Название организации ип: Какое название ИП можно зарегистрировать

1 Общие опции

Можно установить следующие параметры:

атрибуты

Это должно указывать, какие атрибуты должен получить SP.это используется, например, в модуле согласия : Согласие , чтобы сообщить пользователю какие атрибуты получит SP, и ядро ​​: AttributeLimit модуль, чтобы ограничить, какие атрибуты отправляются SP.

authproc

Используется для управления атрибутами и ограничения доступа для каждого SP. Видеть руководство по фильтру обработки аутентификации.

base64attributes

Указывает, должны ли атрибуты, отправленные этому SP, быть закодированы в base64. В по умолчанию ЛОЖЬ .

описание

Описание этого SP. Будет использоваться различными модулями, когда они необходимо показать пользователю описание ИП.

Этот вариант можно перевести на несколько языков в одном Кстати как название -опция.

название

Имя этого ИП. Будут использоваться различными модулями при необходимости чтобы показать пользователю имя ИП.

Если этот параметр не установлен, вместо него будет использоваться название организации (если оно доступно).

Этот вариант можно перевести на несколько языков, указав значение в виде массива кода языка для переведенного имени:

  'name' => [
    'ru' => 'Услуга',
    'no' => 'En tjeneste',
],
  

Название организации

Название организации, ответственной за данную SPP. Это имя не обязательно должно быть пригодным для отображения конечным пользователям.

Этот параметр можно перевести на несколько языков, указав значение в виде массива кода языка для переведенного имени:

  'OrganizationName' => [
    'ru' => 'Пример организации',
    'no' => 'Организация Эксемпель',
],
  

Примечание : Если вы укажете эту опцию, вы также должны указать опцию OrganizationURL .

Название организации

Название организации, ответственной за этот IdP. Это имя должно быть подходящим для отображения конечным пользователям. Если этот параметр не указан, вместо него будет использоваться OrganizationName .

Этот параметр можно перевести на несколько языков, указав значение в виде массива кода языка для переведенного имени.

Примечание : Если вы укажете эту опцию, вы также должны указать опцию OrganizationName .

ОрганизацияURL

URL-адрес, по которому конечный пользователь может получить дополнительную информацию об организации.

Этот параметр можно перевести на несколько языков, указав значение в виде массива кода языка для переведенного URL.

Примечание : Если вы укажете эту опцию, вы также должны указать опцию OrganizationName .

AssertionConsumerService

URL-адрес конечной точки AssertionConsumerService для этого SP.Эта опция обязательна - без нее вы не сможете отправить ответы обратно в ИП.

Значение этой опции указывается в одном из нескольких форматов конечной точки.

кодировки атрибутов

Какая кодировка должна использоваться для различных атрибутов. Это массив, который отображает имена атрибутов в кодировки атрибутов. Там есть три разных кодировки:

• строка : будет включать атрибут как обычную строку.Это по умолчанию.

• base64 : сохранить атрибут как строку в кодировке base64. Этот используется по умолчанию, если для параметра base64attributes -option установлено значение ИСТИНА .

• raw : сохранить атрибут без изменений. Этот позволяет включать в ответ необработанный XML.

атрибутов. NameFormat

Какое значение будет установлено в поле Формат атрибута заявления.Этот параметр можно настроить в нескольких местах, и фактическое используемое значение извлекается из метаданных следующими приоритет:

1. Удаленные метаданные SP

2. Метаданные, размещенные IdP

Значение по умолчанию: urn: oasis: names: tc: SAML: 2.0: attrname-format: uri

Некоторые примеры значений, указанных в SAML 2.0 Core Спецификация:

• урна: oasis: names: tc: SAML: 2.0: формат-атрибута: не указано

• urn: oasis: names: tc: SAML: 2.0: attrname-format: uri (по умолчанию в Shibboleth 2.0, обязательно согласно SAML2INT)

• urn: oasis: names: tc: SAML: 2.0: attrname-format: basic (The по умолчанию в Sun Access Manager)

Вы также можете определить собственное значение.

Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP. Этот запись в метаданных SP-remote отменяет параметр в Метаданные, размещенные IdP.

аудитория

Массив дополнительных сущностей, которые нужно добавить в AudienceRestriction. По умолчанию единственной аудиторией является entityID провайдера.

сертификат данных

Сертификат в кодировке base64 для этого SP. Это альтернатива хранению сертификата в файле на диске и указанию имени файла в опции сертификата .

сертификат

Имя файла сертификата для данного SP.Сертификат используется для проверять подпись сообщений, полученных от ИП (если redirect.validate имеет значение TRUE ), а для утверждений шифрования (если для параметра assertion.encryption установлено значение ИСТИНА, а для общего ключа установлено значение отключен.)

шифрование. Алгоритмы черного списка

Алгоритмы шифрования, занесенные в черный список. Это массив, содержащий идентификаторы алгоритмов.

Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP.Этот запись в метаданных SP-remote отменяет параметр в Метаданные, размещенные IdP.

Алгоритм шифрования RSA с заполнением PKCS # 1 v1.5 по умолчанию занесен в черный список из соображений безопасности. Любые утверждения Следовательно, зашифрованные с помощью этого алгоритма расшифровать не удастся. Вы можете преодолеть это ограничение, указав пустой массив в этой опции (или занесение в черный список любых других алгоритмов, кроме этого). Однако это сильно не рекомендуется делать это. Для вашей безопасности используйте строку http: // www.w3.org/2001/04/xmlenc#rsa-1_5 'если вы воспользуетесь этой возможностью.

ForceAuthn

Установите это значение TRUE , чтобы заставить пользователя повторно аутентифицироваться, когда IdP получает запросы аутентификации от этого SP. По умолчанию ЛОЖНО .

ИмяIDFormat

NameIDFormat , который должен получить этот SP. Это может быть указано в виде строки или массива.

Три наиболее часто используемых значения:

1. урна: оазис: имена: tc: SAML: 2.0: формат nameid: переходный
2. urn: oasis: names: tc: SAML: 2.0: nameid-format: постоянный
3. urn: oasis: names: tc: SAML: 1.1: nameid-format: emailAddress

Переходный формат будет генерировать новый уникальный идентификатор каждый раз ИП входит в систему.

Для правильной поддержки постоянных форматов и emailAddress , необходимо настроить фильтры генерации NameID на вашем IdP.

nameid.encryption

Должны ли быть зашифрованы NameID, отправленные этому SP. По умолчанию значение ЛОЖЬ .

Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP. Этот запись в метаданных SP-remote отменяет параметр в Метаданные, размещенные IdP.

saml20.sign.response

Следует ли подписывать сообщения . По умолчанию ИСТИНА .

Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP. Значение в метаданных SP-remote переопределяет значение в метаданных, размещенных IdP.

saml20.sign.assertion

Следует ли подписывать элементы . По умолчанию ИСТИНА .

Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP. Значение в метаданных SP-remote переопределяет значение в метаданных, размещенных IdP.

подпись. Алгоритм

Алгоритм, используемый при подписании любого сообщения, отправляемого данному поставщику услуг. По умолчанию RSA-SHA256.

Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP. Значение в метаданных SP-remote переопределяет значение в метаданных, размещенных IdP.

Возможные значения:

• http://www.w3.org/2000/09/xmldsig#rsa-sha1 Примечание : использование SHA1 не рекомендуется и будет запрещено в будущем.
• http://www.w3.org/2001/04/xmldsig-more#rsa-sha256 По умолчанию.
• http://www.w3.org/2001/04/xmldsig-more#rsa-sha384
• http://www.w3.org/2001/04/xmldsig-more#rsa-sha512

подпись. Личный ключ

Имя файла закрытого ключа для этого IdP в формате PEM. Имя файла указывается относительно каталога cert /.

Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP.Эта запись в метаданных SP-remote переопределяет параметр privatekey в метаданных, размещенных IdP.

подпись.privatekey_pass

Кодовая фраза для закрытого ключа. Не используйте этот параметр, если закрытый ключ не зашифрован.

Обратите внимание, что эта опция используется, только если присутствует signature.privatekey .

подпись. Свидетельство

Файл сертификата, включенный IdP для KeyInfo в подпись для SP, в формате PEM.Имя файла указывается относительно каталога cert /.

Если присутствует signature.privatekey , а значение signature.certificate оставлено пустым, X509Certificate не будет включен в подпись.

подпис. Выход

Следует ли подписывать сообщения о выходе из системы, отправленные этому SP.

Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP. Значение в метаданных SP-remote переопределяет значение в метаданных, размещенных IdP.

simplesaml.nameidattribute

Если для параметра NameIDFormat установлено значение , адрес электронной почты или , постоянный , это имя атрибута, который следует использовать как значение NameID . Атрибут должен быть в наборе атрибутов, экспортируемых в SP (т. е. быть в массив атрибутов ). Для более расширенного контроля над NameID , включая возможность указать любой атрибут независимо от набор, отправленный SP, см. фильтры обработки NameID.Обратите внимание, что значение атрибута собирается после запуска authproc-filter.

Типичными значениями могут быть mail при использовании формата email , и eduPersonTargetedID при использовании постоянного формата .

simplesaml.attributes

Должен ли SP получать какие-либо атрибуты от IdP. В значение по умолчанию - ИСТИНА .

SingleLogoutService

URL-адрес конечной точки SingleLogoutService для этого SP.Эта опция необходима, если вы хотите реализовать единый выход для это ИП. Если опция не указана, этот SP не будет регистрироваться. автоматически отключается при инициализации единственной операции выхода.

Значение этой опции указывается в одном из нескольких форматов конечной точки.

SingleLogoutServiceResponse

На этот SP должен быть отправлен URL-адрес выхода из системы. Если этот вариант не указано, конечная точка SingleLogoutService будет использоваться как получатель ответов о выходе из системы.

SPNameQualifier

Спецификатор NameQualifier для этого SP. Если не установлен, IdP установит SPNameQualifier должен быть идентификатором объекта SP.

validate.authnrequest

Требуется ли нам подписи в запросах аутентификации, отправленных от этого SP. Установите:

true: запрос authnrequest должен быть подписан (и подпись будет проверена) null: authnrequest может быть подписан, если это так, подпись будет проверена false: подпись authnrequest никогда не проверяется

Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP.Значение в метаданных SP-remote переопределяет значение в метаданных, размещенных IdP.

validate.logout

Требуются ли подписи для сообщений о выходе из системы, отправляемых этим SP.

Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP. Значение в метаданных SP-remote переопределяет значение в метаданных, размещенных IdP.

1.1 Шифрование утверждений

Можно зашифровать утверждения, отправленные на SP.В настоящее время поддерживается только алгоритм: AES128_CBC или RIJNDAEL_128 .

SimpleSAMLphp поддерживает два режима шифрования. Один симметричное шифрование, и в этом случае и SP, и IdP должны поделитесь ключом. Другой режим - использование шифрования с открытым ключом. В В этом режиме открытый ключ SP извлекается из сертификата СП.

assertion.encryption

Следует ли зашифровать утверждения, отправленные этому SP.По умолчанию значение ЛОЖЬ .

Обратите внимание, что этот параметр также существует в метаданных, размещенных IdP. Этот запись в метаданных SP-remote отменяет параметр в Метаданные, размещенные IdP.

общий ключ

Симметричный ключ, который следует использовать для шифрования. Это должно быть 128-битный, 192-битный или 256-битный ключ в зависимости от используемого алгоритма. Если этот параметр не указан, вместо него будет использоваться шифрование с открытым ключом.

sharedkey_algorithm

Алгоритм, который следует использовать для шифрования.Возможные значения:

• http://www.w3.org/2001/04/xmlenc#aes128-cbc
• http://www.w3.org/2001/04/xmlenc#aes192-cbc
• http://www.w3.org/2001/04/xmlenc#aes256-cbc
• http://www.w3.org/2009/xmlenc11#aes128-gcm
• http://www.w3.org/2009/xmlenc11#aes192-gcm
• http://www.w3.org/2009/xmlenc11#aes256-gcm

1.2 Поля для подписи и проверки сообщений

SimpleSAMLphp по умолчанию подписывает только ответы на аутентификацию.Подпись запросов на выход и ответов на выход может быть включена установка опции redirect.sign . Проверка полученных сообщений можно включить с помощью параметра redirect.validate .

Эти параметры переопределяют параметры, заданные в saml20-idp-hosted .

redirect.sign

Должны ли запросы на выход и ответы на выход, отправленные на этот SP быть подписанным. По умолчанию ЛОЖЬ .

редирект.проверить

Ли запросы аутентификации, запросы выхода и выхода из системы ответы, полученные от этого ИП, должны быть проверены. По умолчанию ЛОЖЬ

Пример: конфигурация для проверки сообщений

  'redirect.validate' => ИСТИНА,
'certificate' => 'example.org.crt',
  

1.3 Поля для определения объема

Актуально только в том случае, если вы являетесь прокси / мостом и хотите ограничить количество idps. зр можно использовать.

IDPList

Список idps в области видимости, т.е.список entityid для idps, которые актуально для этого зр. Последний список - это объединение списка заданный как параметр для InitSSO (в sp), список настроен в sp и список, настроенный на ipd (здесь) для этого sp. Пересечение окончательного списка, и идентификаторы idps, настроенные на этом идентификаторе idp, будут при необходимости предоставляется пользователю в службе обнаружения. Если бы только один idp находится на пересечении, служба обнаружения перейдет непосредственно к idp.

