'Format' => 'urn:oasis:names:tc:SAML:2.0:nameid-format:persistent',
    				  ),
    			),
  3. SimpleSAMLphp 注册为 ArcGIS Online 组织的 IDP。
    1. 确认您是否以组织管理员的身份登录。
    2. 单击站点顶部的组织,然后单击设置选项卡。
    3. 单击页面左侧的安全性
    4. 登录部分中,单击新建 SAML 登录帐户按钮,然后选择一位身份提供者选项。 在指定属性页面上,输入组织名称(例如,City of Redlands)。 当用户访问组织网站时,此文本将显示为 SAML 登录选项的一部分(例如,使用您的 City of Redlands 帐户)。
      注:

      选择一位标识提供者选项可为您的 ArcGIS Online 组织注册一个 SAML IDP。 要通过多个 IDP 对具有 SAML 登录帐户的用户进行身份验证,请注册基于 SAML 的联合,而非单个 IDP。

    5. 选择用户能够自动加入该组织还是应管理员的邀请才能加入该组织。 选择第一个选项允许用户通过其 SAML 登录帐户登录组织,而不会受到管理员的任何干预;首次登录时,用户的帐户即会自动注册到该组织。 第二个选项需要管理员邀请必要的用户加入该组织。 用户收到邀请后,即可登录该组织。
    6. 要为 IDP 提供元数据信息,可选择以下三个选项之一:

      URL - 如果 SimpleSAMLphp 联合身份验证元数据的 URL 可供访问,请选择此选项。 通常为 https://<simpleSAML-server>/<saml-app-name>/saml2/idp/metadata.php

      文件 - 如果无法访问 URL,请选择此选项。 将元数据从 URL 保存为 XML 文件,并使用文件选项将此文件上传至 ArcGIS Online

      此处指定的参数 - 如果 URL 或联合身份验证元数据文件无法访问,请选择此选项。 手动输入值并提供所需参数:以 BASE 64 格式编码的登录 URL 和证书。 请联系 SimpleSAMLphp 管理员获取这些参数。

  4. 配置适用的高级设置:
    • 加密声明 - 如果 SimpleSAMLphp 将配置为加密 SAML 声明响应,请启用此选项。
    • 启用签名请求 - 启用此选项可使 ArcGIS Online 对发送至 SAMLSimpleSAMLphp 身份验证请求进行签名。
    • 实体 ID - 可更新此值以使用新的实体 ID,以便将您的 ArcGIS Online 组织唯一识别到 SimpleSAMLphp
    • 向身份提供者传递注销 - 启用此选项可使 ArcGIS Online 使用注销 URL 注销 SimpleSAMLphp 中的用户。 输入将在注销 URL 设置中使用的 URL。 如果 IDP 需要对注销 URL 签名,则需打开启用签名请求
    • 登录时更新个人资料 - 选择此选项可自动将储存在 ArcGIS Online 用户个人资料中的帐户信息(全称和电子邮件地址)与从 IDP 接收的最新帐户信息进行同步。 启用此选项后,您的组织可以验证用户何时以 SAML 登录帐户登录,IDP 信息自创建帐户起是否已发生更改,以及若已更改,则可相应更新用户的 ArcGIS Online 帐户个人资料。
    • 启用基于 SAML 的群组成员资格 - 启用此选项允许组织成员在群组创建过程中将指定基于 SAML 的群组链接到 ArcGIS Online 群组。
    • 注销 URL - 用于注销当前登录用户 IDP URL。 注销 URL 通常是 https://idphost.domain.com/simplesaml/saml2/idp/SingleLogoutService.php。 此 URL 在 IDP 元数据文件的 SingleLogoutService 元素中进行定义。 元数据文件 URL 通常是 https://[simpleSAML-server]/simplesaml/saml2/idp/metadata.php
  5. 单击保存

