Single Sign-On (SSO) bietet eine effiziente Methode zur sicheren Authentifizierung und ermöglicht den Zugriff auf mehrere ArcGIS Online-Organisationen über einer einzigen Anmeldung. In diesem Beitrag erfahren Sie mehr über SSO, dessen Vorteile und der Einrichtung von SAML .
Die ArcGIS Software, egal ob ArcGIS Pro, ArcGIS Online oder eine der zahlreichen weiteren Applikationen, wird über den Named User lizenziert. Dabei handelt es sich um personengebundene Lizenzen, die in ArcGIS Online administriert werden (siehe auch: Tipps & Tricks zur Administration von ArcGIS Online an Hochschulen). Die ArcGIS Online Administrator:innen sind für das Einrichten und Verwalten der Anwender:innen verantwortlich. In diesem Blogbeitrag zeigen wir Ihnen, wie Sie den Zeitaufwand dafür verringern können:
Das Verwenden von bereits bestehenden Organisationslogins (z.B. einer Schule, Universität oder Organisation) als Login für die Named User Authentifizierung hilft hier weiter. Ein solches ArcGIS Single Sign-On (SSO) kann in ArcGIS Online eingerichtet werden.
Single Sign-On erklärt (SSO)
SSO ermöglicht es den Anwender:innen, sich mit denselben Anmeldedaten bei verschiedenen Anwendungen anzumelden. Das bedeutet, dass Studierende, Dozierende und Mitarbeitende die gleichen Anmeldedaten aus dem Identitätsspeicher Ihrer Institution verwenden können, um sich bei ArcGIS Online anzumelden.
Ist ArcGIS für die Verwendung von SSO konfiguriert, nutzt es die Authentifizierungsmechanismen Ihrer Institution. Wenn Anwender:innen zum ersten Mal auf ArcGIS zugreifen und sich erfolgreich authentifizieren und autorisieren, wird automatisch ein ArcGIS Online-Konto erstellt und mit der institutionellen Identität verknüpft.
SSO kann für jede Ihrer ArcGIS Online Organisationen oder ArcGIS Enterprise Instanzen eingerichtet werden.
SSO zusammengefasst
- Single Sign-On Experience nutzt immer nur das Organisationslogin.
- SSO ermöglicht eine sichere Authentifizierung und Zugriff auf mehrere ArcGIS Online Organisationen (z.B. bei ArcGIS Enterprise und ArcGIS Online Komponenten) über eine einzige Anmeldung.
- Anwender:innen können auch auf ArcGIS Software zugreifen, ohne direkt einen Named User anfordern zu müssen. Sie als Administrator:in haben dennoch die volle Kontrolle und können den Zugang limitieren oder unterbinden.
- Wenn Personen nicht mehr zur Schule, Universität oder Organisation gehören und aus dem Identitätsspeicher entfernt werden, wird deren Zugriff auf ArcGIS Online automatisch gesperrt.
- Die SSO-Aktivierung vereinfacht das Monitoring der ArcGIS Online-Nutzung campus- bzw. organisationsweit. Durch die Verwendung von Organisationslogins können Sie Daten zwischen ArcGIS Online und anderen Campus-Systemen verknüpfen, um Nutzungsinformationen zu sammeln oder Benutzerrollen zu identifizieren. Ein Beispiel der University of Michigan finden Sie hier.
Was ist SAML?
SAML (Security Assertion Markup Language) ist ein offener Standard für den sicheren Austausch von Authentifizierungs- und Autorisierungsdaten zwischen einem Identity Provider (IDP Ihrer Organisation z.B. Microsoft Azure, Okta, Google Workspace, SwissID, etc.) und einem Service Provider (SP) – in diesem Fall ArcGIS Online. ArcGIS Online ist mit SAML 2.0 konform und lässt sich mit IDPs integrieren, die SAML 2.0 Web Single Sign-On unterstützen.
SAML ist ein XML-basiertes Framework, das zur Autorisierung, Authentifizierung und Kommunikation von Attributinformationen (z.B. Name, Ablaufdatum) und Privilegien (z.B. Level des Mitarbeiters, z.B. Student vs. Dozent) eines Organisationsmitglieds verwendet wird.
Wie richte ich SAML ein?
Die Einrichtung von SAML ist je nach Identity Provider leicht unterschiedlich. Der Workflow im Allgemeinen bleibt jedoch immer derselbe:
Zunächst sollten die Standardeinstellungen für neue Mitglieder in ArcGIS Online konfiguriert sein. Diese sind in der Registerkarte Organisation > Einstellungen zu finden.
- In ArcGIS Online in der Registerkarte Sicherheit > Neue SAML-Anmeldung > One Identity Provider eine neue SAML-Anmeldung konfigurieren.
- Nun einen Namen für die SAML-Anmeldung festlegen (Bsp. Name der Bildungseinrichtung).
- Die Option Wie Benutzer beitreten können > automatisch einstellen.