Пример: конфигурация для определения объема

  'IDPList' => ['https: // idp1.wayf.dk ',' https://idp2.wayf.dk '],
  

Настройка параметров единого входа в организации

Добавление подключения

В этом разделе будет рассказано, как подключить вашу лицензию Qualtrics к SAML SSO. Для начала перейдите на вкладку SSO в настройках вашей организации и выберите Добавить соединение .

Общая информация

Информация о протоколе

В разделе Информация о протоколе выберите SAML .

После выбора SAML вам необходимо будет ввести настройки своего поставщика идентификационной информации, и вы сможете загрузить метаданные нашего поставщика услуг, нажав Загрузить метаданные поставщика услуг . Это доступно только после того, как вы впервые сохранили настройки подключения.

Qtip: Если ваш поставщик удостоверений требует, чтобы вы сначала указали информацию о подключении поставщика услуг, вы сможете увидеть наш идентификатор объекта и URL-адрес потребителя утверждения, прежде чем сможете загрузить полный файл метаданных.

Qtip: Если вы будете использовать InCommon для получения наших метаданных, включите переключатель Use InCommon Metadata . Обратите внимание, что это изменит идентификатор объекта поставщика услуг и URL-адрес ACS, чтобы они соответствовали значениям, используемым в InCommon. Если вы уже настроили своего поставщика удостоверений, вам также потребуется обновить его настройки.

При настройке метаданных поставщика услуг (SP) на портале IdP ознакомьтесь с нашим руководством по распространенным поставщикам удостоверений.

Загрузка настроек поставщика удостоверений

Если у вас есть информация о метаданных вашего IdP, доступная в формате XML, щелкните Загрузить метаданные IdP и вставьте его в открывшееся окно. Это заполнит поля на следующих этапах (идентификатор объекта, привязки службы единого входа, сертификаты) предоставленной вами информацией.

Qtip: Метаданные вашего IdP, скорее всего, будут XML-файлом, который начинается и заканчивается тегами Qtip: Дополнительную информацию о метаданных IdP см. На этом веб-сайте. Обратите внимание, что нам не принадлежит этот PDF-файл или содержащаяся в нем информация.

Идентификатор объекта

Entity ID - это уникальный идентификатор вашего провайдера идентификации, который можно найти в метаданных вашего IdP. Это поле будет автоматически заполнено из ваших загруженных метаданных, или вы можете добавить его вручную.

Привязки службы единого входа

Привязки службы единого входа - это конечные точки, используемые для подключения к поставщику удостоверений, которые можно найти в метаданных вашего IdP.

Чтобы добавить новую привязку вручную,

1. Выберите Тип привязки . Qualtrics в настоящее время поддерживает HTTP POST и HTTP Redirect.

   Qtip: Если включен HTTP POST, запрос SAML будет подписан.

2. В разделе Местоположение привязки введите URL-адрес.
3. Щелкните Добавить привязку .
4. Как только вы добавите привязку, она появится в списке вверху. Если вы добавили несколько привязок, для включения можно выбрать только , одну .

Вы можете удалить привязки, используя значок корзины справа от привязки.

Сертификаты

Сертификат - это ключ, используемый для аутентификации соединения SAML. Qualtrics требует подписывающий сертификат для входа в систему, инициированного SP, который можно найти в метаданных вашего IdP. Если вы планируете использовать только входы, инициированные поставщиком идентификационной информации, сертификат подписи не требуется.

Чтобы добавить новый сертификат,

1. Установите Тип сертификата на Подпись .
2. Под сертификатом , вставьте ключ.
3. Щелкните Добавить сертификат .

Вы можете добавить несколько сертификатов подписи.

Вы можете удалить сертификаты, используя значок корзины справа от сертификата.

Дополнительные опции

Все следующие настройки являются необязательными. Внимательно прочтите, что каждый из них делает, прежде чем включать или отключать их.

• Sign Request: Если у вас есть привязка, которая является запросом AuthN, и вы хотите, чтобы мы ее подписали, включите этот параметр. Чтобы гарантировать, что запрос поступил от Qualtrics, а не от кого-то, кто мог перехватить сообщение, мы подпишем запрос, отправленный провайдеру идентификации.
• Принудительная аутентификация: При включении Qualtrics заставит вашего IdP аутентифицировать пользователей, даже если есть активный сеанс.Работает только в том случае, если ваш IdP поддерживает такие настройки.
• Включить предотвращение повторного воспроизведения утверждений: Если этот параметр включен, Qualtrics не будет повторно использовать утверждение, которое мы уже видели, что является одним из способов предотвращения атак повторного воспроизведения SAML. Мы рекомендуем вам включить эту опцию.

Поля атрибутов пользователя

В этом разделе вы должны ввести имена атрибутов, которые вы планируете отправлять при обмене SAML. Единственное обязательное поле - это адрес электронной почты, но мы настоятельно рекомендуем включить поле имени, фамилии и имени пользователя, чтобы заполнить профиль пользователя в Qualtrics.Поля «Тип пользователя», «Подразделение» и «Группа» - это необязательные поля, которые можно использовать для сопоставления ролей.

Все имена атрибутов чувствительны к регистру и должны быть написаны точно так же, как они указаны в разделе «Атрибуты» вашего ответа SAML. Qualtrics не может пройти аутентификацию вне поля «NameID» в вашем ответе SAML.

• Поле электронной почты: Имя поля, содержащего электронные письма пользователей. Это поле обязательно к заполнению.
• Поле имени пользователя: Поле, содержащее имена пользователей, если вы хотите, чтобы они отличались от адресов электронной почты.Это поле является необязательным и будет использоваться по умолчанию как поле электронной почты, если ничего не указано.

  Qtip: Лучше всего использовать уникальное неизменяемое поле для имени пользователя. Это может быть адрес электронной почты или уникальный идентификатор, например идентификатор сотрудника.

• Поле имени: Имена пользователей. По умолчанию используется электронная почта, если ничего не указано.
• Поле фамилии: Фамилии пользователей. Если ничего не указано, по умолчанию используется электронная почта.
• Поле типа пользователя: Вы можете захотеть, чтобы пользователи были привязаны к определенному типу пользователей, как только они впервые войдут в Qualtrics.См. Раздел «Назначение разрешений пользователям» для получения дополнительной информации.
• Поле подразделения: Вы можете захотеть, чтобы пользователи были назначены в определенное подразделение, как только они впервые войдут в Qualtrics. См. Раздел «Назначение разрешений пользователям» для получения дополнительной информации.
• Поле группы: Вы можете захотеть, чтобы пользователи были включены в определенную группу, как только они впервые войдут в Qualtrics. Если это поле оставить пустым, пользователи не будут распределяться по группам. См. Раздел «Назначение разрешений пользователям» для получения дополнительной информации.
• Включить Обновлять атрибуты пользователя при каждом входе в систему Установите переключатель , если вы хотите, чтобы атрибуты пользователя обновлялись каждый раз при входе в систему. Qualtrics обновит свои пользовательские атрибуты до значения, предоставленного поставщиком удостоверений при входе в систему.

