Active Directory Federation Services 2.0 configureren

U kunt Active Directory Federation Services 2.0 (AD FS) in het besturingssysteem Microsoft Windows Server configureren als uw identiteitsprovider voor Enterprise Logins in ArcGIS Online. Het configuratieproces bestaat in grote lijnen uit twee stappen: de identiteitsprovider van uw bedrijf registreren bij ArcGIS Online en ArcGIS Online registreren bij de identiteitsprovider van uw bedrijf.

AD FS registreren als de identiteitsprovider van uw bedrijf bij ArcGIS Online

Stappen:
  1. Controleer of u bent aangemeld en of u de beheerder van uw organisatie bent.
  2. Klik op de knop Mijn Organisatie boven aan de site. Uw organisatiepagina wordt geopend.
  3. Klik op de knop Instellingen bewerken.
  4. Klik op de koppeling Beveiliging aan de linkerzijde van de pagina.
  5. Klik in de sectie Enterprise Logins op de knop Identiteitsprovider instellen.
  6. Geef in het venster dat wordt geopend een naam voor de identiteitsprovider op.
  7. Geef meta-informatie op voor de identiteitsprovider met behulp van een van deze drie opties:
    • URL: kies deze optie als de URL van de metadata van de AD FS-federatie toegankelijk is. Dit is doorgaans https://<adfs-server>/federationmetadata/2007-06/federationmetadata.xml.
    • Bestand: kies deze optie als de URL niet toegankelijk is. Verkrijg een kopie van ditzelfde bestand van AD FS en upload het bestand naar ArcGIS Online met behulp van de optie Bestand.
    • Parameters: kies deze optie als de URL of het bestand niet toegankelijk is. Voer de waarden handmatig in en geef de gevraagde parameters op: aanmeldings-URL, bindingstype en certificaat. Neem contact op met uw AD FS-beheerder om deze te verkrijgen.

Registreer ArcGIS Online als de vertrouwde serviceprovider bij AD FS

Stappen:
  1. Open de AD FS 2.0-beheerconsole.
  2. Kies Relying Party Trusts > Add Relying Party Trust (Trust voor Relying Party toevoegen).
    AD FS-beheerconsole
  3. Klik in de wizard Add Relying Party Trust (Trust voor Relying Party toevoegen) op de knop Start.
    Welkom
  4. Kies bij Select Data Source (Gegevensbron selecteren) een optie voor het verkrijgen van gegevens over de Relying Party: importeren uit een URL, importeren uit een bestand of handmatig opgeven. Voor URL en bestand hebt u de metadata van uw organisatie nodig. Als u geen toegang hebt tot de metadata-URL of het metadatabestand kunt u de informatie handmatig opgeven. In bepaalde gevallen is het handmatig invoeren van gegevens de gemakkelijkste oplossing.
    • Import data about the relying party published online or on a local network (Gegevens over de Relying Party importeren die online of op een lokaal netwerk zijn gepubliceerd)
      Gegevens importeren vanaf een URL

      Deze optie gebruikt de URL-metadata van uw ArcGIS Online-organisatie. De URL is https://<urlkey_for_org>.maps.arcgis.com/sharing/rest/portals/self/sp/metadata?token=<token>, bijvoorbeeld, https://samltest.maps.arcgis.com/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY.

      Genereer een token op https://www.arcgis.com/sharing/rest/generateToken. U moet een token genereren door HTTP POST programmatisch te gebruiken met JSON-uitvoerindeling. Zie ArcGIS REST API voor meer informatie.

    • Import data about the relying party from a file (Gegevens over de Relying Party importeren vanaf een bestand)
      Import from a file (Importeren vanaf een bestand)

      Deze optie gebruikt een metadata.xml-bestand van uw ArcGIS Online-organisatie. Er zijn twee manieren om een metadata.xml bestand te verkrijgen.

      Open de URL van de metadata van uw ArcGIS Online-organisatie en sla deze op als een XML-bestand op uw computer. De URL is https://<urlkey_for_org>.maps.arcgis.com/sharing/rest/portals/self/sp/metadata?token=<token>, bijvoorbeeld, https://samltest.maps.arcgis.com/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. U kunt een token genereren met https://<urlkey_for_org>.maps.arcgis.com/sharing/rest/generateToken.

