Shibboleth 2.3.8 configureren

U kunt Shibboleth 2.3.8 configureren als uw identiteitsprovider voor Enterprise Logins in ArcGIS Online. Het configuratieproces bestaat in grote lijnen uit twee stappen: de identiteitsprovider van uw bedrijf registreren bij ArcGIS Online en ArcGIS Online registreren bij de identiteitsprovider van uw bedrijf.

Shibboleth 2.3.8 registreren als de identiteitsprovider van uw bedrijf bij ArcGIS Online

Stappen:
  1. Controleer of u bent aangemeld en of u de beheerder van uw organisatie bent.
  2. Klik op de knop Mijn Organisatie boven aan de site. Uw organisatiepagina wordt geopend.
  3. Klik op de knop Instellingen bewerken.
  4. Klik op de koppeling Beveiliging aan de linkerzijde van de pagina.
  5. Klik in de sectie Enterprise Logins op de knop Identiteitsprovider instellen.
  6. Geef in het venster dat wordt geopend een naam voor de identiteitsprovider op.
  7. Geef meta-informatie op voor de identiteitsprovider met behulp van een van deze twee opties:
    • Bestand: standaard geeft Shibboleth het IdP-metadatabestand in SHIBBOLETH_HOME/metadata. Als het metadatabestand toegankelijk is, kiest u de optie Bestand voor de metadata van de bedrijfsidentiteitsprovider en bladert u naar het bestand SHIBBOLETH_HOME/metadata/idp-metadata.xml
    • Parameters: kies deze optie als het bestand niet toegankelijk is. Voer de waarden handmatig in en geef de gevraagde parameters op: aanmeldings-URL, bindingstype en certificaat. Neem contact op met uw Shibboleth-beheerder om deze te verkrijgen.

ArcGIS Online registreren als de vertrouwde serviceprovider bij Shibboleth 2.3.8

Stappen:
  1. Configureer ArcGIS Online als een Relying Party in Shibboleth.
    1. Verkrijg het metadatabestand van uw ArcGIS Online-organisatie en sla het als XML-bestand op.

      U verkrijgt het metadatabestand door u als beheerder aan te melden bij uw organisatie en de organisatiepagina te openen. Klik op de knop Instellingen bewerken en het tabblad Beveiliging en klik in de sectie Enterprise Logins op de knop Serviceprovider ophalen.

    2. Voeg ArcGIS Online toe als vertrouwde serviceprovider in Shibboleth door een nieuw RelyingParty-element toe te voegen aan het bestand SHIBBOLETH_HOME/conf/relying-party.xml.

      Voeg onderstaande snippet toe in de ChainingMetadataProvider. Geef het pad op naar het XML-bestand met metadata voor uw organisatie (opgeslagen in stap 1.a). (Vervang citygis.maps.arcgis.com door de URL van uw organisatie.)

      <!-- Load AGOL metadata -->
	    <MetadataProvider xsi:type="FilesystemMetadataProvider"
	                      xmlns="urn:mace:shibboleth:2.0:metadata"
	                      id="citygis.maps.arcgis.com"
	                      metadataFile="<PATH_TO_THE_SAVED_METADATA>/citygismetadata.xml">
  2. De attribute resolver configureren.

    ArcGIS Online verwacht dat er een SAML-naam-id wordt doorgegeven door de IdP voor de gebruiker die zich bij ArcGIS Online wil aanmelden. Als u deze gegevens beschikbaar wilt maken, moet u de Shibboleth-attribute resolver configureren door het bestand SHIBBOLETH_HOME/conf/attribute-resolver.xml te wijzigen.

    De volgende attribuutdefinitie verzendt de Principal-naam van de gebruiker die door de Shibboleth IdP in de naam-id is geverifieerd naar ArcGIS Online.

    <!-- Name identifier for passing principal name to ArcGIS Online -->
    <resolver:AttributeDefinition id="principal" xsi:type="PrincipalName" xmlns="urn:mace:shibboleth:2.0:resolver:ad">
        <resolver:AttributeEncoder xsi:type="SAML2StringNameID" xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
            nameFormat="urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified" />
    </resolver:AttributeDefinition>
  3. Het attribuutfilter configureren.

    Configureer het Shibboleth-attribuutfilter om de Principal-naam van de gebruiker die als een NameID is gecodeerd na verificatie van de gebruiker vrij te geven aan ArcGIS Online.

