Konfigurieren von Active Directory Federation Services 2.0
Sie können Active Directory Federation Services 2.0 (AD FS) im Microsoft Windows Server-Betriebssystem als Identity-Provider für Enterprise-Anmeldenamen in ArcGIS Online konfigurieren. Die Konfiguration umfasst zwei Hauptschritte: die Registrierung des Enterprise-Identity-Providers bei ArcGIS Online und die Registrierung von ArcGIS Online beim Enterprise-Identity-Provider.
Schritt 1: Registrieren von AD FS als Enterprise-Identity-Provider bei ArcGIS Online
- Überprüfen Sie, ob Sie angemeldet und Administrator Ihrer Organisation sind.
- Klicken Sie im oberen Bereich der Website auf die Schaltfläche Eigene Organisation. Ihre Organisationsseite wird geöffnet.
- Klicken Sie auf die Schaltfläche Einstellungen bearbeiten.
- Klicken Sie links auf der Seite auf den Link Sicherheit.
- Klicken Sie im Abschnitt Enterprise-Anmeldenamen auf die Schaltfläche Identity-Provider festlegen.
- Geben Sie in dem daraufhin angezeigten Fenster einen Namen für den Identity-Provider ein.
- Stellen Sie mithilfe einer der drei im Folgenden genannten Optionen Metadateninformationen für den Identity-Provider bereit:
- URL – Wählen Sie diese Option, wenn Zugriff auf die URL der AD FS-Verbundmetadaten besteht. Diese lautet in der Regel https://<adfs-server>/federationmetadata/2007-06/federationmetadata.xml.
- Datei – Wählen Sie diese Option, wenn kein Zugriff auf die URL besteht. Rufen Sie eine Kopie dieser Datei aus AD FS ab, und laden Sie die Datei mit der Option Datei in ArcGIS Online hoch.
- Parameter – Wählen Sie diese Option, wenn kein Zugriff auf die URL oder die Datei besteht. Geben Sie die Werte manuell ein, und stellen Sie die erforderlichen Parameter bereit: Anmelde-URL, Bindungstyp und Zertifikat. Wenden Sie sich an Ihren AD FS-Administrator, um diese Informationen zu erhalten.
Schritt 2: Registrieren von ArcGIS Online als vertrauenswürdigen Service-Provider bei AD FS
- Öffnen Sie die AD FS 2.0-Verwaltungskonsole.
- Wählen Sie Vertrauensstellungen der vertrauenden Seite > Vertrauensstellung der vertrauenden Seite hinzufügen.
- Klicken Sie im Assistenten zum Hinzufügen einer Vertrauensstellung der vertrauenden Seite auf die Schaltfläche Start.
- Wählen Sie für Datenquelle auswählen eine Option zum Abrufen von Daten zur vertrauenden Seite: Import über eine URL, Import aus einer Datei oder manuelle Eingabe. "URL" und "Datei" erfordern die Metadaten von Ihrer Organisation. Wenn Sie keinen Zugriff auf die Metadaten-URL oder -datei haben, können Sie die Informationen manuell eingeben. In einigen Fällen ist die manuelle Eingabe der Daten die beste Option.
- Importieren Sie Daten zu der vertrauenden Seite, die online oder in einem lokalen Netzwerk veröffentlicht wurde
Diese Option verwendet die URL-Metadaten Ihrer ArcGIS Online-Organisation. Die URL lautet https://<urlkey_for_org>.maps.arcgis.com/sharing/rest/portals/self/sp/metadata?token=<Token>, beispielsweise https://samltest.maps.arcgis.com/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY.
Generieren Sie unter https://www.arcgis.com/sharing/rest/generateToken ein Token. Sie müssen ein Token über HTTP POST programmgesteuert mit dem JSON-Ausgabeformat generieren. Weitere Informationen finden Sie unter ArcGIS-REST-API.
- Importieren von Daten zur vertrauenden Site aus einer Datei
Diese Option verwendet die Datei "metadata.xml" Ihrer ArcGIS Online-Organisation. Es gibt zwei Möglichkeiten, eine Metadaten-XML-Datei abzurufen.
