配置 Shibboleth 2.3.8

可将 Shibboleth 2.3.8 配置为 ArcGIS Online 中企业登录的身份提供者。配置过程涉及两个主要步骤:将企业级身份提供者注册到 ArcGIS Online,以及将 ArcGIS Online 注册到企业级身份提供者。

步骤 1:将 Shibboleth 2.3.8 作为企业级身份提供者注册到 ArcGIS Online

步骤:
  1. 验证您是否登录以及是否是组织的管理员。
  2. 单击站点顶部的我的组织按钮。将打开组织页面。
  3. 单击编辑设置按钮。
  4. 单击页面左侧的安全性链接。
  5. 企业登录部分,单击设置身份提供者按钮。
  6. 在随即打开的窗口中输入身份提供者的名称。
  7. 要为身份提供者提供元数据信息,可选择以下两个选项之一:
    • 文件 - 默认情况下,Shibboleth 在 SHIBBOLETH_HOME/metadata 中提供 IdP 元数据文件。如果元数据文件可供访问,请为企业级身份提供者的元数据选择文件选项,并浏览至文件 SHIBBOLETH_HOME/metadata/idp-metadata.xml
    • 参数 - 如果无法访问文件,请选择此选项。手动输入值并提供所需参数:登录 URL、绑定类型和证书。请联系 Shibboleth 管理员获取这些参数。

步骤 2:将 ArcGIS Online 作为受信服务提供者注册到 Shibboleth 2.3.8

步骤:
  1. 将 ArcGIS Online 配置为 Shibboleth 中的依赖方
    1. 获取 ArcGIS Online 组织的元数据文件,并将其保存为 XML 文件。

      要获取元数据文件,请以管理员身份登录组织,并打开组织页面。单击编辑设置按钮并单击安全性选项卡,然后在企业登录部分中单击获取服务提供者按钮。

    2. 通过在 SHIBBOLETH_HOME/conf/relying-party.xml 文件中定义新 RelyingParty 元素,将 ArcGIS Online 添加为 Shibboleth 中的受信服务提供者。

      ChainingMetadataProvider 中添加以下片段。提供贵组织元数据 XML 文件的路径(在步骤 2.1.a 中保存)。(将 citygis.maps.arcgis.com 替换为贵组织的 URL。)

      <!-- Load AGOL metadata -->
	    <MetadataProvider xsi:type="FilesystemMetadataProvider"
	                      xmlns="urn:mace:shibboleth:2.0:metadata"
	                      id="citygis.maps.arcgis.com"
	                      metadataFile="<PATH_TO_THE_SAVED_METADATA>/citygismetadata.xml">
  2. 配置属性解析程序。

    ArcGIS Online 要求将 SAML 名称标识符从尝试登录的用户的 IdP 传递到 ArcGIS Online。要使此数据可供使用,需要通过修改 SHIBBOLETH_HOME/conf/attribute-resolver.xml 文件来配置 Shibboleth 属性解析程序。

    以下属性定义将名称标识符中经 Shibboleth IdP 进行身份验证的用户的主名称发送到 ArcGIS Online。

    <!-- Name identifier for passing principal name to ArcGIS Online -->
    <resolver:AttributeDefinition id="principal" xsi:type="PrincipalName" xmlns="urn:mace:shibboleth:2.0:resolver:ad">
        <resolver:AttributeEncoder xsi:type="SAML2StringNameID" xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
            nameFormat="urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified" />
    </resolver:AttributeDefinition>
  3. 配置属性过滤器。

    配置 Shibboleth 属性过滤器,以在进行用户身份验证后将编码为 NameID 的用户主名称发布到 ArcGIS Online。

    要添加此过滤器,请打开 SHIBBOLETH_HOME/conf/attribute-filter.xml 文件并在 AttributeFilterPolicyGroup XML 元素中添加以下属性过滤器策略。(将 citygis.maps.arcgis.com 替换为贵组织的 URL。)

    <!-- release the NameID to citygis.maps.arcgis.com -->
    <afp:AttributeFilterPolicy>
            <afp:PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="citygis.maps.arcgis.com" />
    
            <afp:AttributeRule attributeID="principal">
                <afp:PermitValueRule xsi:type="basic:ANY" />
            </afp:AttributeRule>
    </afp:AttributeFilterPolicy>

    ArcGIS Online 支持企业登录的 givenNameemail address 属性从企业级身份提供者流入 ArcGIS Online。当用户使用企业登录帐户进行登录时,如果 ArcGIS Online 收到名为 givennameemailmail 的属性(无论哪种),则 ArcGIS Online 将使用从身份提供者接收的值来填充用户帐户的全称和电子邮件地址。

    建议您将电子邮件地址从企业级身份提供者传递到 ArcGIS Online。如果用户日后成为管理员,此操作将很有帮助。帐户中存在电子邮件地址的用户拥有接收所有管理活动的相关通知以及向其他用户发送加入组织的邀请的权利。

  4. 配置身份验证源。

    配置 Shibboleth IdP 使用的身份验证源。

    以下示例显示如何在 SHIBBOLETH_HOME/conf/login.config 文件中通过 Shibboleth 将 Apache Directory Server 配置为用户存储。

    ShibUserPassAuth {   
edu.vt.middleware.ldap.jaas.LdapLoginModule required
      ldapUrl="ldap://host:port"
      baseDn="ou=users,ou=system"
      ssl="true"
      serviceUser="uid=admin,ou=system"
      serviceCredential="secret"
      subtreeSearch="true"
      userField="uid"
      userFilter="uid={0}";
};

  5. 配置登录处理程序。

    在 Shibboleth 中启用 UsernamePassword 登录处理程序。通过登录处理程序,用户可以使用上一步中配置的身份验证源中的用户名和密码进行登录。

    要配置登录处理程序,请打开 SHIBBOLETH_HOME/conf/handler.xml 文件并取消注释用户名和密码登录处理程序。(将 <SHIBBOLETH_HOME> 替换为您的 Shiobboleth 安装路径。)

    <!--  Username/password login handler -->
     
    <ph:LoginHandler xsi:type="ph:UsernamePassword" 
                  jaasConfigurationLocation="file://<SHIBBOLETH_HOME>/conf/login.config">
        <ph:AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</ph:AuthenticationMethod>
    </ph:LoginHandler>

  6. 在 Shibboleth IdP 中关闭声明加密。

    ArcGIS Online 不支持来自身份提供者的加密 SAML 声明,因此需在 Shibboleth 中关闭声明加密。

    要关闭声明加密,请打开 SHIBBOLETH_HOME/conf/relying-party.xml 文件,并在 <DefaultRelyingParty>"saml: SAML2SSOProfile" 部分中将 encryptAssertions 的值更改为 never

    <rp:DefaultRelyingParty provider="https://grid3.esri.com/idp/shibboleth"
defaultSigningCredentialRef="IdPCredential">
...  
     <rp:ProfileConfiguration xsi:type="saml:SAML2ECPProfile" includeAttributeStatement="true" 
                                 assertionLifetime="PT5M" assertionProxyCount="0" 
                                 signResponses="never" signAssertions="always" 
                                 encryptAssertions="never" encryptNameIds="never"/>
...
</rp:DefaultRelyingParty>
  7. 重新启动托管 Shibboleth Web 应用程序的 Web 服务器。
Copyright © 1995-2013 Esri. All rights reserved.
9/20/2013