配置 Active Directory 联合身份验证服务 2.0
可在 Microsoft Windows Server 操作系统中将 Active Directory 联合身份验证服务 2.0 (AD FS) 配置为 ArcGIS Online 中企业登录的身份提供者。配置过程涉及两个主要步骤:将企业级身份提供者注册到 ArcGIS Online,以及将 ArcGIS Online 注册到企业级身份提供者。
步骤 1:将 AD FS 作为企业级身份提供者注册到 ArcGIS Online
- 验证您是否登录以及是否是组织的管理员。
- 单击站点顶部的我的组织按钮。将打开组织页面。
- 单击编辑设置按钮。
- 单击页面左侧的安全性链接。
- 在企业登录部分,单击设置身份提供者按钮。
- 在随即打开的窗口中输入身份提供者的名称。
- 要为身份提供者提供元数据信息,可选择以下三个选项之一:
- URL - 如果 AD FS 联合身份验证元数据的 URL 可供访问,请选择此选项。通常是 https://<adfs-server>/federationmetadata/2007-06/federationmetadata.xml。
- 文件 - 如果无法访问 URL,请选择此选项。从 AD FS 中获得同一文件的副本,并使用文件选项将该文件上传至 ArcGIS Online。
- 参数 - 如果 URL 或文件无法访问,请选择此选项。手动输入值并提供所需参数:登录 URL、绑定类型和证书。请联系 AD FS 管理员获取这些参数。
步骤 2:将 ArcGIS Online 作为受信服务提供者注册到 AD FS
- 打开 AD FS 2.0 管理控制台。
- 选择依赖方信任 > 添加依赖方信任。
- 在添加依赖方信任向导中,单击开始按钮。
- 对于选择数据源,选择以下其中一个选项以获取依赖方相关数据:“从 URL 导入”、“从文件导入”或“手动输入”。URL 和文件需要您从组织中获取元数据。如果您无权访问元数据 URL 或文件,可以手动输入信息。在某些情况下,手动输入数据可能是最轻松的选择。
- 导入在线发布或在本地网络上发布的依赖方相关数据
此选项使用 ArcGIS Online 组织的 URL 元数据。此 URL 为 https://<urlkey_for_org>.maps.arcgis.com/sharing/rest/portals/self/sp/metadata?token=<token>,例如 https://samltest.maps.arcgis.com/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY。
使用 https://www.arcgis.com/sharing/rest/generateToken 生成令牌。您需要通过编程方式使用 HTTP POST 以 JSON 输出格式生成令牌。有关详细信息,请参阅 ArcGIS REST API。
- 从文件导入依赖方相关数据
此选项使用 ArcGIS Online 组织中的 metadata.xml 文件。可通过两种方式获得元数据 XML 文件。
打开 ArcGIS Online 组织元数据的 URL,将其作为 XML 文件保存在您的计算机上。此 URL 为 https://<urlkey_for_org>.maps.arcgis.com/sharing/rest/portals/self/sp/metadata?token=<token>,例如 https://samltest.maps.arcgis.com/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY。可使用 https://<urlkey_for_org>.maps.arcgis.com/sharing/rest/generateToken 生成令牌。
也可在组织中编辑设置页面的安全性部分单击获得服务提供程序按钮。这样即可获得组织的元数据,然后将其作为 XML 文件保存在您的计算机上。
- 手动输入依赖方相关数据
如果选择此选项,添加依赖方信任向导将显示用于手动输入数据的附加窗口。下面的步骤 6 到 8 中对此进行了描述。
- 导入在线发布或在本地网络上发布的依赖方相关数据
- 在指定显示名称中输入显示名称。
显示名称用于标识 AD FS 中的依赖方。除此之外,没有任何意义。应将其设置为 ArcGIS 或 ArcGIS 中组织的名称,例如 ArcGIS—SamlTest。
提示:上图中显示了从 URL 或文件导入数据源的步骤中对应的指定显示名称窗口。如果选择的是手动输入数据源信息,则向导左侧会显示在下面的步骤 6 到 8 中解释的附加步骤。如果选择 URL 或文件,则可跳到步骤 9。
- (仅限手动输入数据源)对于选择配置文件,选择 AD FS 2.0 配置文件。
- (仅限手动输入数据源)对于配置 URL,请选中启用对 SAML 2.0 WebSSO 协议的支持旁的复选框,并输入依赖方 SAML 2.0 SSO 服务的 URL。
依赖方 URL 应为 AD FS 在验证用户后发送 SAML 响应的 URL,应该是 HTTPS URL:https://<urlkey_for_org>.maps.arcgis.com/sharing/rest/oauth2/saml/signin.