      U kunt ook in de sectie Beveiliging van de pagina Instellingen bewerken voor uw organisatie klikken op de knop Serviceprovider ophalen. Zo verkrijgt u de metadata voor uw organisatie die u kunt opslaan als een XML-bestand op uw computer.

    • Enter data about the relying party manually (Gegevens over de Relying Party handmatig invoeren)
      Enter data manually (Gegevens handmatig invoeren)

      Met deze optie geeft de wizard Add Relying Party Trust (Trust voor Relying Party toevoegen) extra vensters weer waarin u de gegevens handmatig kunt invoeren. Deze worden uitgelegd in stappen 6 tot en met 8 hieronder.

  5. Voer de weergavenaam in voor Specify Display Name (Weergavenaam opgeven).
    Voorbeeld van weergavenaam voor URL- of bestandsgegevensbron

    De weergavenaam wordt gebruikt om de Relying Party in AD FS te identificeren. Verder heeft deze naam geen enkele betekenis. Stel deze in op ArcGIS of op de naam van de organisatie in ArcGIS, bijvoorbeeld ArcGIS—SamlTest.

    TipTip:

    De bovenstaande afbeelding toont het venster Specify Display Name (Weergavenaam opgeven) met de stappen voor het importeren van de gegevensbron vanaf een URL of bestand. Als u de gegevens over de gegevensbron handmatig wilt invoeren, ziet u de extra stappen aan de linkerzijde van de wizard die hieronder in stappen 6 tot en met 8 worden uitgelegd. Als u een URL of bestand hebt geselecteerd, kunt u doorgaan naar stap 9.

  6. (Alleen handmatige gegevensbron) Kies voor Choose Profile (Profiel kiezen) de optie AD FS 2.0-profiel.
    Choose Profile
  7. (Alleen handmatige gegevensbron) Voor Configure URL (URL configureren) vinkt u het vakje aan naast Enable support for the SAML 2.0 WebSSO protocol (Ondersteuning voor het SAML 2.0 WebSSO-protocol inschakelen) en voert u de URL voor de Relying Party SAML 2.0 SSO-service in.
    Configure URL

    De URL van de Relying Party moet de URL zijn waar AD FS de SAML-respons naartoe verzendt na verificatie van de gebruiker. Dit moet een HTTPS URL zijn: https://<urlkey_for_org>.maps.arcgis.com/sharing/rest/oauth2/saml/signin.

  8. (Alleen handmatige gegevensbron) Voer voor Configure Identifiers (Id's configureren), de URL in van de id van de Relying Party Trust.
    Configure Identifiers

    Dit moet <urlkey_for_org>.maps.arcgis.com zijn.

  9. Kies voor Choose Issuance Authorization Rules (Autorisatieregels voor uitgifte kiezen) de optie Permit all users to access this relying party (Aan alle gebruikers toegang verlenen tot deze Relying Party).
    Choose Issuance Authorization Rules
    TipTip:

    De bovenstaande afbeelding toont het venster Choose Issuance Authorization Rules (Verificatieregels voor uitgifte kiezen) met de stappen voor het importeren van de gegevensbron vanaf een URL of bestand. Als u ervoor gekozen hebt om de gegevens van de gegevensbron automatisch op te geven, ziet u extra stappen aan de linkerkant van de wizard.

  10. Controleer voor de optie Ready to Add Trust (Klaar om Trust toe te voegen) alle instellingen voor de Relying party en klik op Next (Volgende).
    Voorbeeld van 'Ready to Add Trust'
    TipTip:

    De metadata-URL wordt alleen ingevuld als u kiest om de gegevensbron te importeren vanaf een URL. De onderstaande afbeelding toont het venster Ready to Add Trust (Klaar om Trust toe te voegen) als u ervoor hebt gekozen om de gegevens van de gegevensbron handmatig in te voeren.

    Voorbeeld van 'Ready to Add Trust'
  11. Voor Finish (Voltooien) vink je het vakje aan om het dialoogvenster Edit Claim Rules (Claimregels bewerken) automatisch te openen nadat u op de knop Close (Sluiten) hebt gedrukt.
    Finish

    TipTip:

    De bovenstaande afbeelding toont het venster Finish (Voltooien) met de stappen voor het importeren van de gegevensbron vanaf een URL of bestand. Als u ervoor gekozen hebt om de gegevens van de gegevensbron automatisch op te geven, ziet u extra stappen aan de linkerkant van de wizard.