ArcGIS Online 作为受信任的服务提供者注册到 SimpleSAMLphp

  1. 通过配置 <SimpleSAMLphp_HOME>/metatadata/saml20-sp-remote.php 文件,使用 SimpleSAMLphpArcGIS Online 配置为受信任的服务提供者。
    1. 获取 ArcGIS Online 组织的元数据 XML 文件。

      要获取元数据文件,请以组织管理员身份登录,并打开组织页面。 单击设置选项卡,然后单击页面左侧的安全性。 在登录部分的 SAML 登录帐户下,单击下载服务提供者元数据按钮。

    2. 将在先前子步骤中获得的 XML 文件转换为 PHP 格式。

      SimpleSAMLphp 要求以 PHP 格式提供服务提供者的元数据信息。 SimpleSAMLphp 提供了一个从 XML 到 PHP 的内置元数据转换器,默认情况下此转换器可作为 SimpleSAMLphp 安装中的 https://<simpleSAML-server>/<saml-app-name>/admin/metadata-converter.php 提供。 使用转换器将 XML 转换为 PHP。

    3. 打开 metatadata/saml20-sp-remote.php 文件,并添加在上述步骤 1.b 中以 PHP 格式创建的服务提供者配置。

      以下示例是在元数据文件中添加的服务提供者配置。

      /* The following is an ArcGIS Online organization service provider */
      $metadata['citygis.maps.arcgis.com'] = array (
        'entityid' => ' citygis.maps.arcgis.com',
        'name' =>
        array (
          'en' => 'citygis ',
        ),
        'description' =>
        array (
          'en' => 'citygis ',
        ),
        'OrganizationName' =>
        array (
          'en' => 'citygis ',
        ),
        'OrganizationDisplayName' =>
        array (
          'en' => 'citygis ',
        ),
        'url' =>
        array (
          'en' => 'https://citygis.maps.arcgis.com',
        ),
        'OrganizationURL' =>
        array (
          'en' => 'https://citygis.maps.arcgis.com',
        ),
        'contacts' =>
        array (
        ),
        'metadata-set' => 'saml20-sp-remote',
        'AssertionConsumerService' =>
        array (
          0 =>
          array (
            'Binding' => 'urn:oasis:names:tc:SAML:2.0:bindings:HTTPS-POST',
            'Location' => 'https://citygis.maps.arcgis.com/sharing/rest/oauth2/saml/signin',
            'index' => 1,
          ),
          1 =>
          array (
            'Binding' => 'urn:oasis:names:tc:SAML:2.0:bindings:HTTPS-Redirect',
            'Location' => 'https://citygis.maps.arcgis.com/sharing/rest/oauth2/saml/signin',
            'index' => 2,
          ),
        ),
        'SingleLogoutService' =>
        array (
        ),
      );
  2. 对验证用户身份之后作为 NameIDSimpleSAMLphp IdP 传递到 ArcGIS Online 的属性进行配置。 要执行此操作,在上一步中添加的服务提供者配置的末尾添加属性。

    在以下示例中,SimpleSAMLphp IdP 在对用户进行身份验证后将 uid 作为 NameID 传递给 ArcGIS Online。 (将 citygis.maps.arcgis.com 替换为组织的 URL。)

    'NameIDFormat'               => 'urn:oasis:names:tc:SAML:2.0:nameid-format:persistent',
    'simplesaml.nameidattribute' => 'uid',
    
    /* The following indicates whether or not to send all the attributes received from the authentication source to the service provider.
      If true, it will send, otherwise it will not send all the attributes*/
    
      'simplesaml.attributes'      => true,
    );
  3. 如果您在将 SimpleSAMLphp 作为 SAML IDP 进行注册时选择了高级设置加密声明,请将以下属性添加到您在步骤 1 中添加的服务提供者配置的末尾。
    /*
      Whether assertions sent to this SP should be encrypted. The default value is FALSE.
      */
      'assertion.encryption' => true,
    );