Skip To Content

Configurar SimpleSAMLphp

En este tema

Puede configurar SimpleSAMLphp 1.10 y versiones posteriores como su proveedor de identidad para los inicios de sesión corporativos en Portal for ArcGIS. El proceso de configuración consta de dos pasos principales: registrar el proveedor de identidad corporativo en Portal for ArcGIS y registrar Portal for ArcGIS en el proveedor de identidad corporativo.

Si lo desea, puede proporcionar al portal metadatos sobre los grupos corporativos de su almacén de identidad. Esto permite crear grupos en el portal aprovechando los grupos corporativos existentes en el almacén de identidad. Cuando los miembros inician sesión en el portal, el acceso al contenido, los elementos y los datos se controlan por medio de las reglas de pertenencia definidas en el grupo corporativo. Aunque no proporcione los metadatos necesarios para el grupo corporativo, podrá crear grupos. Sin embargo, las reglas de pertenencia se controlarán por medio de Portal for ArcGIS, no del almacén de identidad.

Información requerida

Portal for ArcGIS requiere recibir cierta información sobre atributos desde el proveedor de identidades cuando un usuario inicia sesión con un inicio de sesión corporativo. NameID es un atributo obligatorio que el proveedor de identidades debe enviar en la respuesta SAML para que la federación con Portal for ArcGIS funcione. Cuando un usuario de un proveedor de identidad (IDP) inicia sesión, Portal for ArcGIS crea un usuario nuevo con el nombre de usuario NameID en su almacén de usuarios. Los caracteres permitidos para el valor enviado por el atributo NameID son alfanuméricos, _ (guión bajo), . (punto) y @ (arroba). Para los demás caracteres del nombre de usuario creado por Portal for ArcGIS, se agregará un carácter de escape con guión bajo.

Portal for ArcGIS admite el flujo de entrada de los atributos givenName y email address del inicio de sesión corporativo del proveedor de identidad corporativo. Cuando un usuario inicia sesión utilizando un inicio de sesión corporativo y Portal for ArcGIS recibe atributos con los nombres givenname y email o mail (en cualquier caso), Portal for ArcGIS rellena el nombre completo y la dirección de correo electrónico de la cuenta del usuario con los valores recibidos del proveedor de identidad. Se recomienda que proporcione la email address del proveedor de identidad corporativo para que el usuario pueda recibir notificaciones.

Registrar SimpleSAMLphp como el proveedor de identidad corporativa en Portal for ArcGIS

  1. Configure un origen de autenticación en el IdP SimpleSAMLphp.
    1. Crea un origen de autenticación.

      SimpleSAMLphp permite la autenticación de usuarios desde diversos orígenes de autenticación como servidor LDAP, usuarios en un servidor SQL y dominio de Active Directory, entre otros. El siguiente ejemplo muestra cómo configurar Apache Directory Server como origen de autenticación en el IdP SimpleSAMLphp.

      Los orígenes de autenticación se pueden configurar en el archivo <SimpleSAML_HOME>/config/authsources.php. Para configurar el servidor LDAP, abra el archivo config/authsources.php y agregue un origen de autenticación basado en LDAP con el siguiente formato.

