设置 SAML 登录账户

配置 SAML 登录账户(之前称为企业级登录账户)等组织特定登录账户后,组织成员可以通过访问组织内部系统时所用的相同登录账户登录到 ArcGIS Online。 使用此方法设置组织特定登录账户的优势在于:成员无需在 ArcGIS Online 系统内创建其他登录账户;而是可使用已在组织中设置的登录账户。 当成员登录到 ArcGIS Online 时,可直接向组织的登录账户管理器(也称组织身份提供者 (IdP))提供其组织特定的用户名和密码。 验证成员的凭据之后,IdP 将通知 ArcGIS Online 正在登录的成员的验证身份。

ArcGIS Online 支持使用 SAML 2.0 配置 SAML 登录账户。 SAML 是一种在 IdP(您的组织)与服务提供者 (SP) 之间交换身份验证和授权数据时提供安全保护的开放标准。 在这种情况下,ArcGIS Online 符合 SAML 2.0 协议,并与支持 SAML 2.0 的 IdP 集成(例如 Active Directory Federation Services (AD FS)Google WorkspaceOkta)。

可以ArcGIS Online 登录页面配置为仅显示 SAML 登录账户,或同时显示 SAML 登录账户和以下任意选项:ArcGIS 登录账户、OpenID Connect 登录账户(如果已配置)和社交登录账户(如果已配置)。

要确保安全配置 SAML 登录账户,请参阅 SAML 安全性最佳实践

在大多数情况下,组织使用单一 IdP 设置其 SAML 登录账户。 该 IdP 会对访问托管于多个服务提供者的受保护资源的用户进行身份验证。 IdP 和所有服务提供者都由同一个组织进行管理。

注:

当有新版本的 ArcGIS OnlineSAML 签名和加密证书可用时,管理员必须更新至新证书

对具有 SAML 登录账户的用户进行身份验证的另一种方法是将您的组织配置为使用基于 SAML 的 IdP 联合。 在多个组织之间基于 SAML 的联合中,每个成员组织都会继续使用他们自己的 IdP,但会将其 SP 中的一个或多个配置为专门在联合内部工作。 要访问在联合内共享的受保护资源,用户需要使用其归属组织的 IdP 来验证身份。 成功通过身份验证后,经验证的身份将提交至托管受保护资源的 SP。 验证用户的访问权限之后,SP 将授予其对资源的访问权限。

SAML 登录体验

ArcGIS Online 支持启动 SP 的 SAML 登录账户和启动 IdP 的 SAML 登录账户。 每种账户的登录体验不同。

启动 SP 的登录

借助启动 SP 的登录账户,成员可使用其 SAML SP 登录账户或 ArcGIS 登录账户直接访问其 ArcGIS Online 网站以及查看登录选项。 如果成员选择 SP 选项,则将被重新定向到网页(称为登录账户管理器),系统将在此提示成员提供其 SAML 用户名和密码。 验证成员的凭据之后,IdP 将通知 ArcGIS Online 正在登录的成员的验证身份,然后将成员重新定向回其 ArcGIS Online 网站。

如果成员选择 ArcGIS 选项,则将显示 ArcGIS Online 的登录页面。 随即成员便可提供其 ArcGIS 用户名和密码以访问网站。

启动 IdP 的登录账户

借助启动 IdP 的登录账户,成员可使用其账户直接访问并登录其组织的登录账户管理器。 当成员提交其账户信息时,IdP 将直接向 ArcGIS Online 发送 SAML 响应。 随即成员将登录并被重新定向到其 ArcGIS Online 网站,成员可在该网站中立即访问资源,而无需再次登录到组织。

使用 ArcGIS 账户直接从登录账户管理器进行登录的选项不适用于 IdP 登录账户。 要使用 ArcGIS 账户登录到 ArcGIS Online,成员必须直接访问其 ArcGIS Online 网站。

配置 SAML 登录账户

下面介绍了通过 ArcGIS Online 配置 IdP 的过程。 继续进行操作之前,建议联系您的 IdP 或 IdP 联合的管理员以获取配置所需的参数。 例如,如果组织使用 Microsoft Entra ID,则要配置或启用 IdP 端的 SAML 并获取在 ArcGIS Online 端进行配置所需的参数,您应联系负责的管理员。 您还可以在 ArcGIS/idp GitHub 资料档案库中访问并提供详细的第三方 IdP 配置文档。