Öffnen Sie die URL der Metadaten Ihrer ArcGIS Online-Organisation, und speichern Sie sie als XML-Datei auf dem Computer. Die URL lautet https://<urlkey_for_org>.maps.arcgis.com/sharing/rest/portals/self/sp/metadata?token=<Token>, beispielsweise https://samltest.maps.arcgis.com/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Sie können einen Token mit https://<urlkey_for_org>.maps.arcgis.com/sharing/rest/generateToken generieren.
Sie können auch im Abschnitt Sicherheit der Seite Einstellungen bearbeiten Ihrer Organisation auf die Schaltfläche Service-Provider aufrufen klicken. Dadurch erhalten Sie die Metadaten für Ihre Organisation, die Sie als XML-Datei auf dem Computer speichern können.
- Manuelles Eingeben von Daten zur vertrauenden Site
Mit dieser Option zeigt der Assistent zum Hinzufügen einer Vertrauensstellung der vertrauenden Seite zusätzliche Fenster zur manuellen Eingabe der Daten an. Diese werden in den folgenden Schritten 6 bis 8 erläutert.
- Importieren Sie Daten zu der vertrauenden Seite, die online oder in einem lokalen Netzwerk veröffentlicht wurde
- Geben Sie für Anzeigename angeben den Anzeigenamen ein.
Der Anzeigename dient der Identifizierung der vertrauenden Site in AD FS. Außerhalb von ADFS hat er keine Bedeutung. Dieser sollte auf ArcGIS oder den Namen der Organisation in ArcGIS festgelegt werden, beispielsweise ArcGIS-SamlTest.
Tipp:
Die Abbildung oben zeigt das Fenster Anzeigename angeben mit den Schritten zum Importieren der Datenquelle über eine URL oder aus einer Datei. Wenn Sie die Datenquelleninformationen manuell eingeben, werden auf der linken Seite des Assistenten zusätzliche Schritte angezeigt, die in den folgenden Schritten 6 bis 8 erläutert werden. Wenn Sie eine URL oder Datei ausgewählt haben, können Sie zu Schritt 9 übergehen.
- (Nur manuelle Datenquelle) Wählen Sie für Profil auswählen die Option AD FS 2.0-Profil.
- (Nur manuelle Datenquelle) Aktivieren Sie für URL konfigurieren das Kontrollkästchen neben Unterstützung für das SAML 2.0 WebSSO-Protokoll aktivieren, und geben Sie die URL für den SAML 2.0 SSO-Dienst der vertrauenden Site ein.
Bei der URL der vertrauenden Site sollte es sich um die URL handeln, an die AD FS die SAML-Antwort sendet, nachdem der Benutzer authentifiziert wurde. Dies sollte eine HTTPS-URL sein: https://<urlkey_for_org>.maps.arcgis.com/sharing/rest/oauth2/saml/signin.
- (Nur manuelle Datenquelle) Geben Sie für Kennungen konfigurieren die URL für die Vertrauenskennung der vertrauenden Site ein.
Diese sollte <urlkey_for_org>.maps.arcgis.com lauten.
- Wählen Sie für Ausstellungsautorisierungsregeln auswählen die Option Allen Benutzern erlauben, auf diese vertrauende Seite zuzugreifen.
Tipp:
Die Abbildung oben zeigt das Fenster Ausstellungsautorisierungsregeln auswählen mit den Schritten zum Importieren der Datenquelle über eine URL oder aus einer Datei. Wenn Sie die Datenquelleninformationen manuell eingeben möchten, werden auf der linken Seite des Assistenten zusätzliche Schritte angezeigt.
- Überprüfen Sie für Bereit zum Hinzufügen der Vertrauensstellung alle Einstellungen für die vertrauende Site, und klicken Sie dann auf Weiter.
Tipp:
Die Metadaten-URL wird nur gefüllt, wenn Sie die Datenquelle über eine URL importieren. Die Abbildung unten zeigt das Fenster Bereit zum Hinzufügen der Vertrauensstellung, wenn Sie Datenquelleninformationen manuell eingeben möchten.
