Sie können Okta als IDP für SAML-Anmeldungen in Portal for ArcGIS konfigurieren. Die Konfiguration umfasst zwei Hauptschritte: die Registrierung des SAML-IDPs bei Portal for ArcGIS und die Registrierung von Portal for ArcGIS beim SAML-IDP.
Hinweis:
Um sicherzustellen, dass die SAML-Anmeldenamen sicher konfiguriert werden, informieren Sie sich über die Best Practices für die SAML-Sicherheit.
Erforderliche Informationen
Portal for ArcGIS erfordert das Empfangen bestimmter Attributinformationen vom Identity-Provider, wenn ein Benutzer sich mit SAML-Anmeldenamen anmeldet. Das Attribut NameID ist ein erforderliches Attribut, das von Ihrem Identity-Provider in der SAML-Antwort gesendet werden muss, damit der Verbund mit Portal for ArcGIS hergestellt werden kann. Da Portal for ArcGIS einen Named User anhand des Wertes NameID eindeutig identifiziert, empfiehlt sich die Verwendung eines konstanten Wertes zur eindeutigen Identifizierung des Benutzers. Wenn sich ein Benutzer des IDP anmeldet, erstellt Portal for ArcGIS im eigenen Benutzerspeicher einen neuen Benutzer mit dem Benutzernamen NameID. Die zulässigen Zeichen für den von NameID gesendeten Wert sind alphanumerische Zeichen, _ (Unterstrich), . (Punkt) und @ (At-Zeichen). Für alle anderen Zeichen werden Escapezeichen verwendet, sodass der von Portal for ArcGIS erstellte Benutzername stattdessen Unterstriche enthält.
Portal for ArcGIS unterstützt die Übernahme der E-Mail-Adresse, der Gruppenmitgliedschaften, des angegebenen Namens und des Nachnamens eines Benutzers vom SAML-Identity-Provider.
Registrieren von Okta als SAML-IDP bei Portal for ArcGIS
- Überprüfen Sie, ob Sie als Administrator Ihrer Organisation angemeldet sind.
- Klicken Sie im oberen Bereich der Seite auf Organisation und dann auf die Registerkarte Einstellungen.
- Klicken Sie links auf der Seite auf Sicherheit.
- Klicken Sie im Abschnitt Anmeldungen auf die Schaltfläche SAML-Anmeldung einrichten und wählen Sie die Option Ein Identity-Provider aus. Geben Sie auf der Seite Eigenschaften angeben den Namen der Organisation ein (z. B. City of Redlands). Wenn Benutzer auf die Website der Organisation zugreifen, wird dieser Text als Teil der SAML-Anmeldeoption angezeigt (z. B. Mit City of Redlands -Konto).
Hinweis:
Sie können nur einen SAML-Identity-Provider (IDP) oder einen Verbund von IDPs für Ihr Portal registrieren.
- Wählen Sie Automatisch oder Auf Einladung eines Administrators aus, um anzugeben, wie Benutzer der Organisation beitreten können. Durch Auswahl der ersten Option können sich Benutzer mit ihrem SAML-Anmeldenamen bei der Organisation anmelden, ohne dass ein Administrator eingreifen muss. Deren Konto wird bei der ersten Anmeldung automatisch bei der Organisation registriert. Die zweite Option erfordert, dass der Administrator die erforderlichen Konten mit einem Befehlszeilendienstprogramm beim Portal registriert. Nachdem die Konten registriert wurden, können sich die Benutzer bei der Organisation anmelden.
Tipp:
Es wird empfohlen, mindestens ein SAML-Konto als Administrator des Portals festzulegen und das initiale Administratorkonto herabzustufen oder zu löschen. Es wird empfohlen, die Schaltfläche Konto erstellen auf der Portal-Website zu deaktivieren, damit Benutzer keine eigenen Konten erstellen können. Vollständige Anweisungen finden Sie unter Konfigurieren eines SAML-kompatiblen Identity Providers mit dem Portal.
- Stellen Sie mithilfe einer der im Folgenden genannten Optionen Metadateninformationen für den Identity-Provider bereit:
- Datei: Laden Sie die Verbundmetadatendatei aus Okta herunter, oder kopieren Sie sie, und laden Sie die Datei mit der Option Datei in Portal for ArcGIS hoch.
Hinweis:
Wenn Sie einen Service-Provider das erste Mal bei Okta registrieren, müssen Sie die Metadatendatei herunterladen, nachdem Sie die Registrierung von Portal for ArcGIS bei Okta durchgeführt haben. - Hier angegebene Parameter: Wählen Sie diese Option, wenn kein Zugriff auf die URL oder die Verbundmetadatendatei besteht. Geben Sie die Werte manuell ein, und stellen Sie die angeforderten Parameter bereit: die Anmelde-URL und das Zertifikat, codiert im Base64-Format. Wenden Sie sich an Ihren Okta-Administrator, um diese Informationen zu erhalten.
- Datei: Laden Sie die Verbundmetadatendatei aus Okta herunter, oder kopieren Sie sie, und laden Sie die Datei mit der Option Datei in Portal for ArcGIS hoch.
- Konfigurieren Sie die erweiterten Einstellungen je nach Bedarf:
- Assertion verschlüsseln: Aktivieren Sie diese Option, um Antworten auf die SAML-Assertionen von Okta zu verschlüsseln.
- Signierte Anforderung aktivieren: Aktivieren Sie diese Option, wenn Portal for ArcGIS die an SAML gesendete Okta-Authentifizierungsanforderung signieren soll.
- Abmeldung an Identity-Provider propagieren: Aktivieren Sie diese Option, damit Portal for ArcGIS eine Abmelde-URL verwendet, um den Benutzer von Okta abzumelden. Geben Sie die URL ein, die in der Einstellung Abmelde-URL verwendet werden soll. Wenn der IDP eine Signierung der Abmelde-URL erfordert, muss die Option Signierte Anforderung aktivieren aktiviert sein.
- Profile beim Anmelden aktualisieren: Aktivieren Sie diese Option, wenn ArcGIS Enterprise die Attribute givenName und email address der Benutzer aktualisieren soll, falls diese sich seit der letzten Anmeldung geändert haben.
- SAML-basierte Gruppenmitgliedschaft aktivieren: Aktivieren Sie diese Option, damit Mitglieder der Organisation bestimmte SAML-basierte Gruppen während der Gruppenerstellung mit ArcGIS Enterprise-Gruppen verknüpfen können.
- Abmelde-URL: Die URL des Identity Providers, die zum Abmelden des aktuell angemeldeten Benutzers verwendet werden soll.
- Entitäts-ID: Aktualisieren Sie diesen Wert, wenn für die eindeutige Identifizierung Ihres Portals bei Okta eine neue Entitäts-ID verwendet werden soll.
Die Einstellungen Assertion verschlüsseln und Signierte Anforderung aktivieren verwenden das Zertifikat samlcert im Keystore des Portals. Um ein neues Zertifikat zu verwenden, löschen Sie das Zertifikat samlcert, erstellen Sie ein Zertifikat mit demselben Alias (samlcert), führen Sie die Schritte unter Importieren eines Zertifikats in das Portal aus, und starten Sie das Portal neu.
- Klicken Sie abschließend auf Speichern.
- Klicken Sie auf Service-Provider-Metadaten herunterladen, um die Metadatendatei des Portals herunterzuladen. Informationen in dieser Datei dienen zum Registrieren des Portals als vertrauenswürdiger Service-Provider bei Okta.
Registrieren von Portal for ArcGIS als vertrauenswürdiger Service-Provider bei Okta
- Melden Sie sich bei Ihrer Okta-Organisation als Mitglied mit Administratorberechtigungen an.
- Klicken Sie auf der Registerkarte "Anwendungen" auf die Schaltfläche Anwendung hinzufügen.
- Klicken Sie auf Neue App erstellen, und wählen Sie die Option SAML 2.0 aus. Klicken Sie auf Erstellen.
- Geben Sie unter Allgemeine Einstellungen einen App-Namen für Ihre Portal-Bereitstellung ein, und klicken Sie auf Weiter.
- Führen Sie auf der Registerkarte SAML konfigurieren die folgenden Schritte aus:
- Geben Sie den Wert für Single Sign-On (SSO)-URL ein, z. B. https://portalhostname.domain.com/portalcontext/sharing/rest/oauth2/saml/signin. Dieser Wert kann aus der Metadatendatei des Service-Providers über Ihr Portal heruntergeladen werden.
- Geben Sie den Wert für Zielgruppen-URI ein. Der Standardwert ist auf portalhostname.domain.com.portalcontext gesetzt. Dieser Wert kann aus der Metadatendatei des Service-Providers über Ihr Portal heruntergeladen werden.
- Lassen Sie Name ID Format auf Nicht definiert eingestellt.
- Ändern Sie unter Erweiterte Einstellungen die Option Assertionssignatur in Nicht signiert.
- Fügen Sie diese Attributanweisungen im Abschnitt Attributanweisungen hinzu:
givenName auf user.firstName gesetzt
surname auf user.lastName gesetzt
email auf user.email gesetzt
- Klicken Sie auf Weiter und auf Beenden.
- Jetzt wird der Abschnitt "Anmelden" Ihrer neu erstellten SAML-Anwendung angezeigt. Um die Metadaten des Okta-Identity-Providers abzurufen, klicken Sie auf die Registerkarte Anmelden und auf den Link Metadaten des Identity-Providers.
- Klicken Sie mit der rechten Maustaste auf die Registerkarte Personen, und konfigurieren Sie, welche für Okta authentifizierten Benutzer Zugriff in Ihrem Portal erhalten sollen.