    U voegt dit filter toe door het bestand SHIBBOLETH_HOME/conf/attribute-filter.xml te openen en de volgende policy voor de attribuutfilter toe te voegen in het XML-element van AttributeFilterPolicyGroup. (Vervang citygis.maps.arcgis.com door de URL van uw organisatie.)

    <!-- release the NameID to citygis.maps.arcgis.com -->
    <afp:AttributeFilterPolicy>
            <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="citygis.maps.arcgis.com" />
    
            <afp:AttributeRule attributeID="principal">
                <afp:PermitValueRule xsi:type="basic:ANY" />
            </afp:AttributeRule>
    </afp:AttributeFilterPolicy>

    ArcGIS Online ondersteunt de instroom van de attributen givenName en email address van de enterprise login van de bedrijfsidentiteitsprovider in ArcGIS Online. Als een gebruiker zich aanmeldt met een enterprise login en als ArcGIS Online attributen ontvangt met de namen givenname en email of mail (in ieder geval), vult ArcGIS Online de volledige naam en het e-mailadres van het gebruikersaccount in met de waarden die van de identiteitsprovider worden ontvangen.

    Wij raden aan dat u het e-mailadres van de bedrijfsidentiteitsprovider doorgeeft aan ArcGIS Online. Dit is nuttig als de gebruiker later een beheerder wordt. Door een e-mailadres in het account te hebben, kan de gebruiker meldingen ontvangen over beheerdersactiviteiten en kan deze andere gebruikers uitnodigingen verzenden om lid te worden van de organisatie.

  4. De verificatiebron configureren.

    Configureer de verificatiebron die door de Shibboleth IdP wordt gebruikt.

    Het volgende voorbeeld laat zien hoe u Apache Directory Server configureert als een gebruikersopslag met Shibboleth in het bestand SHIBBOLETH_HOME/conf/login.config.

    ShibUserPassAuth {   
edu.vt.middleware.ldap.jaas.LdapLoginModule required
      ldapUrl="ldap://host:port"
      baseDn="ou=users,ou=system"
      ssl="true"
      serviceUser="uid=admin,ou=system"
      serviceCredential="secret"
      subtreeSearch="true"
      userField="uid"
      userFilter="uid={0}";
};

  5. De login handler configureren.

    Schakel de UsernamePassword-login handler in Shibboleth in. Met de login handler kunnen gebruikers zich aanmelden met een gebruikersnaam en wachtwoord van de verificatiebron die in de vorige stap is geconfigureerd.

    Als u de login handler wilt configureren, opent u het bestand SHIBBOLETH_HOME/conf/handler.xml en verwijdert u de opmerkingen bij de login handler voor de gebruikersnaam en het wachtwoord. (Vervang <SHIBBOLETH_HOME> door uw Shibboleth-installatiepad.)

    <!--  Username/password login handler -->
     
    <ph:LoginHandler xsi:type="ph:UsernamePassword" 
                  jaasConfigurationLocation="file://<SHIBBOLETH_HOME>/conf/login.config">
        <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</ph:AuthenticationMethod>
    </ph:LoginHandler>

  6. Verklaringsversleuteling in de Shibboleth IdP uitschakelen.

    ArcGIS Online biedt geen ondersteuning voor versleutelde SAML-verklaringen van de identiteitsproviders. U dient verklaringsversleuteling in Shibboleth dus uit te schakelen.

    Als u verklaringsversleuteling wilt uitschakelen, opent u het bestand SHIBBOLETH_HOME/conf/relying-party.xml en wijzigt u in de sectie <DefaultRelyingParty>"saml: SAML2SSOProfile" de waarde van encryptAssertions in never.

    <rp:DefaultRelyingParty provider="https://grid3.esri.com/idp/shibboleth"
defaultSigningCredentialRef="IdPCredential">
...  
     <rp:ProfileConfiguration xsi:type="saml:SAML2ECPProfile" includeAttributeStatement="true" 
                                 assertionLifetime="PT5M" assertionProxyCount="0" 
                                 signResponses="never" signAssertions="always" 
                                 encryptAssertions="never" encryptNameIds="never"/>
...
</rp:DefaultRelyingParty>
  7. Start de webserver opnieuw op die als host voor de Shibboleth-webapplicatie fungeert.
Copyright © 1995-2014 Esri. All rights reserved.
2/14/2014