- Aktivieren Sie das Kontrollkästchen für Fertig stellen, damit das Dialogfeld Anspruchsregeln bearbeiten automatisch geöffnet wird, nachdem Sie auf die Schaltfläche Schließen geklickt haben.
Tipp:
Die Abbildung oben zeigt das Fenster Fertig stellen mit den Schritten zum Importieren der Datenquelle über eine URL oder aus einer Datei. Wenn Sie die Datenquelleninformationen manuell eingeben möchten, werden auf der linken Seite des Assistenten zusätzliche Schritte angezeigt.
- Um die Anspruchsregeln festzulegen, öffnen Sie den Assistenten Anspruchsregeln bearbeiten, und klicken Sie auf Regel hinzufügen.
- Wählen Sie unter Regelvorlage auswählen die Vorlage LDAP-Attribute als Ansprüche senden für die Anspruchsregel aus, die Sie erstellen möchten, und klicken Sie dann auf Weiter.
- Geben Sie über Anspruchsregel konfigurieren einen Namen für die Regel ein, beispielsweise NameID.
- Wählen Sie Active Directory als Attributspeicher aus.
- Wählen Sie unter Zuordnung von LDAP-Attributen zu ausgehenden Anspruchstypen als LDAP-Attribut das LDAP-Attribut mit den Benutzernamen (beispielsweise SAM-Account-Name) und als Typ des ausgehenden Anspruchs NameID aus.
Hinweis:
NameID ist das Attribut, das von AD FS in der SAML-Antwort gesendet werden muss, damit der Verbund mit ArcGIS hergestellt werden kann. Wenn sich ein Benutzer des IDP anmeldet, erstellt ArcGIS Online im Benutzerspeicher einen neuen Benutzer mit dem Benutzernamen NameID_<url_key_for_org>. Die zulässigen Zeichen für den vom NameID-Attribut gesendeten Wert sind alphanumerisch, _ (Unterstrich), . (Punkt) und @ (at-Zeichen). Für alle anderen Zeichen werden Escapezeichen verwendet, damit sie Unterstriche in dem von ArcGIS Online erstellten Benutzernamen enthalten.
- ArcGIS Online unterstützt die Übernahme der Attribute givenName und email address des Enterprise-Anmeldenamens aus dem Enterprise-Identity-Provider in ArcGIS Online. Wenn sich ein Benutzer mit einem Enterprise-Anmeldenamen anmeldet und ArcGIS Online Attribute mit dem Namen givenname und email oder mail (in beliebiger Groß-/Kleinschreibung) empfängt, gibt ArcGIS Online die vom Identity-Provider empfangenen Namen als vollständigen Namen und als E-Mail-Adresse des Benutzerkontos an.
Befolgen Sie die folgenden Anweisungen, um die Anspruchsregeln zu bearbeiten.
- Wählen Sie unter der Spalte Attribute LDAP das Attribut Display Name (oder ein anderes Attribut aus der Liste in der zweiten Zeile) aus, und ordnen Sie es Given Name unter der Spalte Outgoing Claim Type zu.
- Wählen Sie unter der Spalte Attribute LDAP den Eintrag E Mail-Addresses aus, und ordnen Sie ihn E Mail Address unter der Spalte Outgoing Claim Type zu.
Mit diesem Anspruch sendet AD FS nach der Benutzerauthentifizierung Attribute mit den Namen givenname und email an ArcGIS Online. ArcGIS Online fügt dann für den vollständigen Namen und die E-Mail-Adresse des ArcGIS Online-Benutzerkontos die in den Attributen givenname und email empfangenen Werte ein.
Es empfiehlt sich, die E-Mail-Adresse vom Enterprise-Identity-Provider an ArcGIS Online weiterzugeben. Dies ist hilfreich, falls der Benutzer später zum Administrator wird. Wenn eine E-Mail-Adresse im Konto vorhanden ist, kann der Benutzer Benachrichtigungen zu administrativen Aktivitäten empfangen und Einladungen an andere Benutzer senden, um ihnen den Beitritt zur Organisation zu ermöglichen.
- Klicken Sie auf Fertig stellen, um die Konfiguration des AD FS-Identity-Providers für die Einbeziehung von ArcGIS Online als vertrauende Site abzuschließen.