После ввода этих имен атрибутов вы можете настроить остальную часть сопоставления в следующем разделе «Параметры сопоставления».

Qtip: Имя атрибута может даже отображаться как URL. Обычно это происходит с ADFS и IdP Azure и может выглядеть так:

  http: // схемы.xmlsoap.org/ws/2005/05/identity/claims/emailaddress  

Убедитесь, что вы проверили ответ SAML, чтобы узнать, как указан атрибут.

Параметры отображения

Если вы выбрали установку типов пользователей, групп или подразделений, вам нужно будет сопоставить значения атрибутов с существующими полями в Qualtrics. Вы должны указать, какие значения соответствуют типам пользователей, группам или подразделениям в Qualtrics.

В поле «Значение поставщика удостоверений» введите значение, указанное в ответе SAML.В разделе «Значение Qualtrics» выберите соответствующий тип, группу или подразделение. Затем щелкните Добавить сопоставление . Вам нужно будет выполнить эти шаги для каждого значения, определенного вашим поставщиком удостоверений.

Чтобы ограничить доступ к платформе только сопоставленным типам пользователей, вы можете выбрать «Проверить тип пользователя». Это означает, что каждый раз, когда пользователь пытается войти в Qualtrics через SSO, система оценивает значения, переданные для атрибута, чтобы гарантировать, что хотя бы одно значение учтено в условиях сопоставления типа пользователя.

Если вы решите не отображать типы пользователей, подразделения или группы, всем пользователям будет назначен тип пользователя с самостоятельной регистрацией по умолчанию, выбранный на вкладке «Администратор» в разделе «Типы пользователей».

Параметры инициализации пользователей

• Своевременная подготовка: Если пользователь не существует в Qualtrics и успешно входит в систему через систему единого входа с утвержденным доменом электронной почты, создайте нового пользователя.
• Уведомить администраторов о создании пользователя : Уведомить определенных администраторов, когда пользователь будет создан под их брендом Qualtrics. Вы можете указать, кто будет получать это уведомление, в разделе «Уведомление по электронной почте для самостоятельной регистрации».
• Действительные домены электронной почты: Введите домены электронной почты, которые можно использовать для регистрации в учетной записи Qualtrics в соответствии с вашей лицензией.По умолчанию используется звездочка ( * ), означающая, что для регистрации можно использовать любые домены. Разделите несколько доменов запятыми. Qtip: Этот список влияет только на регистрацию SSO. Это не влияет на другие действующие домены электронной почты, сохраненные в настройках бренда.

Параметры миграции пользователей

После тестирования и включения нового SSO-соединения вам может потребоваться обновить имена всех существующих пользователей в вашей лицензии. Когда пользователи входят в систему через систему единого входа, Qualtrics проверяет, есть ли у них существующая учетная запись, используя атрибут, указанный вами в поле «Имя пользователя».Чтобы гарантировать, что вход в систему единого входа совпадает с соответствующей существующей учетной записью пользователя, имя пользователя, указанное на вкладке "Администратор", должно иметь следующий формат.

  Value_of_Username_field_attribute # organizationID  

Qtip: #OrganizationID не нужно отправлять в утверждении SAML.Это будет отображаться только в приложении Qualtrics.

Вы можете обновить имена пользователей до этого формата, используя любой из пяти следующих способов:

Метод 1. Добавление #OrganizationID к существующим именам пользователей

Если вам нужно только добавить #organizationID в конец имен существующих пользователей, вы можете включить опцию Изменить существующее имя пользователя при входе в систему . Когда пользователь входит в систему через систему единого входа в первый раз, #organizationID будет автоматически добавлен в конец его имени пользователя.

Qtip: Настоятельно рекомендуется включить эту опцию.

Метод 2: Своевременная подготовка

Если у вас включена своевременная подготовка в разделе «Параметры подготовки пользователей», вы можете выбрать вариант « Объединить с существующим пользователем при входе в систему ». Если верно следующее, пользователю будет предложен следующий экран:

• В бренде еще нет учетной записи, имя пользователя которой соответствует значению имени пользователя системы единого входа для пользователя.
• Пользователь входит в систему в первый раз после включения системы единого входа для бренда.

1. Пользователь должен выбрать Да, у меня есть уже существующая учетная запись , если у них уже есть учетная запись Qualtrics внутри бренда. Затем пользователь должен ввести учетные данные своей учетной записи Qualtrics и щелкнуть Проверить учетную запись . Это обновит их существующее имя пользователя учетной записи Qualtrics, чтобы оно соответствовало значению имени пользователя SSO, переданному при входе в систему. Пользователь не увидит этот экран при движении вперед:
   
2. Пользователь должен выбрать Нет, у меня нет существующей учетной записи , если у него еще нет учетной записи Qualtrics внутри бренда.Затем пользователь должен щелкнуть Войти при появлении запроса. Это создаст учетную запись Qualtrics со значением имени пользователя для системы единого входа, переданным при входе в систему. Пользователь не увидит, как этот экран движется вперед.

Предупреждение : этот метод требует ввода данных пользователем, что может привести к ошибке пользователя.

Метод 3: небольшое количество пользователей

Если у вас небольшое количество существующих пользователей, вы можете обновить имена пользователей вручную на странице администратора.

Метод 4: большое количество пользователей

Если у вас много существующих пользователей и для вашей лицензии включен API, вы можете использовать наш общедоступный API для обновления имен пользователей.

Метод 5: Лицензия на опыт сотрудника

Если вы используете платформу Employee Experience, вы можете обновить имена пользователей с помощью функции загрузки файлов.

Предупреждение: Если вы не обновите имена пользователей существующих пользователей, могут быть созданы дублирующиеся учетные записи и / или пользователи могут потерять доступ к платформе.

Атрибуты приборной панели

Если ваша лицензия включает CX Dashboards или любой из наших продуктов для взаимодействия с сотрудниками, вы можете передавать дополнительные атрибуты, помимо тех, которые определены в разделе «Пользовательские атрибуты».Для CX Dashboards эти дополнительные атрибуты можно использовать для автоматического назначения ролей пользователям при аутентификации SSO. Для наших продуктов Employee Experience вы сможете получить только один дополнительный атрибут, называемый уникальным идентификатором. Это поле является обязательным для всех участников и может быть назначено с помощью аутентификации SSO или с помощью функции загрузки файлов.

Чтобы добавить дополнительные атрибуты, включите Захват дополнительных атрибутов для панелей мониторинга .

После включения этого параметра вы должны ввести имена атрибутов, которые вы хотите записать, в точности так, как они указаны в разделе «Заявление об атрибуте» вашего ответа SAML.

Применение и отмена изменений

Чтобы сохранить изменения, нажмите Применить .