      'example-ldapApacheDS' => array(
      		'ldap:LDAP',
      		/* The hostname of the LDAP server. */
      		'hostname' => 'host:port',
      		/* Whether SSL/TLS should be used when contacting the LDAP server. */
      		'enable_tls' => TRUE,
      		/*
      		 * Which attributes should be retrieved from the LDAP server.
      		 * This can be an array of attribute names, or NULL, in which case
      		 * all attributes are fetched.
      		 */
      		'attributes' => NULL,
      		/*
      		 * The pattern which should be used to create the users DN given the username.
      		 * %username% in this pattern will be replaced with the users username.
      		 *
      		 * This option is not used if the search.enable option is set to TRUE.
      		 */
      		'dnpattern' => 'uid=%username%,ou=users,ou=system',
      		/*
      		 * As an alternative to specifying a pattern for the users DN, it is possible to
      		 * search for the username in a set of attributes. This is enabled by this option.
      		 */
      		'search.enable' => FALSE,
      		/*
      		 * The DN which will be used as a base for the search.
      		 * This can be a single string, in which case only that DN is searched, or an
      		 * array of strings, in which case they will be searched in the order given.
      		 */
      		'search.base' => 'ou=users,ou=system',
      		/*
      		 * The attribute(s) the username should match against.
      		 *
      		 * This is an array with one or more attribute names. Any of the attributes in
      		 * the array may match the value the username.
      		 */
      		'search.attributes' => array('uid', 'mail'),
      		/*
      		 * The username & password the simpleSAMLphp should bind to before searching. If
      		 * this is left as NULL, no bind will be performed before searching.
      		 */
      		'search.username' => 'uid=admin,ou=system',
      		'search.password' => 'password',
      	),

      Portal for ArcGIS admite el flujo de entrada de los atributos givenName y email address del inicio de sesión corporativo del proveedor de identidad corporativo. Cuando un usuario inicia sesión utilizando un inicio de sesión corporativo y Portal for ArcGIS recibe atributos con los nombres givenname y email o mail (en cualquier caso), Portal for ArcGIS rellena el nombre completo y la dirección de correo electrónico de la cuenta del usuario con los valores recibidos del proveedor de identidad.

      Se recomienda que transfiera la dirección de correo electrónico del proveedor de identidad corporativa a Portal for ArcGIS. Esto es de utilidad si el usuario se convierte posteriormente en administrador. Disponer de una dirección de correo electrónico en la cuenta permite al usuario recibir notificaciones sobre cualquier actividad administrativa y enviar invitaciones a otros usuarios para que se unan a la organización.

    2. Configure el origen de autenticación que has creado anteriormente como módulo de autenticación en el IdP SimpleSAMLphp. Abra el archivo metadata/ saml20-idp-hosted.php y agregue el origen de autenticación que se va a utilizar.
      /*
      	 * Authentication source to use. Must be one that is configured in	 * 'config/authsources.php'.	 */
      	'auth' => 'example-ldapApacheDS',
  2. Configure el formato de identificador de nombre compatible con el IdP SimpleSAMLphp. Abra el archivo < SimpleSAML_HOME >/metadata/saml20-idp-hosted.php y agregue el siguiente fragmento. En el siguiente ejemplo, el IdP de SimpleSAMLphp transferirá el uid como NameID a Portal for ArcGIS tras la autenticación del usuario.
    'NameIDFormat' => 'urn:oasis:names:tc:SAML:2.0:nameid-format:persistent',		'authproc' => array(
    			  3 => array(
    			  'class' => 'saml:AttributeNameID',			  'attribute' => 'uid',	              'Format' => 'urn:oasis:names:tc:SAML:2.0:nameid-format:persistent',				  ),
    			),
  3. Registre el proveedor de identidad SimpleSAMLphp para la organización Portal for ArcGIS.
    1. Inicie sesión en el sitio web del portal como Administrador de su organización y haga clic en Mi organización > Editar ajustes > Seguridad.
    2. En la sección Inicios de sesión corporativos, haga clic en el botón Definir proveedor de identidad e introduzca el nombre de su organización en la ventana que se abre (por ejemplo, City of Redlands). Cuando los usuarios acceden al sitio web del portal, este texto aparece como parte de la opción de inicio de sesión SAML (por ejemplo, Using your City of Redlands account).
    3. Elija si los usuarios podrán unirse a la organización Automáticamente o Después de agregar las cuentas al portal. La primera opción permite a los usuarios iniciar sesión en la organización con su inicio de sesión corporativo sin ninguna intervención de un administrador. Su cuenta se registra con la organización automáticamente la primera vez que inician sesión. La segunda opción requiere que el administrador registre las cuentas necesarias con la organización utilizando una utilidad de línea de comandos o una secuencia de comandos de Python de ejemplo. Una vez que las cuentas se hayan registrado, los usuarios podrán iniciar sesión en la organización.
      Sugerencia:

      Se recomienda designar al menos una cuenta corporativa como administrador del portal y degradar o eliminar la cuenta de administrador inicial. También se recomienda deshabilitar el botón Crear una cuenta y la página de registro (signup.html) en el sitio web del portal para que los usuarios no puedan crear sus propias cuentas. Para obtener instrucciones completas, consulte Configurar un proveedor de identidad compatible con SAML con el portal.

    4. Proporciona la información de metadatos del proveedor de identidad con una de las tres opciones siguientes:

      URL: elija esta opción si es posible acceder a la URL de los metadatos de la federación SimpleSAMLphp. Normalmente, es https://<simpleSAML-server>/<saml-app-name>/saml2/idp/metadata.php.

      Nota:

      Si el proveedor de identidad corporativo incluye un certificado autofirmado, puede producirse un error al intentar especificar la URL HTTPS de los metadatos. Este error se produce porque Portal for ArcGIS no puede verificar el certificado autofirmado del proveedor de identidad. Como alternativa, use HTTP en la URL, una de las otras opciones que aparecen, o configure el proveedor de identidad con un certificado de confianza.

      Archivo: elija esta opción si no es posible acceder a la URL. Guarde los metadatos de la URL como archivo XML y cárguelo en Portal for ArcGIS con la opción Archivo.

      Parámetros: elija esta opción si no es posible acceder a la URL ni al archivo. Introduzca manualmente los valores y proporcione los parámetros solicitados: URL de inicio de sesión y certificado. Ponte en contacto con su administrador de SimpleSAMLphp para obtenerlos.

  4. Si lo desea, puede proporcionar al portal metadatos sobre los grupos corporativos del almacén de identidad:
    1. Inicie sesión en el Directorio de Portal for ArcGIS como Administrador de su organización. La dirección URL tiene el formato https://webadaptor.domain.com/arcgis/portaladmin.
    2. Haga clic en Seguridad > Config > Actualizar almacén de identidades.
    3. Inserte el JSON de configuración del grupo en el cuadro de texto Configuración de almacén de grupo (en formato JSON).
      • Si el almacén de identidad es Windows Active Directory, copie el texto siguiente y modifíquelo para que incluya la información específica de su sitio:

        {
          "type": "WINDOWS",
          "properties": {
            "isPasswordEncrypted": "false",
            "userPassword": "secret",
            "user": "mydomain\\winaccount"
          }
        }

        En la mayoría de los casos, solo deberá modificar valores para los parámetros de usuario y contraseña de usuario. Aunque escriba la contraseña con texto no cifrado, esta se cifrará cuando se almacene o consulte en el directorio de configuraciones del portal. La cuenta que se utiliza para el parámetro user solo necesita permiso para buscar los nombres de los grupos de Windows en la red. Si es posible, utilice una cuenta cuya contraseña no caduque.

      • Si el almacén de identidad es LDAP, copie el texto siguiente y modifíquelo para que contenga la información específica de su sitio:

        {
          "type": "LDAP",  "properties": {
            "userPassword": "secret",    "isPasswordEncrypted": "false",    "user": "uid=admin\,ou=system",    "ldapURLForUsers": "ldap://bar2:10389/ou=users\,ou=ags\,dc=example\,dc=com",    "ldapURLForRoles": "ldap://bar2:10389/dc=example,dc=com",    "usernameAttribute": "cn",    "caseSensitive": "false",    "userSearchAttribute": "cn",    "memberAttributeInRoles": "member",    "rolenameAttribute":"cn"
          }
        }

        En la mayoría de los casos, solo tendrá que modificar los valores de los parámetros user, userPassword, ldapURLForUsers y ldapURLForUsers. Su administrador de LDAP deberá proporcionar la dirección URL a LDAP. La cuenta que utilice para el parámetro user necesita permisos para consultar los nombres de los grupos de su organización. Aunque escriba la contraseña con texto no cifrado, esta se cifrará cuando se almacene o consulte en el directorio de configuraciones del portal.

        Si LDAP está configurado para no distinguir entre mayúsculas y minúsculas, configure el parámetro caseSensitive como "false".

    4. Cuando termine de introducir el JSON para la configuración del almacén de usuarios, haga clic en Actualizar configuración para guardar los cambios y reiniciar el portal.

Registrar Portal for ArcGIS como proveedor de servicios de confianza en SimpleSAMLphp

  1. Configure Portal for ArcGIS como proveedor de servicios de confianza en SimpleSAML configurando el archivo <SimpleSAMLphp_HOME>/metatadata/saml20-sp-remote.php.
    1. Obtenga el archivo XML de metadatos de la organización Portal for ArcGIS.

      Para obtener el archivo de metadatos, inicie sesión como administrador de su organización y abra la página de la organización. Haga clic en el botón Editar ajustes y en la pestaña Seguridad y, en la sección Inicios de sesión corporativos, haga clic en el botón Obtener proveedor de servicios.

    2. Convierte el archivo XML que has obtenido en el paso anterior a formato PHP.

      SimpleSAMLphp espera que la información de metadatos del proveedor de servicios se proporcione en formato PHP. SimpleSAMLPHP proporciona un convertidor integrado de metadatos XML a PHP que, de manera predeterminada, está disponible como https://<simpleSAML-server>/<saml-app-name>/admin/metadata-converter.php en la instalación de simpleSAMLphp. Usa el conversor para convertir el XML a PHP.

    3. Abra el archivo metatadata/saml20-sp-remote.php y agregue la configuración del proveedor de servicios en formato PHP que se ha creado en el paso 1.b.

      A continuación, hay un ejemplo de la configuración del proveedor de servicio agregado en el archivo de metadatos.

      /* The following is a Portal for ArcGIS organization service provider */
      $metadata['webadaptor.domain.com.arcgis'] = array (  'entityid' => ' webadaptor.domain.com.arcgis',  'name' =>
        array (    'en' => 'portal ',  ),  'description' =>
        array (    'en' => 'portal ',  ),  'OrganizationName' =>
        array (    'en' => 'portal ',  ),  'OrganizationDisplayName' =>
        array (    'en' => 'portal ',  ),  'url' =>
        array (    'en' => 'https://webadaptor.domain.com/arcgis',  ),  'OrganizationURL' =>
        array (    'en' => 'https://webadaptor.domain.com/arcgis',  ),  'contacts' =>
        array (  ),  'metadata-set' => 'saml20-sp-remote',  'AssertionConsumerService' =>
        array (    0 =>
          array (      'Binding' => 'urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST',      'Location' => 'https://webadaptor.domain.com/arcgis/sharing/rest/oauth2/saml/signin',      'index' => 1,    ),    1 =>
          array (      'Binding' => 'urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect',      'Location' => 'https://webadaptor.domain.com/arcgis/sharing/rest/oauth2/saml/signin',      'index' => 2,    ),  ),  'SingleLogoutService' =>
        array (  ),
      );
  2. Configure el filtro de atributos que se transfiere como NameID a Portal for ArcGIS desde el IdP SimpleSAMLphp tras la autenticación del usuario. Para ello, agregue el atributo al final de la configuración del proveedor de servicios que ha agregado en el paso anterior.

    En el siguiente ejemplo, el proveedor de identidad SimpleSAMLphp transfiere el uid como NameID a Portal for ArcGIS tras la autenticación del usuario. (Reemplace webadaptor.domain.com.arcgis con la URL de su portal).

    'NameIDFormat'               => 'urn:oasis:names:tc:SAML:2.0:nameid-format:persistent', 'simplesaml.nameidattribute' => 'uid',
    /* The following indicates whether to send all the attributes received from the authentication source to the service provider or not.  If true, it will send, otherwise it will not send all the attributes*/
      'simplesaml.attributes'      => true,
    );