Configurar Active Directory Federation Services
En este tema
- Información requerida
Registrar AD FS como el proveedor de identidad corporativa en Portal for ArcGIS Registrar Portal for ArcGIS como proveedor de servicios de confianza en AD FS - Inicios de sesión iniciados por un proveedor de identidad (IDP)
Puede configurar Active Directory Federation Services (AD FS) 2.0 y versiones posteriores en el sistema operativo Microsoft Windows Server como su proveedor de identidad para los inicios de sesión corporativos en Portal for ArcGIS. El proceso de configuración consta de dos pasos principales: registrar el proveedor de identidad corporativo en Portal for ArcGIS y registrar Portal for ArcGIS en el proveedor de identidad corporativo.
Si lo deseas, puedes proporcionar al portal metadatos sobre los grupos corporativos de Windows Active Directory. Esto permite crear grupos en el portal aprovechando los grupos corporativos existentes en el almacén de identidad. Cuando los miembros inician sesión en el portal, el acceso al contenido, los elementos y los datos se controlan por medio de las reglas de pertenencia definidas en el grupo corporativo. Aunque no proporcione los metadatos necesarios para el grupo corporativo, podrá crear grupos. Sin embargo, las reglas de pertenencia se controlarán por medio de Portal for ArcGIS, no de Windows Active Directory.
Información requerida
Portal for ArcGIS requiere recibir cierta información sobre atributos desde el proveedor de identidades cuando un usuario inicia sesión con un inicio de sesión corporativo. NameID es un atributo obligatorio que el proveedor de identidades debe enviar en la respuesta SAML para que la federación con Portal for ArcGIS funcione. Cuando un usuario de un proveedor de identidad (IDP) inicia sesión, Portal for ArcGIS crea un usuario nuevo con el nombre de usuario NameID en su almacén de usuarios. Los caracteres permitidos para el valor enviado por el atributo NameID son alfanuméricos, _ (guión bajo), . (punto) y @ (arroba). Para los demás caracteres del nombre de usuario creado por Portal for ArcGIS, se agregará un carácter de escape con guión bajo.
Portal for ArcGIS admite el flujo de entrada de los atributos givenName y email address del inicio de sesión corporativo del proveedor de identidad corporativo. Cuando un usuario inicia sesión utilizando un inicio de sesión corporativo y Portal for ArcGIS recibe atributos con los nombres givenname y email o mail (en cualquier caso), Portal for ArcGIS rellena el nombre completo y la dirección de correo electrónico de la cuenta del usuario con los valores recibidos del proveedor de identidad. Se recomienda que proporcione la email address del proveedor de identidad corporativo para que el usuario pueda recibir notificaciones.
Registrar AD FS como el proveedor de identidad corporativa en Portal for ArcGIS
- Inicie sesión en el sitio web del portal como Administrador de su organización y haga clic en Mi organización > Editar ajustes > Seguridad.
- En la sección Inicios de sesión corporativos, haga clic en el botón Definir proveedor de identidad e introduzca el nombre de su organización en la ventana que se abre (por ejemplo, City of Redlands). Cuando los usuarios acceden al sitio web del portal, este texto aparece como parte de la opción de inicio de sesión SAML (por ejemplo, Using your City of Redlands account).
- Elija si los usuarios podrán unirse a la organización Automáticamente o Después de agregar las cuentas al portal. La primera opción permite a los usuarios iniciar sesión en la organización con su inicio de sesión corporativo sin ninguna intervención de un administrador. Su cuenta se registra con la organización automáticamente la primera vez que inician sesión. La segunda opción requiere que el administrador registre las cuentas necesarias con la organización utilizando una utilidad de línea de comandos o una secuencia de comandos de Python de ejemplo. Una vez que las cuentas se hayan registrado, los usuarios podrán iniciar sesión en la organización.
Sugerencia:
Se recomienda designar al menos una cuenta corporativa como administrador del portal y degradar o eliminar la cuenta de administrador inicial. También se recomienda deshabilitar el botón Crear una cuenta y la página de registro (signup.html) en el sitio web del portal para que los usuarios no puedan crear sus propias cuentas. Para obtener instrucciones completas, consulte Configurar un proveedor de identidad compatible con SAML con el portal.