  1. 确认您以具有配置安全设置权限的管理员或自定义角色身份登录。
  2. 单击站点顶部的组织,然后单击设置选项卡。
  3. 如果您打算允许成员自动加入,请先为新成员配置默认设置。 如有必要,您可以在特定成员加入组织后为其更改这些设置
    1. 单击页面一侧的新成员默认值
    2. 选择新成员的默认用户类型和角色。
    3. 选择附加许可,以在成员加入组织时自动分配成员。
    4. 选择成员加入组织时会将其添加到的群组。
    5. 如果组织已启用配额预算,将每个新成员的配额分配设置为指定的配额数或无限制。
    6. 或者,针对新成员启用 Esri 访问权限。

      账户已启用 Esri 访问权限的成员可以使用 My Esri、参加培训课程、参与 Esri Community、向 ArcGIS 博客添加评论并管理来自 Esri 的电子邮件通信。 成员无法启用或禁用其自己对这些 Esri 资源的访问。

  4. 单击页面一侧的安全性
  5. 登录部分中,单击新建 SAML 登录账户
  6. 在显示的窗口中,选择以下选项之一:
    • 一位身份提供者 - 允许用户使用您的组织所管理的其现有 SAML 凭据进行登录。 这是最常见的配置。
    • 身份提供者联合 - 允许属于现有组织间联合(例如 SWITCHaai 联合)的用户使用联合支持的凭据进行登录。
  7. 单击下一步
  8. 如果选择了一位身份提供者,请执行以下操作:
    1. 输入您组织的名称。
    2. 选择拥有 SAML 登录账户的成员加入 ArcGIS Online 组织的方法:自动加入或通过邀请加入。 自动选项允许成员通过使用其 SAML 登录账户进行登录来加入组织。 使用邀请选项,可通过 ArcGIS Online 生成电子邮件邀请,其中含有关于如何加入组织的说明。 如果选择自动选项,仍可邀请成员加入组织,也可以使用其 SAML ID 直接将其添加至组织
    3. 通过指定 ArcGIS Online 将访问的源以获取有关 IdP 的元数据信息,向 ArcGIS Online 提供有关您的 IdP 的元数据信息。

      该信息有三个可能的源:

      • URL - 提供一个能够返回有关 IdP 的元数据信息的 URL。
      • 文件 - 上传一个包含有关 IdP 元数据信息的文件。
      • 此处指定的参数 - 通过提供以下参数直接提供有关 IdP 的元数据信息:
        • 登录 URL(重定向)- 提供 ArcGIS Online 将用来允许成员登录的 IdP 的 URL(支持 HTTP 重定向绑定)。
        • 登录 URL (POST) - 提供 ArcGIS Online 将用来允许成员登录的 IdP 的 URL(支持 HTTP POST 绑定)。
        • 证书 - 为 IdP 提供以 BASE 64 格式编码的证书。 借助此证书,ArcGIS Online 可以验证其从 IdP 接收到的 SAML 响应中的数字签名。

      注:

      如需帮助确定需要提供哪个元数据信息的源,请联系 IdP 管理员。

  9. 如果已选择身份提供者联合,请执行以下操作:
    1. 提供联合的名称。
    2. 选择拥有 SAML 登录账户的成员加入 ArcGIS Online 组织的方法:自动加入或通过邀请加入。 自动选项允许成员通过使用其 SAML 登录账户进行登录来加入组织。 使用邀请选项,可通过 ArcGIS Online 生成电子邮件邀请,其中含有关于如何加入组织的说明。 如果选择自动选项,仍可邀请成员加入组织,也可以使用其 SAML ID 直接将其添加至组织
    3. 提供由联合托管的集中 IdP 发现服务的 URL - 例如 https://wayf.samplefederation.com/WAYF
    4. 提供联合元数据的 URL,该元数据是参与联合的所有 IdP 和 SP 的元数据的聚合。
    5. 复制并粘贴以 Base64 格式编码的证书,组织可通过该证书验证联合元数据的有效性。
  10. 单击显示高级设置来配置以下适用的高级设置:
    • 允许加密声明 - 启用此选项以向 SAML IdP 指示 ArcGIS Online 支持加密 SAML 声明响应。 启用此选项后,IdP 将对 SAML 响应的声明部分进行加密。 尽管已使用 HTTPS 对 ArcGIS Online 接收和发送的所有 SAML 通信进行了加密,但是此选项仍会添加其他加密图层。
      注:

      默认情况下,某些 IdP 不加密声明。 建议您询问 IdP 管理员以确保启用了加密声明。

    • 启用签名请求 - 启用此选项可使 ArcGIS Online 对发送至 IdP 的 SAML 身份验证请求进行签名。 ArcGIS Online 发送的初始登录请求签名允许 IdP 验证是否所有登录请求源自受信任 SP。
    • 向身份提供者传递注销 - 启用此选项可使 ArcGIS Online 使用注销 URL 注销 IdP 中的用户。 提供将在注销 URL 设置中使用的 URL。 如果 IdP 需要对注销 URL 签名,则还必须打开启用签名请求选项。 此选项不可用时,在 ArcGIS Online 中单击注销将注销 ArcGIS Online 而非 IdP 中的用户。 如果未清除用户的 Web 浏览器缓存,则使用 SAML 登录选项尝试立即重新登录 ArcGIS Online 即可实现立即登录,无需向 SAML IdP 提供用户凭据。 这是使用未授权用户或公众可轻松访问的计算机时可以利用的安全漏洞。
    • 登录时更新个人资料 - 选择此选项可自动将储存在 ArcGIS Online 用户个人资料中的账户信息(全称和电子邮件地址)与从 IdP 接收的最新账户信息进行同步。 启用此选项后,您的组织可以验证用户何时以 SAML 登录账户进行登录,IdP 信息自创建账户起是否已发生更改,以及若已更改,则可相应更新用户的 ArcGIS Online 账户个人资料。
    • 启用基于 SAML 的群组成员资格 - 启用此选项将允许组织成员在群组创建过程中将指定基于 SAML 的群组链接到 ArcGIS Online 群组。 当启用此选项时,则具有链接至 SAML 群组权限的组织成员可创建 ArcGIS Online 群组,且该群组成员由外部 SAML IdP 管理的 SAML 群组控制。 群组成功链接至基于 SAML 的外部群组后,群组中每个用户的成员资格将在 SAML 声明响应中定义,该响应会在每次用户成功登录时从 IdP 处接收。

      要确保 ArcGIS Online 群组成功链接至外部 SAML 群组,则群组创建者必须提供在 SAML 声明的属性值中返回的外部 SAML 群组的准确值。 通过 SAML IdP 查看 SAML 声明响应,以确定用于引用群组的值。 支持以下用于定义用户群组成员资格的属性名称(不区分大小写):

      • 分组
      • 群组
      • 角色
      • Roles
      • MemberOf
      • member-of
      • https://wso2.com/claims/role
      • http://schemas.xmlsoap.org/claims/Group
      • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
      • urn:oid:1.3.6.1.4.1.5923.1.5.1.1
      • urn:oid:2.16.840.1.113719.1.1.4.1.25

      例如,登录的用户是 FullTimeEmployees 和 GIS Faculty SAML 群组的成员。 如下所示,在从 IdP 处收到的 SAML 声明中,包含群组信息的属性名称是 MemberOf。 在本例中,为创建链接至 SAML 群组 GIS Faculty 的群组,群组创建者必须键入 GIS Faculty 作为该群组的名称。

      <saml2p:Response>
        ...
        ...
        <saml2:Assertion>
            ...
            ...	  
            <saml2:AttributeStatement>
              ...
              ...	  
              <saml2:Attribute Name="MemberOf">
        	      <saml2:AttributeValue>FullTimeEmployees</saml2:AttributeValue>
      	      <saml2:AttributeValue>GIS Faculty</saml2:AttributeValue>
              </saml2:Attribute>	  
          </saml2:AttributeStatement>
        </saml2:Assertion>
      </saml2p:Response>

      以下是使用 ID 值识别群组的另一个示例:

      <saml2p:Response>
        ...
        ...
        <saml2:Assertion>
            ...
            ...	  
            <saml2:AttributeStatement>
              ...
              ...	  
              <saml2:Attribute Name="urn:oid:2.16.840.1.113719.1.1.4.1.25" FriendlyName="groups">
        	      <saml2:AttributeValue>GIDff63a68d51325b53153eeedd78cc498b</saml2:AttributeValue>
      	      <saml2:AttributeValue>GIDba5debd8d2f9bb7baf015af7b2c25440</saml2:AttributeValue>
              </saml2:Attribute>	  
          </saml2:AttributeStatement>
        </saml2:Assertion>
      </saml2p:Response>