Qtip: Эта кнопка может быть недоступна, если есть какие-либо ошибки в заполненных вами полях. Вам нужно будет решить эти проблемы, прежде чем вы сможете применить изменения.

Если вы хотите вернуть изменения, сделанные на экране, к последней сохраненной версии, а не применять их, щелкните Вернуть .

Включение и отключение подключений SSO

Qtip: Вы можете добавить до пяти подключений одновременно, но можно включить только , одно SSO-соединение.

Когда вы впервые добавляете соединение, оно по умолчанию будет отключено. Включение SSO-соединения означает, что SSO-вход теперь активен на вашей лицензии для всей вашей пользовательской базы.

Вы также увидите соединение с меткой Qualtrics Login для [ID вашей организации] . Отключение этого подключения потребует от всех пользователей входа в систему через систему единого входа и отключит возможность входа пользователей с их именем пользователя и паролем Qualtrics.Вы можете включить это соединение и дополнительное соединение SSO одновременно.

Qtip: Если вы работаете с внешним консультантом, у которого нет учетных данных SSO в вашей организации, вам, скорее всего, потребуется включить эту опцию.

Предупреждение: Отключение соединения приведет к отключению входа в систему для всей вашей пользовательской базы. После отключения SSO-соединения пользователям необходимо будет войти в систему, используя отдельные имя пользователя и пароль Qualtrics. При отключении или включении соединения помните, как это повлияет на вашу пользовательскую базу .

URL-адрес вашей организации (https://OrganizationID.qualtrics.com) теперь будет перенаправлять на вход SSO, инициированный SP. Пользовательский опыт будет одним из двух следующих сценариев:

Пользовательский опыт, если вы разрешаете вход только через систему единого входа

Если вы разрешаете только SSO-входы , , пользователь перейдет на свой URL-адрес организации и будет автоматически перенаправлен через ваш поток аутентификации SSO.

Qtip: Пользователь может увидеть вашу страницу входа в систему SSO, если в настоящее время у него нет активного сеанса SSO.Пользователь может автоматически войти на платформу, если у него в настоящее время есть активный сеанс единого входа.

Взаимодействие с пользователем, если вы разрешаете как SSO, так и учетные данные Qualtrics

Если вы разрешаете пользователям входить в систему либо с помощью системы единого входа, либо с учетными данными Qualtrics, у вас будет возможность перенаправить пользователя на целевую страницу с двумя доступными вариантами. Пользователь выберет Login with Qualtrics для перенаправления на страницу входа Qualtrics. Пользователь выберет Login with SSO для перенаправления на вашу страницу входа SSO.

Чтобы активировать эту целевую страницу:

1. Найдите соединение с именем Qualtrics Login для [ID вашей организации] .
2. Выберите Изменить .
3. Выберите вариант с надписью Разрешить соединение по URL-адресу организации .
   

Если вы не выберете эту опцию, ваш организационный URL будет перенаправлен на ваш поток аутентификации SSO. Пользователи, выбравшие вход без единого входа, будут использовать одну из следующих ссылок:

Настройка учетных записей SAML - Справка ArcGIS Online

Настройка учетных записей для конкретных организаций, таких как учетные записи SAML (ранее известные как корпоративные учетные записи), позволяет членам вашей организации входить в ArcGIS Online, используя те же учетные записи, которые они используют для доступа к вашей организации. внутренние системы. Преимущество настройки учетных записей для конкретных организаций с использованием этого подхода заключается в том, что участникам не нужно создавать дополнительные учетные записи в системе ArcGIS Online; вместо этого они могут использовать логин, который уже настроен в организации.Когда участники входят в ArcGIS Online, они вводят свое имя пользователя и пароль для конкретной организации непосредственно в диспетчер входа в вашу организацию, также известный как поставщик удостоверений (IDP) вашей организации. После проверки учетных данных участника IDP сообщает ArcGIS Online о подтвержденной личности участника, который входит в систему.

ArcGIS Online поддерживает SAML 2.0 для настройки входа SAML. SAML - это открытый стандарт для безопасного обмена данными аутентификации и авторизации между IDP (вашей организацией) и поставщиком услуг (SP) - в этом случае ArcGIS Online соответствует SAML 2.0 и интегрируется с IDP, поддерживающими SAML 2.0.

Вы можете настроить страницу входа в ArcGIS Online так, чтобы отображалась только учетная запись SAML, или отображать вход SAML вместе с любыми из следующих параметров: вход в ArcGIS, вход в OpenID Connect (если настроен) и вход в социальные сети (если настроен) .

Чтобы убедиться, что ваши учетные записи SAML надежно настроены, ознакомьтесь с рекомендациями по обеспечению безопасности SAML.

В большинстве случаев организации настраивают свои учетные записи SAML с помощью одного IDP.Этот IDP проверяет подлинность пользователей, обращающихся к защищенным ресурсам, размещенным у нескольких поставщиков услуг. IDP и все поставщики услуг управляются одной и той же организацией.

Еще один способ аутентификации пользователей с использованием логинов SAML - настроить вашу организацию на использование федерации IDP на основе SAML. В федерации на основе SAML между несколькими организациями каждая членская организация продолжает использовать свой собственный IDP, но настраивает один или несколько своих SP для работы исключительно в рамках федерации.Чтобы получить доступ к защищенному ресурсу, совместно используемому в рамках федерации, пользователь аутентифицирует свою личность с помощью IDP своей домашней организации. После успешной аутентификации это подтвержденное удостоверение предоставляется поставщику услуг SP, на котором размещен защищенный ресурс. Затем SP предоставляет доступ к ресурсу после проверки прав доступа пользователя.

SAML вход в систему

ArcGIS Online поддерживает вход в систему SAML, инициированный SP, и вход в систему SAML, инициированный IDP. Опыт входа в систему отличается для каждого.

Вход в систему, инициированный SP

В случае входа в систему, инициированного SP, участники получают прямой доступ к своим веб-сайтам ArcGIS Online и видят варианты входа, используя свой логин SAML SP или свой логин ArcGIS. Если участник выбирает опцию SP, он перенаправляется на веб-страницу (известную как диспетчер входа в систему), где им предлагается ввести свое имя пользователя SAML и пароль. После проверки учетных данных участника IDP сообщает ArcGIS Online о подтвержденной личности участника, который входит в систему, и участник перенаправляется обратно на свой веб-сайт ArcGIS Online.

Если участник выбирает опцию ArcGIS, появляется страница входа в ArcGIS Online. Затем участник может ввести свое имя пользователя и пароль ArcGIS для доступа к веб-сайту.

Инициированные IDP имена

С входами, инициированными IDP, участники получают прямой доступ к диспетчеру входа в свою организацию и входят в систему со своей учетной записью. Когда участник отправляет информацию о своей учетной записи, IDP отправляет ответ SAML непосредственно в ArcGIS Online. Затем участник входит в систему и перенаправляется на свой веб-сайт ArcGIS Online, где он может немедленно получить доступ к ресурсам без повторного входа в организацию.