- Proporciona la información de metadatos del proveedor de identidad con una de las tres opciones siguientes:
- URL: si se puede acceder a la URL de los metadatos de federación de AD FS, selecciona esta opción e introduce la URL (por ejemplo, https://<adfs-server>/federationmetadata/2007-06/federationmetadata.xml).
Nota:
Si el proveedor de identidad corporativo incluye un certificado autofirmado, puede producirse un error al intentar especificar la URL HTTPS de los metadatos. Este error se produce porque Portal for ArcGIS no puede verificar el certificado autofirmado del proveedor de identidad. Como alternativa, use HTTP en la URL, una de las otras opciones que aparecen, o configure el proveedor de identidad con un certificado de confianza.
- Archivo: elija esta opción si no es posible acceder a la URL. Descargue u obtenga una copia del archivo de metadatos de federación de AD FS y cargue el archivo en Portal for ArcGIS usando la opción Archivo.
- Parámetros: elija esta opción si no se puede acceder a la URL o al archivo de metadatos de federación. Introduzca manualmente los valores y proporcione los parámetros solicitados: URL de inicio de sesión y certificado. Ponte en contacto con el administrador de AD FS para obtenerlos.
- URL: si se puede acceder a la URL de los metadatos de federación de AD FS, selecciona esta opción e introduce la URL (por ejemplo, https://<adfs-server>/federationmetadata/2007-06/federationmetadata.xml).
- Si lo desea, puede proporcionar al portal metadatos sobre los grupos corporativos de Windows Active Directory:
- Inicie sesión en el Directorio de Portal for ArcGIS como Administrador de su organización. La URL tiene el formato https://webadaptor.domain.com/arcgis/portaladmin.
- Haga clic en seguridad > Config > Actualizar almacén de identidades.
- Inserte el JSON de configuración del grupo en el cuadro de texto Configuración de almacén de grupo (en formato JSON).
Puede copiar el texto siguiente y modificarlo para que incluya la información específica de su sitio:
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "cn=aduser,ou=users,ou=ags,dc=example,dc=com", "ldapURLForUsers": "ldap://bar2:10389/ou=users\,ou=ags\,dc=example\,dc=com", "ldapURLForRoles": "ldap://bar2:10389/dc=example,dc=com", "usernameAttribute": "sAMAccountName", "caseSensitive": "false", "userSearchAttribute": "sAMAccountName", "memberAttributeInRoles": "member", "rolenameAttribute":"sAMAccountName" } }
En la mayoría de los casos, solo deberá modificar los valores de los parámetros user, userPassword, ldapURLForUsers y ldapURLForUsers. Su administrador de AD deberá proporcionar la URL de LDAP. La cuenta que utilice para el parámetro user necesita permisos para consultar los nombres de los grupos de su organización. Aunque escriba la contraseña con texto no cifrado, esta se cifrará cuando se almacene o consulte en el directorio de configuraciones del portal.
- Cuando haya terminado de introducir el archivo JSON para la configuración del almacén de usuarios, haga clic en Actualizar configuración para guardar los cambios y reiniciar el portal.
Registrar Portal for ArcGIS como proveedor de servicios de confianza en AD FS
- Abre la consola de administración de AD FS.
- Elige Grupos de partes que confían > Agregar grupo de partes que confían.
- En el Asistente para agregar grupo de partes que confían, haga clic en el botón Inicio.
- Para Seleccionar fuente de datos, elija una opción para obtener los datos de la parte en que confía: importar desde una URL, importar desde un archivo o introducir manualmente. La URL y el archivo requieren que obtengas los metadatos de la organización. Si no tiene acceso a la URL o los archivos de metadatos, puede introducir la información de forma manual. En algunos casos, la introducción manual de los datos puede ser la opción más sencilla.