- Auf Seiten des Identity Providers eine neue Anwendung hinzufügen und einen Namen vergeben (Bsp. ArcGIS Online).
- Anschließend dort die zur Verfügung gestellte Metadata-File herunterladen.
- In ArcGIS Online dann das zuvor heruntergeladene Metadata-File unter Metadatenquelle für Enterprise-Identity-Provider hinzufügen und auf Speichern klicken. Hinweis: Die unteren Felder werden nach dem Upload der Datei automatisch ausgefüllt.
- Dann in ArcGIS Online die Service-Provider-Metadaten (ganz unten im Fenster) herunterladen.
- Nun wird abschließend im Identity Provider die Service-Provider-Metadaten-File aus ArcGIS Online hochgeladen.
Der komplette Workflow wird im folgenden Video auf Englisch erklärt: GeoMarvel: SAML Provider Integration for ArcGIS Online & Enterprise
Beispiele für verschiedene IdPs von Schulen finden Sie hier.
Verschiedene Identity Provider
ArcGIS und Microsoft Entra ID
Erfahren Sie, wie Sie Single Sign-On zwischen Microsoft Entra ID (ADFS) und ArcGIS Online konfigurieren können: Anleitung (EN)
ArcGIS und Google Workforce
So verbinden Sie Google Workforce mit ArcGIS Online und richten SSO ein: Anleitung (EN)
ArcGIS und Shibboleth
So richten Sie Single Sign-On zwischen Shibboleth und ArcGIS Online ein: Dokumentation (DE), Wiki (EN)
Weitere Hinweise
Welche Aufgaben werden durch SSO nicht eliminiert?
- Gruppen verwalten: Für einen Kurs oder ein Projekt muss weiterhin eine Gruppe manuell erstellt werden. Zum automatischen Hinzufügen von Mitgliedern steht eine SAML-basierte Gruppenmitgliedschaftsfunktionalität zur Unterstützung zur Verfügung.
Mit der Option SAML-basierte Gruppenmitgliedschaft aktivieren können Sie Gruppenmitgliedschaften in ArcGIS Online automatisch verwalten, indem Sie sie mit einer gleichnamigen Gruppe in Ihrem Identity Provider verknüpfen. Angenommen, Sie haben in Ihrem Identity Provider eine Gruppe mit dem Namen „arcgis-earth-380-001“, die eine Liste aller Studierenden Ihres Kurses enthält, dann können Sie in ArcGIS Online eine Gruppe mit demselben Namen erstellen und unter „Wie können Personen dieser Gruppe beitreten“ die Option „Mitglied einer SAML-Gruppe sein“ auswählen.
Wenn sich nun Benutzer:innen, die Mitglieder dieser Verzeichnisgruppe sind, in ArcGIS Online anmelden, werden sie automatisch als Mitglieder dieser ArcGIS Online Gruppe erkannt. Sie müssen nicht manuell zu dieser ArcGIS Online Gruppe hinzugefügt werden.
- Inhalte verwalten: Wenn ein Studierender oder Dozierender die Institution verlässt, können, falls gewünscht, dessen Inhalte entsprechend verwaltet werden. Hier können automatische Workflows über Jupyter Notebooks sinnvoll sein.
- Kommunikation zwischen Rechenzentrum (IT) und ArcGIS Online Administrator:innen muss weiterhin stattfinden, wenn Benutzer:innen die Universität verlassen. Dies kann beispielsweise durch ein automatisiertes Mailing realisiert werden, um sicherzustellen, dass eine Datensicherung in ArcGIS Online durchgeführt werden kann, bevor Benutzer:innen den Zugang verlieren.
ArcGIS Online und ArcGIS Enterprise
Falls das gleiche Organisationslogin in ArcGIS Enterprise und ArcGIS Online gebraucht werden soll, ist die Dokumentation von ArcGIS Enterprise hilfreich.
Datenschutz und Anonymisierung von Login-Informationen der Universität
Die “NameID”, die vom Identity Provider (z.B. Google Workspace) an ArcGIS Online gesendet wird, muss einzigartig sein. ArcGIS nutzt sie, um einen “uniquen” bzw. eindeutigen Benutzernamen zu erstellen, der organisationweit und global sichtbar sein kann. Eine Anonymisierung der “NameID” ist somit nur im Identity Provider möglich.
Beispiel
Wenn in Google Workspace einer Universität die Namens-ID gleich der E-Mail des Studierenden eingestellt wird. So sehen die resultierenden AGO-Nutzernamen etwa so aus: user@domain.edu_AGOsubdomain (z. B. stefan@esri.edu_esri_edu_student ).
Wenn die Studierenden über eine Veröffentlichungserlaubnis außerhalb der Organisation verfügen, wird die E-Mail-Adresse auf der Detailseite eines Dienstes, einer Karte, einer App oder eines anderen veröffentlichten Elements angezeigt (Beispielliste mit Benutzernamen ohne E-Mail-Adresse).