Возможность входа в систему с использованием учетной записи ArcGIS непосредственно из диспетчера входа недоступна для учетных записей IDP. Чтобы войти в ArcGIS Online с использованием учетных записей ArcGIS, участникам необходимо напрямую получить доступ к своим веб-сайтам ArcGIS Online.

IDP SAML

Следующие руководства демонстрируют, как использовать SAML-совместимые IDP с ArcGIS Online:

Настройка учетных записей SAML

Процесс настройки IDP в ArcGIS Online описан ниже. Прежде чем продолжить, рекомендуется связаться с администратором вашего IDP или федерации IDP для получения параметров, необходимых для настройки.Например, если ваша организация использует Microsoft Active Directory, ответственный за это администратор будет лицом, к которому следует обратиться для настройки или включения SAML на стороне IDP и получения необходимых параметров для конфигурации на стороне ArcGIS Online.

1. Убедитесь, что вы вошли в систему как администратор вашей организации.
2. Вверху сайта щелкните «Организация» и перейдите на вкладку «Параметры».
3. Если вы планируете разрешить участникам автоматически присоединяться, сначала настройте параметры по умолчанию для новых участников.При необходимости вы можете изменить эти настройки для определенных участников после того, как они присоединились к организации.
   1. Нажмите кнопку «Новые параметры по умолчанию» сбоку страницы.
   2. Выберите тип пользователя и роль по умолчанию для новых участников.
   3. Выберите дополнительные лицензии, чтобы автоматически назначать участников, когда они присоединяются к организации.
   4. Выберите группы, в которые будут добавлены участники при присоединении к организации.
   5. Если для организации включено кредитное бюджетирование, установите для каждого нового члена выделение кредита на указанное количество кредитов или без ограничения.
   6. Выберите, хотите ли вы разрешить доступ к Esri для новых участников.
4. Щелкните Безопасность сбоку страницы.
5. В разделе «Логины» щелкните «Новый вход SAML».
6. В появившемся окне выберите один из следующих вариантов:
   • Один поставщик удостоверений - позволяет пользователям входить в систему, используя свои существующие учетные данные SAML, которыми управляет ваша организация. Это самая распространенная конфигурация.
   • Федерация поставщиков удостоверений - позволяет пользователям, принадлежащим к существующей межорганизационной федерации, такой как федерация SWITCHaai, входить в систему с учетными данными, поддерживаемыми федерацией.
7. Нажмите Далее.
8. Если вы выбрали Один поставщик удостоверений, выполните следующие действия:
   1. Введите название своей организации.
   2. Выберите, как участники с логинами SAML будут присоединяться к вашей организации ArcGIS Online: автоматически или через приглашение. Автоматическая опция позволяет участникам присоединиться к организации, войдя в систему со своим логином SAML. С опцией приглашения вы генерируете электронные приглашения через ArcGIS Online, которые включают инструкции о том, как присоединиться к организации.Если вы выберете автоматический вариант, вы все равно сможете приглашать участников присоединиться к организации или добавлять их напрямую, используя их SAML ID.
   3. Предоставьте ArcGIS Online информацию о метаданных вашего IDP.

   Сделайте это, указав источник, к которому ArcGIS Online будет обращаться для получения информации метаданных о IDP. Существует три возможных источника этой информации:

   • URL-адрес - введите URL-адрес, который возвращает информацию метаданных о IDP.
   • Файл. Загрузите файл, содержащий информацию о метаданных IDP.
   • Параметры, указанные здесь - непосредственно введите информацию метаданных о IDP, указав следующие параметры:
     • URL-адрес входа (перенаправление) - введите URL-адрес IDP (который поддерживает привязку перенаправления HTTP), который ArcGIS Online должен использовать, чтобы позволить участнику подписать in.
     • URL-адрес входа (POST) - введите URL-адрес IDP (который поддерживает привязку HTTP POST), который ArcGIS Online должен использовать, чтобы разрешить пользователю вход в систему.
     • Сертификат - укажите сертификат, закодированный в формате BASE 64, для IDP.Это сертификат, который позволяет ArcGIS Online проверять цифровую подпись в ответах SAML, отправленных ему от IDP.

   Обратитесь к администратору IDP, если вам нужна помощь в определении того, какой источник информации метаданных вам необходимо предоставить.

9. Если вы выбрали Федерацию поставщиков удостоверений, выполните следующие действия:
   1. Введите имя своей федерации.
   2. Выберите, как участники с логинами SAML будут присоединяться к вашей организации ArcGIS Online: автоматически или через приглашение.Автоматическая опция позволяет участникам присоединиться к организации, войдя в систему со своим логином SAML. С опцией приглашения вы генерируете электронные приглашения через ArcGIS Online, которые включают инструкции о том, как присоединиться к организации. Если вы выберете автоматический вариант, вы все равно сможете приглашать участников присоединиться к организации или добавлять их напрямую, используя их SAML ID.
   3. Введите URL-адрес централизованной службы обнаружения IDP, размещенной в федерации, например https: //wayf.samplefederation.com / WAYF.
   4. Введите URL-адрес метаданных федерации, которые представляют собой совокупность метаданных всех IDP и SP, участвующих в федерации.
   5. Скопируйте и вставьте сертификат, закодированный в формате Base64, который позволяет организации проверить действительность метаданных федерации.
10. Щелкните Показать дополнительные параметры, чтобы настроить следующие дополнительные параметры, если это применимо:
    • Зашифровать подтверждение - включите этот параметр, чтобы указать SAML IDP, что ArcGIS Online поддерживает зашифрованные ответы подтверждения SAML.Когда этот параметр включен, IDP шифрует раздел утверждения ответа SAML. Весь трафик SAML в ArcGIS Online и обратно уже зашифрован с использованием HTTPS, но этот параметр добавляет еще один уровень шифрования.
    • Включить подписанный запрос - включите этот параметр, чтобы ArcGIS Online подписывал запрос аутентификации SAML, отправленный поставщику услуг Интернета. Подписание первоначального запроса на вход, отправленного ArcGIS Online, позволяет IDP проверять, что все запросы на вход исходят от доверенного SP.
    • Распространить выход из системы поставщику удостоверений - включите этот параметр, чтобы ArcGIS Online использовал URL-адрес выхода для выхода пользователя из IDP.Введите URL-адрес для использования в настройках URL-адреса для выхода. Если IDP требует, чтобы URL-адрес выхода был подписан, необходимо также включить параметр «Включить подписанный запрос». Если этот параметр недоступен, нажатие кнопки «Выйти» в ArcGIS Online приведет к выходу пользователя из ArcGIS Online, но не из IDP. Если кеш веб-браузера пользователя не очищен, попытка немедленно снова войти в ArcGIS Online с использованием параметра входа SAML приведет к немедленному входу в систему без необходимости предоставления учетных данных пользователя SAML IDP.Это уязвимость системы безопасности, которая может быть использована при использовании компьютера, который легко доступен неавторизованным пользователям или широкой публике.
    • Обновлять профили при входе - включите эту опцию, чтобы автоматически синхронизировать информацию об учетной записи (полное имя и адрес электронной почты), хранящуюся в профилях пользователей ArcGIS Online, с последней информацией об учетной записи, полученной от IDP. Включение этой опции позволяет вашей организации проверять, когда пользователь входит в систему с помощью входа SAML, изменилась ли информация IDP с момента создания учетной записи, и если да, то соответствующим образом обновить профиль учетной записи пользователя ArcGIS Online.
    • Включить членство в группах на основе SAML - включите этот параметр, чтобы разрешить членам организации связывать указанные группы на основе SAML с группами ArcGIS Online во время процесса создания группы. Если вы включите эту опцию, члены организации, имеющие право связываться с группами SAML, будут иметь возможность создать группу ArcGIS Online, членство в которой контролируется группой SAML, управляемой внешним SAML IDP. После успешного связывания группы с внешней группой на основе SAML членство каждого пользователя в группе определяется в ответе на подтверждение SAML, получаемом от IDP каждый раз, когда пользователь входит в систему.