- Importar datos de la parte en que confía publicados online o en una red local
Esta opción utiliza los metadatos de la URL de su organización de Portal for ArcGIS. La URL es https://webadaptor.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=<token>, por ejemplo, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Puede generar un token usando https://webadaptor.domain.com/arcgis/sharing/rest/generateToken. Cuando introduzca la URL en la página Generar token, especifique el nombre de dominio completo del servidor de AD FS en el campo URL de aplicación web. Seleccionar cualquier otra opción, como Dirección IP o Dirección IP del origen de esta solicitud, no es compatible y puede generar un token no válido.
Nota:
La porción arcgis de la URL de muestra anterior es el nombre predeterminado de la aplicación de Web Adaptor. Si Web Adaptor tiene un nombre distinto de arcgis, reemplace esta porción de la URL con el nombre de su Web Adaptor.
- Importar datos de la parte en que confía desde un archivo.
Esta opción utiliza un archivo metadata.xml de su organización de Portal for ArcGIS. Hay dos maneras de obtener un archivo XML de metadatos:
- En la sección Seguridad de la página Editar ajustes de su organización, haga clic en el botón Obtener proveedor de servicios. Así obtendrá los metadatos de su organización que puede guardar como un archivo XML en su ordenador.
- Abra la URL de los metadatos de su organización Portal for ArcGIS y guárdelos como un archivo XML en su ordenador. La URL es https://webadaptor.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=<token>, por ejemplo, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Puede generar un token usando https://webadaptor.domain.com/arcgis/sharing/rest/generateToken. Cuando introduzca la URL en la página Generar token, especifique el nombre de dominio completo del servidor de AD FS en el campo URL de aplicación web. Seleccionar cualquier otra opción, como Dirección IP o Dirección IP del origen de esta solicitud, no es compatible y puede generar un token no válido.
Nota:
La porción arcgis de las URL de muestra anteriores es el nombre predeterminado de la aplicación de Web Adaptor. Si Web Adaptor tiene un nombre distinto de arcgis, reemplace esta porción de la URL con el nombre de su Web Adaptor.
- Introducir datos manualmente sobre la parte que confía.
Con esta opción, Asistente para agregar grupo de partes que confían abre ventanas adicionales para que introduzca manualmente los datos. Estas se explican en los pasos 6 a 8 a continuación.
- Importar datos de la parte en que confía publicados online o en una red local
- Para Especificar nombre de la visualización, introduzca el nombre de la visualización.
El nombre de visualización se utiliza para identificar la parte que confía en AD FS. No tiene ningún otro propósito. Debe definirse como ArcGIS u otro nombre de la organización en ArcGIS, como ArcGIS-SamlTest, por ejemplo.
Sugerencia:
La imagen anterior muestra la ventana Especificar nombre de la visualización con los pasos para importar la fuente de datos desde una URL o un archivo. Si ha optado por introducir manualmente la información de la fuente de datos, verá pasos adicionales en el lado izquierdo del asistente que se explican en los pasos 6 a 8 a continuación. Si ha seleccionado URL o archivo, puede ir directamente al paso 9.
- (Solo fuente de datos manual) En Elegir perfil, elija Perfil AD FS 2.0 (o una versión posterior de AD FS, si es la adecuada para su entorno).
- (Solo fuente de datos manual) En Configurar URL, active la casilla situada junto a Habilitar compatibilidad para el protocolo SAML 2.0 WebSSO e introduzca la URL del servicio SAML 2.0 SSO de la parte en que confía.
La URL de la parte en que confía debe ser la URL donde AD FS envía la respuesta SAML después de autenticar el usuario. Debe ser una URL HTTPS: https://webadaptor.domain.com/arcgis/sharing/rest/oauth2/saml/signin.
Nota:
La porción arcgis de la URL de muestra anterior es el nombre predeterminado de la aplicación de Web Adaptor. Si Web Adaptor tiene un nombre distinto de arcgis, reemplace esta porción de la URL con el nombre de su Web Adaptor.
- (Solo fuente de datos manual) En Configurar identificadores, introduzca la URL del identificador del grupo de la parte en que confía.
Debe ser portal.domain.com.arcgis.