- (仅限手动输入数据源)对于配置标识符,输入依赖方信任标识符的 URL。
它应该是 <urlkey_for_org>.maps.arcgis.com。
- 对于选择发放授权规则中,选择允许所有用户访问此依赖方。
提示:上图中显示了从 URL 或文件导入数据源的步骤中对应的选择发放授权规则窗口。如果选择的是手动输入数据源信息,则向导左侧将显示附加步骤。
- 对于准备添加信任,检查依赖方的所有设置并单击下一步。
提示:只有选择从 URL 导入数据源时,才会填充元数据 URL。下图显示的是选择手动输入数据源信息时的准备添加信任窗口。
- 对于完成,选中单击关闭按钮后自动打开编辑声明规则对话的复选框。
提示:上图中显示了从 URL 或文件导入数据源的步骤中对应的完成窗口。如果选择的是手动输入数据源信息,则向导左侧将显示附加步骤。
- 要设置声明规则,请打开编辑声明规则向导,然后单击添加规则。
- 在选择规则模板中,为想要创建的声明规则选择以声明形式发送 LDAP 属性,并单击下一步。
- 在配置声明规则中,提供规则名称,例如 NameID。
- 在属性存储中,选择 Active Directory。
- 在 LDAP 属性到外向声明类型的映射中,请为 LDAP 属性选择包含用户名(例如 SAM-Account-Name)的 LDAP 属性,并为外向声明类型选择 NameID。
注:NameID 属性必须由 AD FS 在 SAML 响应中发送,才能使 ArcGIS 的联合身份验证起作用。IDP 中的用户登录时,ArcGIS Online 会在其用户存储中创建用户名为 NameID_<url_key_for_org> 的新用户。NameID 属性发送的值中允许使用的字符包括字母数字、_(下划线)、.(圆点)以及 @(at 符号)。任何其他字符均会进行转义,从而在 ArcGIS Online 创建的用户名中包含下划线。
- ArcGIS Online 支持企业登录的 givenName 和 email address 属性从企业级身份提供者流入 ArcGIS Online。当用户使用企业登录帐户进行登录时,如果 ArcGIS Online 收到名为 givenname 和 email 或 mail 的属性(无论哪种),则 ArcGIS Online 将使用从身份提供者接收的值来填充用户帐户的全称和电子邮件地址。
按照以下说明编辑声明规则。
- 在属性 LDAP 列下选择显示名称(或从第二行的列表中选择其他属性),并将其映射到外向声明类型列下的给定名称。
- 在属性 LDAP 列下选择电子邮件地址,并将其映射到外向声明类型列下的电子邮件地址。
通过此声明,AD FS 会在对用户进行身份验证后将名称为 givenname 和 email 的属性发送至 ArcGIS Online。然后,ArcGIS Online 将使用 givenname 和 email 属性中接收的值,并填充 ArcGIS Online 用户帐户的全称和电子邮件地址。
建议您将电子邮件地址从企业级身份提供者传递到 ArcGIS Online。如果用户日后成为管理员,此操作将很有帮助。帐户中存在电子邮件地址的用户拥有接收所有管理活动的相关通知以及向其他用户发送加入组织的邀请的权利。
- 单击完成,结束将 AD FS 身份提供者配置为将 ArcGIS Online 作为依赖方包括在内的流程。