      Чтобы группа ArcGIS Online была успешно связана с внешней группой SAML, создатель группы должен ввести точное значение внешней группы SAML, возвращаемое в значении атрибута утверждения SAML. Просмотрите ответ утверждения SAML от вашего SAML IDP, чтобы определить значение, используемое для ссылки на группу. Поддерживаемые (без учета регистра) имена для атрибута, определяющего членство пользователя в группе, следующие:

      • Группа
      • Группы
      • Роль
      • Роли
      • MemberOf
      • member-of
      • https: // wso2.com / Claims / role
      • http://schemas.xmlsoap.org/claims/Group
      • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
      • urn: oid: 1.3 .6.1.4.1.5923.1.5.1.1
      • urn: oid: 2.16.840.1.113719.1.1.4.1.25

      Например, предположим, что входящий в систему пользователь является членом групп SAML FullTimeEmployees и GIS Faculty. В утверждении SAML, полученном от IDP, как показано ниже, именем атрибута, содержащего информацию о группе, является MemberOf. В этом примере для создания группы, связанной с группой SAML GIS Faculty, создатель группы должен ввести GIS Faculty в качестве имени группы.

        
        ...
        ...
        
            ...
            ...
            
              ...
              ...
              
         FullTimeEmployees 
       Факультет ГИС 
              
          
        
        

      Ниже приведен еще один пример использования значений идентификатора для идентификации групп:

        
        ...
        ...
        
            ...
            ...
            
              ...
              ...
              
         GIDff63a68d51325b53153eeedd78cc498b 
       GIDba5debd8d2f9bb7baf015af7b2c25440 
              
          
        
        

    • URL-адрес выхода. Если на предыдущем шаге вы выбрали «Один поставщик удостоверений», введите URL-адрес IDP, который будет использоваться для выхода текущего пользователя, вошедшего в систему.Если это свойство указано в файле метаданных IDP, оно устанавливается автоматически.
    • Идентификатор объекта - обновите это значение, чтобы использовать новый идентификатор объекта, чтобы однозначно идентифицировать вашу организацию ArcGIS Online для SAML IDP или федерации SAML.
11. По завершении щелкните Сохранить.
12. Для завершения процесса настройки установите доверительные отношения со службой обнаружения федерации (если применимо) и вашим IDP, зарегистрировав у них метаданные ArcGIS Online SP. Там получить эти метаданные можно двумя способами:
    • Щелкните Загрузить метаданные поставщика услуг, чтобы загрузить файл метаданных для вашей организации.
    • Откройте URL-адрес файла метаданных и сохраните его как файл XML на своем компьютере. Вы можете просмотреть и скопировать URL-адрес в окне «Изменить вход SAML» в разделе «Ссылка», чтобы загрузить метаданные поставщика услуг.

    Ссылки на инструкции по регистрации Метаданные SP от сертифицированных поставщиков доступно в разделе SAML IDP выше. Если вы выбрали Федерацию поставщиков удостоверений, после загрузки метаданных SP обратитесь к администраторам федерации SAML для получения инструкций о том, как интегрировать метаданные SP в агрегированный файл метаданных федерации.Вам также потребуются инструкции от них, чтобы зарегистрировать вашего IDP в федерации.

Измените или удалите SAML IDP

Когда вы настроили SAML IDP, вы можете обновить его настройки, нажав Настроить вход рядом с текущим зарегистрированным IDPSAML. Обновите свои настройки в окне «Редактировать вход SAML».

Чтобы удалить зарегистрированного в настоящее время IDP, нажмите «Настроить логин» рядом с IDP и нажмите «Удалить логин» в окне «Редактировать вход SAML». После удаления IDP вы можете при желании создать нового IDP или федерацию IDP.

Рекомендации по безопасности SAML

Чтобы включить входы SAML, вы можете настроить ArcGIS Online в качестве поставщика услуг (SP) для вашего поставщика удостоверений SAML (IDP). Чтобы обеспечить надежную безопасность, примите во внимание следующие передовые практики.

Поставьте цифровую подпись для запросов входа и выхода SAML и подпишите ответ с подтверждением SAML

Подписи используются для обеспечения целостности сообщений SAML и, таким образом, служат защитой от атак типа «злоумышленник в середине» (MITM).Цифровая подпись запроса SAML также гарантирует, что запрос будет отправлен доверенным SP, что позволяет IDP лучше справляться с атаками типа «отказ в обслуживании» (DOS). Включите параметр «Включить подписанный запрос» в дополнительных настройках при настройке учетных записей SAML.

Для включения подписанных запросов требуется, чтобы IDP обновлялся всякий раз, когда сертификат подписи, используемый SP, обновляется или заменяется.

Настройте SAML IDP для подписи ответа SAML, чтобы предотвратить изменение ответа подтверждения SAML при передаче.

Для включения подписанных запросов требуется, чтобы SP (ArcGIS Online) обновлялся всякий раз, когда сертификат подписи, используемый IDP, обновляется или заменяется.

Использовать конечную точку HTTPS IDP

Любая связь между поставщиком услуг SP, IDP и браузером пользователя, передаваемая через внутреннюю сеть или Интернет в незашифрованном формате, может быть перехвачена злоумышленником. Если ваш SAML IDP поддерживает HTTPS, рекомендуется использовать конечную точку HTTPS для обеспечения конфиденциальности данных, передаваемых во время входа в систему SAML.