- Para Elegir reglas de autorización de emisión, elija Permitir que todos los usuarios accedan a esta parte en que confía.
Sugerencia:
La imagen anterior muestra la ventana Elegir reglas de autorización de emisión con los pasos para importar la fuente de datos desde una URL o un archivo. Si ha optado por introducir manualmente la información de la fuente de datos, verá pasos adicionales en el lado izquierdo del asistente.
- En Listo para agregar grupo, revise toda la configuración de la parte en que confía. La URL de los metadatos solamente se rellena si optas por importar la fuente de datos desde una URL. La imagen a continuación muestra la ventana Listo para agregar grupo si ha optado por introducir manualmente la información de la fuente de datos.
Haga clic en Siguiente.
Sugerencia:
Si se ha habilitado la opción Supervisar parte que confía, AD FS comprobará periódicamente la URL de metadatos de federación y la comparará con el estado actual del grupo de la parte en que confía. Sin embargo, la supervisión generará un error una vez que el token de la URL de metadatos de federación caduque. Los errores se registran en el registro de eventos de AD FS. Para desactivar estos mensajes, es aconsejable que deshabilites la supervisión o que actualices el token.
- Para Finalizar, active la casilla para abrir automáticamente el cuadro de diálogo Editar reglas de reclamación después de hacer clic en el botón Cerrar.
Sugerencia:
La imagen anterior muestra la ventana Finalizar con los pasos para importar la fuente de datos desde una URL o un archivo. Si ha optado por introducir manualmente la información de la fuente de datos, verá pasos adicionales en el lado izquierdo del asistente.
- Para definir las reglas de reclamación, abra el asistente Editar reglas de reclamación y haga clic en Agregar regla.
- En Seleccionar plantilla de regla, seleccione la plantilla Enviar atributos LDAP como reclamaciones cuya regla de reclamación desea crear y haga clic en Siguiente.
- En Configurar regla de reclamación, indica un nombre para la regla, como, por ejemplo, DefaultClaims.
- Para Almacén de atributos, seleccione Active Directory.
- Para Asignación de atributos LDAP a los tipos de reclamación de salida, seleccione el atributo LDAP que contiene los nombres de usuarios (como Nombre-cuenta-SAM) para Atributo LDAP y NameID para Tipo de reclamación de salida.
Nota:
NameID es el atributo que debe enviar AD FS en la respuesta de SAML para que la federación con ArcGIS funcione. Cuando un usuario de un proveedor de identidad (IDP) inicia sesión, Portal for ArcGIS crea un usuario nuevo con el nombre de usuario NameID en su almacén de usuarios. Los caracteres permitidos para el valor enviado por el atributo NameID son alfanuméricos, _ (guión bajo), . (punto) y @ (arroba). Para los demás caracteres del nombre de usuario creado por Portal for ArcGIS, se agregará un carácter de escape con guión bajo.
- Portal for ArcGIS admite el flujo de entrada de los atributos givenName y email address del inicio de sesión corporativo del proveedor de identidad corporativo. Cuando un usuario inicia sesión utilizando un inicio de sesión corporativo y Portal for ArcGIS recibe atributos con los nombres givenname y email o mail (en cualquier caso), Portal for ArcGIS rellena el nombre completo y la dirección de correo electrónico de la cuenta del usuario con los valores recibidos del proveedor de identidad.
Sigue las siguientes instrucciones para editar las reglas de reclamación.
- En la columna Atributo LDAP, elija Nombre de visualización (o un atributo diferente de la lista de la segunda fila) y asígnelo a Nombre dado en la columna Tipo de reclamación saliente.
- En la columna Atributo LDAP, elija Direcciones de correo electrónico y asígnelo a Dirección de correo electrónico en la columna Tipo de notificación saliente.
Con esta reclamación, AD FS envía atributos con los nombres givenname y email a Portal for ArcGIS tras autenticar al usuario. A continuación, Portal for ArcGIS utiliza los valores recibidos en los atributos givenname y email, y rellena el nombre completo y la dirección de correo electrónico de la cuenta de usuario.
Se recomienda que transfiera la dirección de correo electrónico del proveedor de identidad corporativa a Portal for ArcGIS. Esto es de utilidad si el usuario se convierte posteriormente en administrador. Disponer de una dirección de correo electrónico en la cuenta permite al usuario recibir notificaciones sobre cualquier actividad administrativa y enviar invitaciones a otros usuarios para que se unan a la organización.
- Haga clic en Finalizar para finalizar la configuración del proveedor de identidad AD FS e incluir Portal for ArcGIS como parte en la que confía.
Inicios de sesión iniciados por un proveedor de identidad (IDP)
Después de configurar AD FS como proveedor de identidad de su organización, tiene la opción de utilizar los inicios de sesión corporativos iniciados por un proveedor de identidad. Deberá habilitar los inicios de sesión de IDP para poder iniciarlos en AD FS y Portal for ArcGIS. Si aún no lo ha hecho, lleve a cabo los pasos siguientes para habilitar los inicios de sesión de IDP en AD FS. Portal for ArcGIS admite los inicios de IDP de forma predeterminada, de modo que no es necesario ningún otro paso de configuración en Portal for ArcGIS; solo se necesita la configuración en AD FS.
- Si usa Windows Server 2008 con AD FS 2.0, comprueba si tiene el parche Update Rollup 2 para AD FS 2.0 instalado en el equipo con Windows Server 2008 y si ha reiniciado su instancia de AD FS. Los equipos con Windows Server 2012 incluyen Update Rollup 2 de manera predeterminada.
- Habilita AD FS para enviar el parámetro RelayState en el archivo web.config. El parámetro se usa para identificar el recurso concreto al que tendrá acceso el usuario una vez que inicie sesión.
- Abra el archivo web.config. De manera predeterminada, el archivo se encuentra en C:\inetpub\adfs\ls\.
- Agrega la siguiente entrada a la sección microsoft.identityServer.web del archivo web.config.
<microsoft.identityServer.web> ... <useRelayStateForIdpInitiatedSignOn enabled="true" /> </microsoft.identityServer.web>
- Genera el parámetro RelayState. AD FS requiere dos datos para generar RelayState:
- Identificador de la parte en que confía (RPID). Esto indica el identificador de la parte en que confía de su organización de Portal for ArcGIS configurada en AD FS. Para obtenerlo, abra las propiedades de la parte que confía de Portal for ArcGIS en la consola de administración de AD FS (por ejemplo, webadaptor.domain.com).
- RelayState. Esta es la URL del portal a la que se redirige al usuario tras iniciar sesión en el sitio de AD FS (por ejemplo, https://webadaptor.domain.com/arcgis/).
- Genera el parámetro RelayState definiendo los valores de RPID y RelayState.
- Codifica los valores de RPID y RelayState, por ejemplo:
- RPID: webadaptor.domain.com.arcgis
- RelayState: https%3A%2F%2Fwebadaptor.domain.com%2Farcgis%2F
- Fusione los valores codificados que ha creado en el paso anterior en una sola cadena de caracteres (por ejemplo, RPID=webadaptor.domain.com.arcgis&RelayState=https%3A%2F%2Fwebadaptor.domain.com%2Farcgis%2F).
- Codifica la cadena de caracteres fusionada (por ejemplo, RPID%3Dwebadaptor.domain.com.arcgis%26RelayState%3D%20https%253A%252F%252Fwebadaptor.domain.com%252Farcgis%252F).
- Agrega el parámetro RelayState a la cadena de caracteres y añádelo a la URL de inicio de sesión único iniciado por IDP de AD FS (por ejemplo, https://idphost.test.com/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID%3Dwebadaptor.domain.com.arcgis%26RelayState%3D%20https%253A%252F%252Fwebadaptor.domain.com%252Farcgis%252F). Esta es la URL que se utilizará para iniciar sesión en el sitio de AD FS.
Cuando el usuario inicia sesión y se autentica correctamente, AD FS genera una respuesta de SAML y proporciona el RelayState con la URL de su organización a Portal for ArcGIS. El portal valida la respuesta de SAML y redirige al usuario a la organización y sus recursos.