    • 注销 URL - 如果您在之前的步骤中选择了一位身份提供者,则可提供该 IdP URL 用于注销当前登录的用户。 如果 IdP 的元数据文件中已指定此属性,则会自动对其进行设置。
    • 实体 ID - 可更新此值以使用新的实体 ID,以便将您的 ArcGIS Online 组织唯一识别到 SAML IdP 或 SAML 联合。
  11. 完成后,单击保存
  12. 要完成配置过程,请将 ArcGIS Online SP 元数据注册到联合的发现服务(如果适用)和您的 IdP 以与二者建立信任。
    此元数据有两种方法获得:
    • 单击下载服务提供者元数据,为组织下载元数据文件。
    • 打开元数据文件的 URL,并在您的计算机上将其另存为 .xml 文件。 您可以在编辑 SAML 登录账户窗口的用于下载服务提供者元数据的链接下查看和复制 URL。

    有关在认证提供者处注册 SP 元数据的说明链接,请参阅上述 SAML IdP 部分。 如果您选择了身份提供者联合,则下载 SP 元数据之后,请与 SAML 联合的管理员联系,以获取有关如何将 SP 元数据集成到联合的聚合元数据文件中的说明。 您还需要从 SAML 联合获取说明,将您的 IdP 注册到联合。

修改或移除 SAML IdP

设置 SAML IdP 后,您可以单击当前已注册 SAML IdP 旁边的配置登录账户来更新其设置。 在编辑 SAML 登录账户窗口中更新设置。

要移除当前注册的 IdP,请单击 IdP 旁边的配置登录账户,然后在编辑 SAML 登录账户窗口中单击删除登录账户。 移除 IdP 后,可以选择设置新的 IdP 或 IdP 联合。

SAML 安全性的最佳做法

要启用 SAML 登录账户,可以将 ArcGIS Online 配置为 SAML IdP 的 SP。 为确保获得安全性,请考虑实施以下最佳做法。

SAML 登录和注销请求进行数字签名,并对 SAML 声明响应进行签名

签名旨在确保 SAML 消息的完整性,并可防护中间人 (MITM) 攻击。 对 SAML 请求进行数字签名还可以确保该请求由受信任的 SP 发送,从而使 IdP 能够更好地处理拒绝服务 (DOS) 攻击。 配置 SAML 登录账户时,请在高级设置中打开启用签名请求选项。

注:

  • 要启用签名请求,您需要在 SP 所使用的签名证书被更新或替换时更新 IdP。
  • 要启用签名请求,您需要在 IdP 所使用的签名证书被更新或替换时更新 SP (ArcGIS Online)。

请配置 SAML IdP 以对 SAML 响应进行签名,以防止 SAML 声明响应在传输过程中发生更改。

使用 IdP 的 HTTPS 端点

通过内部网络或 Internet 以未加密格式发送的 SP、IdP 和用户浏览器之间的任何通信都可能被恶意行为者拦截。 如果您的 SAML IdP 支持 HTTPS,建议您使用 HTTPS 端点来确保 SAML 登录期间所传输数据的机密性。

SAML 声明响应进行加密

使用 HTTPS 进行 SAML 通信可确保在 IdP 和 SP 之间发送的 SAML 消息的安全性。但是,已登录用户仍然可以通过 Web 浏览器来解码和查看 SAML 消息。 启用声明响应的加密功能可防止用户查看 IdP 与 SP 之间传输的机密或敏感信息。

注:

要启用加密声明,您需要在 SP (ArcGIS Online) 所使用的加密证书被更新或替换时更新 IdP。

安全地管理 SAML IdP 签名证书

建议您将 SAML IdP 配置为使用具有强加密密钥的证书对 SAML 声明响应进行数字签名。 如果 SAML IdP 证书更新,您必须立即使用新证书更新您的 ArcGIS Online 组织的 SAML 配置,以确保 SAML 登录账户继续工作。 建议在 ArcGIS Online 组织进行定期维护时更新 SAML IdP 证书。

注:

用于签署 SAML 请求和声明响应的证书由 ArcGIS Online 管理并每年更新。

SAML IdP 管理员处获得以 BASE 64 格式编码的新 IdP 证书后,执行以下操作以替换您组织的 SAML 登录配置的证书:

  1. 从您的 SAML IdP 管理员处获取最新的 SAML IdP 元数据。
  2. 确认您以具有配置安全设置权限的管理员或自定义角色身份登录。
  3. 单击站点顶部的组织,然后单击设置选项卡。
  4. 单击页面一侧的安全性
  5. 登录账户部分中,单击 SAML 登录切换按钮旁边的配置登录账户
  6. 编辑 SAML 登录窗口中,单击企业级身份提供者的元数据源下的文件
  7. 单击选择文件并浏览并选择从 SAML IdP 管理员收到的新 IdP 元数据文件。
  8. 单击保存,更新 ArcGIS Online SAML 登录配置以使用新证书。