Зашифровать ответ подтверждения SAML

Использование HTTPS для связи SAML обеспечивает защиту сообщений SAML, отправляемых между IDP и SP. Однако вошедшие в систему пользователи по-прежнему могут декодировать и просматривать сообщения SAML через веб-браузер. Включение шифрования ответа с подтверждением не позволяет пользователям просматривать конфиденциальную или конфиденциальную информацию, передаваемую между IDP и SP.

Для включения зашифрованных утверждений требуется, чтобы IDP обновлялся каждый раз при обновлении или замене сертификата шифрования, используемого SP (ArcGIS Online).

Безопасное управление сертификатами подписи и шифрования

Рекомендуется использовать сертификаты с надежными криптографическими ключами для цифровой подписи или шифрования сообщений SAML, а также обновлять или заменять сертификаты каждые три-пять лет.

Отзыв по этой теме?

Как DMARC работает с субдоменами (тег DMARC sp)?

В этой статье мы рассмотрим менее обсуждаемую тему DMARC: как DMARC работает в сценариях поддоменов?

В частности, мы ответим на эти вопросы ниже:

• как работает обнаружение политики DMARC?
• как работает наследование политик DMARC?
• следует ли использовать тег sp для защиты поддоменов?

Прежде чем углубляться в различные сценарии поддоменов DMARC, нам необходимо представить концепцию организационной области.

Что такое домен организации в DMARC?

Организационный домен - это «корневой домен / домен верхнего уровня» доменного имени. То есть доменное имя со всеми удаленными поддоменами. Ниже приведены несколько доменных имен и их организационные домены:

Организационный домен определяется путем разбиения имени домена субъекта с последующим сопоставлением частей с общедоступным списком суффиксов (PSL), содержащим домены верхнего уровня (TLD), включая TLD страны, например, ".co.us" в США и ".co.uk" в Великобритании

Вот PSL, поддерживаемый Mozilla Foundation.

Как работает обнаружение политик DMARC

Когда сообщение электронной почты приходит на принимающий сервер, ему необходимо применить DMARC к сообщению электронной почты.Для этого сервер пытается найти политику DMARC с помощью процесса, известного как обнаружение политики DMARC.

DMARC выполняются следующие шаги, чтобы найти политику DMARC для входящего сообщения электронной почты:

1. Определите домен RFC5322.From сообщения электронной почты;
2. Запросить в DNS запись DMARC в RFC5322 из домена , найденного на шаге 1; в зависимости от результата:
   • если найдена только 1 запись DMARC, возвращается политика в записи;
   • : если обнаружено несколько записей DMARC, обнаружение политики прекращается и обработка DMARC не применяется к этому сообщению;
   • , если запись DMARC не найдена, перейдите к шагу 3;
3. Запросить в DNS запись DMARC в домене организации RFC5322.Из домена, если 2 домена разные; в зависимости от результата:
   • если найдена только 1 запись DMARC, возвращается политика в записи;
   • , если запись DMARC не найдена или обнаружено несколько записей DMARC, обнаружение политики прекращается и обработка DMARC не применяется к этому сообщению;
4. Если полученная политика не содержит допустимого тега p:
   • если присутствует тег rua, по крайней мере, с одним действующим URI отчета, принимающий сервер применяет к сообщению p = none;
   • в противном случае обнаружение политики прекращается и обработка DMARC к этому сообщению не применяется;

Обратите внимание, что в каждом процессе обнаружения политики DMARC выдается не более 2 DNS-запросов.Один для домена RFC5322.From, а другой для домена организации (если он отличается от домена RFC5322.From).

Если у вас есть несколько уровней поддоменов, запросы DNS для промежуточных поддоменов не отправляются. Это необходимо для уменьшения нагрузки на DNS из-за множественных DNS-запросов на поддоменах.

Например, если доменом RFC5322.From является it.sales.example.com, для it.sales.example.com будет выдан только 1 запрос DNS и, возможно, 1 запрос DNS, например.com. Для sales.example.com не будет выдан DNS-запрос, так как это промежуточный субдомен.

Как работает наследование политик DMARC

Механизм наследования политик DMARC позволяет владельцам доменов гибко настраивать политики DMARC для поддоменов.

Правила наследования политики DMARC работают, как показано ниже.

Сценарий: субдомен наследует политику p домена организации

Если в домене организации есть запись DMARC с политикой (тег p), но нет политики субдомена (тег sp), в то время как субдомен не имеет записи DMARC, субдомен наследует политику p домена организации.

Например, если на сайте example.com опубликована запись DMARC, как показано ниже:

  example.com "v = DMARC1; p = reject;"  

Теперь, когда политика example.com отклонена, любой субдомен example.com без записи DMARC будет иметь политику отклонения.

Сценарий: субдомен наследует политику SP домена организации

Если домен организации имеет запись DMARC с политикой (тег p) и политику субдомена (тег sp), в то время как субдомен не имеет записи DMARC, субдомен наследует политику субдомена домена организации.

Например, если на сайте example.com опубликована запись DMARC, как показано ниже:

  example.com "v = DMARC1; p = reject; sp = quarantine;"  

Поскольку политика sp example.com явно настроена на карантин, любой субдомен example.com без записи DMARC будет иметь политику карантина.

Сценарий: субдомен переопределяет политику домена организации

Если домен организации имеет запись DMARC с политикой (тег p) и политику субдомена (тег sp), в то время как субдомен имеет свою собственную политику (тег p), субдомен переопределяет политику субдомена домена организации своей собственной политикой.

Например, если на сайте example.com опубликована запись DMARC, как показано ниже:

  example.com "v = DMARC1; p = reject; sp = reject;"  

и запись DMARC, опубликованная на sales.example.com:

  sales.example.com "v = DMARC1; p = quarantine;"  

В этом сценарии собственная политика sales.example.com переопределяет политику example.com. Следовательно, к sales.example.com применяется p = quarantine.

Сценарий: политика субдомена опубликована на субдомене

Когда тег sp используется в записи DMARC, опубликованной в поддомене, тег sp будет проигнорирован из-за эффекта процесса обнаружения политики DMARC.

Например, если у вас есть запись DMARC на поддомене:

  sales.example.com "v = DMARC1; p = reject; sp = quarantine;"  

тег sp не влияет на sales.example.com или любые поддомены в sales.example.com, такие как it.sales.example.com.

Лучшие практики для DMARC с поддоменами

После достижения p = reject в домене организации следует также защитить свои поддомены с помощью p = reject. Это связано с тем, что даже если политика DMARC ваших поддоменов p = none или p = quarantine, злоумышленники все равно могут отправлять электронные письма от имени ваших поддоменов.

Этого можно легко достичь, установив политику домена вашей организации на p = reject и не переопределяя ее на каких-либо поддоменах. Таким образом, все поддомены в домене вашей организации будут иметь p = reject, и никто без явной авторизации не сможет отправлять электронные письма от имени вашей организации!

Похожие сообщения: