ArcGIS Online als Service Provider

Wahrscheinlich IdP 4.x-kompatibel

Die Anleitung ist wahrscheinlich auch für den Shibboleth IdP 4.x gültig. Bitte geben Sie uns Bescheid, wenn hier etwas aktualisiert werden muss.

Akademische Einrichtungen erhalten jeweils eigene ArcGIS Online Organisationsumgebungen im Rahmen einer Jahressubskription. Jede Subskription hat technisch gesehen einen eigenen Endpunkt und ist somit im Sprachgebrauch von SAML als eigener SP zu verstehen. Da somit in der DFN-AAI jeder IdP (Identity Provider) seinen eigenen ArcGIS Online SP (Service Provider) hat, wird die Anbindung im lokalen Metadatensatz empfohlen.

Die Webseite des Herstellers beschreibt die dazu notwendige Vorgehensweise für SAML grundsätzlich hier: https://doc.arcgis.com/de/arcgis-online/administer/enterprise-logins.htm und für Shibboleth im Speziellen hier: https://doc.arcgis.com/de/arcgis-online/administer/configure-shibboleth.htm.

Es ist zu beachten, dass ArcGIS Online den Empfehlungen der Interoperable SAML 2.0 Profilen folgt und bei einer verschlüsselten Assertion auch die Signierung der Assertion voraussetzt (https://saml2int.org/profile/current/#section91). Da die Standardkonfiguration von Shibboleth zwar die Verschlüsselung, nicht jedoch die Signierung der Assertion vorsieht, empfiehlt Esri in der Dokumentation die Verschlüsselung der Assertion abzuschalten (s. Schritt 4b https://doc.arcgis.com/de/arcgis-online/administer/configure-shibboleth.htm). Alternativ ist es jedoch auch möglich die Signierung der Assertion bei eingeschalteter Verschlüsselung zu aktivieren. Dazu muss der Schritt 4b aus der Anleitung wie folgt abgeändert werden:

Wenn Sie eine SAML:1.1:nameid-format:unspecified als Container für die zu übertragenden Attribute nutzen, richten Sie die Übertragung wie folgt ein:

relying-party.xml
<bean parent="RelyingPartyByName" c:relyingPartyIds="[The Entity ID of your ArcGIS Online organization]">
    <property name="profileConfigurations">
        <list>
	    <bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified" 
		p:signAssertions="true" />
	</list>
    </property>
</bean>

Alternativ können Sie wie gewohnt Ihre persistentIDs übertragen.

relying-party.xml
<bean parent="RelyingPartyByName" c:relyingPartyIds="[The Entity ID of your ArcGIS Online organization]">
    <property name="profileConfigurations">
        <list>
	    <bean parent="SAML2.SSO" p:nameIDFormatPrecedence="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent" 
		p:signAssertions="true" />
	</list>
    </property>
</bean>
  • Zuletzt geändert: vor 4 Jahren