  12. Om de claimregels in te stellen, opent u de wizard Edit Claim Rules (Claimregels bewerken) en klikt u op Add Rule (Regel toevoegen).
    Edit Claim Rules
  13. Vanaf Select Rule Template (Regeltemplate selecteren) selecteert u de template Send LDAP Attributes as Claims (LDAP-kenmerken verzenden als claims) voor de claimregel die u wilt maken en klikt u op Next (Volgende).
    Choose Rule Type (Regeltype kiezen)
  14. Geef vanaf Configure Claim Rule (Claimregel configureren) een naam op voor de regel, bijvoorbeeld NameID.
    Configure Claim Rule (Claimregel configureren)
    1. Selecteer voor Attribute Store (Kenmerkopslag) de optie Active Directory.
    2. Voor Mapping of LDAP attributes to outgoing claim types (LDAP-kenmerken toewijzen aan typen uitgaande claims) selecteert u het LDAP-kenmerk dat de gebruikersnamen (bijvoorbeeld SAM-Account-Name) bevat voor LDAP Attribute (LDAP-kenmerk) en NameID voor Outgoing Claim Type (Type uitgaande claim).

      OpmerkingOpmerking:

      NameID is het attribuut dat door AD FS in de SAML-respons moet worden verzonden om ervoor te zorgen dat de federatie met ArcGIS functioneert. Als een gebruiker zich aanmeldt vanaf de IDP, wordt door ArcGIS Online in de gebruikersopslag een nieuwe gebruiker gemaakt met de gebruikersnaam NameID_<url_key_for_org>. De toegestane tekens voor de waarde die door het NameID-attribuut is verzonden, zijn alfanumeriek, _ (onderstrepingsteken), . (punt) en @ (apenstaartje). Alle andere tekens krijgen onderstrepingstekens in de gebruikersnaam die door ArcGIS Online is gemaakt.

  15. ArcGIS Online ondersteunt de instroom van de attributen givenName en email address van de enterprise login van de bedrijfsidentiteitsprovider in ArcGIS Online. Als een gebruiker zich aanmeldt met een enterprise login en als ArcGIS Online attributen ontvangt met de namen givenname en email of mail (in ieder geval), vult ArcGIS Online de volledige naam en het e-mailadres van het gebruikersaccount in met de waarden die van de identiteitsprovider worden ontvangen.

    Volg onderstaande instructies om de claimregels te bewerken.

    Regel bewerken - DefaultClaims
    • Kies onder de kolom LDAP Attribute (LDAP-kenmerk) de optie Display·Name (Weergavenaam) (of een ander attribuut in de lijst in de tweede rij) en koppel dit aan Given Name (Gegeven naam) onder de kolom Outgoing Claim Type (Type uitgaande claim).
    • Kies onder de kolom LDAP Attribute (LDAP-kenmerk) de optie E·Mail-Addresses (E-mailadressen) en koppel dit aan E·Mail Address (E-mailadres) onder de kolom Outgoing Claim Type (Type uitgaande claim).

    Met deze claim stuurt AD FS attributen met de namen givenname en email naar ArcGIS Online na verificatie van de gebruiker. ArcGIS Online gebruikt vervolgens de waarden in de attributen givenname en email en vult de volledige naam en het e-mailadres in van het ArcGIS Online-gebruikersaccount.

    Wij raden aan dat u het e-mailadres van de bedrijfsidentiteitsprovider doorgeeft aan ArcGIS Online. Dit is nuttig als de gebruiker later een beheerder wordt. Door een e-mailadres in het account te hebben, kan de gebruiker meldingen ontvangen over beheerdersactiviteiten en kan deze andere gebruikers uitnodigingen verzenden om lid te worden van de organisatie.

  16. Klik op Finish (Voltooien) om het configureren van de AD FS-identiteitsprovider en het opnemen van ArcGIS Online als Relying Party te voltooien.
Copyright © 1995-2014 Esri. All rights reserved.
2/14/2014