Configurar un proveedor de identidad compatible con SAML con el portal
En este tema
- Experiencia de inicio de sesión con SAML
- Proveedores de identidad de SAML
- Información requerida
- Configurar un portal con un proveedor de identidad SAML
- Designar una cuenta corporativa como administrador
- Modificar un proveedor de identidad SAML
El lenguaje de marcado para confirmaciones de seguridad (SAML) es un estándar abierto para intercambiar de forma segura datos de autenticación y autorización entre un proveedor de identidad corporativa (su organización) y un proveedor de servicios (en este caso, Portal for ArcGIS). La fórmula empleada para ello se conoce como SAML Web Single Sign On. El portal cumple con SAML 2.0 y se integra con proveedores de identidad que admiten SAML 2 Web Single Sign On. La ventaja de configurar SAML es que no es necesario crear inicios de sesión adicionales para que los usuarios accedan a Portal for ArcGIS. En lugar de eso, utilizarán el inicio de sesión que ya se ha configurado en un almacén de identidad corporativo. Este proceso se describe en la documentación como configuración de inicios de sesión corporativos.
Si lo desea, puede proporcionar al portal metadatos sobre los grupos corporativos de su almacén de identidad. Esto permite crear grupos en el portal aprovechando los grupos corporativos existentes en el almacén de identidad. Cuando los miembros inician sesión en el portal, el acceso al contenido, los elementos y los datos se controlan por medio de las reglas de pertenencia definidas en el grupo corporativo. Aunque no proporcione los metadatos necesarios para el grupo corporativo, podrá crear grupos. Sin embargo, las reglas de pertenencia se controlarán por medio de Portal for ArcGIS, no del almacén de identidad.
Experiencia de inicio de sesión con SAML
Portal for ArcGIS es compatible con los inicios de sesión corporativos iniciados por proveedores de servicios (SP) y con los inicios de sesión corporativos iniciados por proveedores de identidad (IDP). La experiencia de inicio de sesión es diferente en cada caso.
Inicios de sesión iniciados por un proveedor de servicios
Con los inicios de sesión iniciados por proveedores de servicios, los usuarios acceden directamente al portal y se les ofrecen opciones para iniciar sesión con cuentas integradas (administradas por el portal) o con cuentas administradas en un proveedor de identidad compatible con SAML. Si el usuario elige la opción de proveedor de identidad SAML, se le redirige a una página web (conocida como administrador de inicio de sesión corporativo) en la que se le pide que introduzca su nombre de usuario y su contraseña corporativos. Después de verificar los datos de inicio de sesión del usuario, el proveedor de identidad corporativo informa a Portal for ArcGIS de la identidad verificada del usuario que inicia sesión y el usuario se redirige otra vez al sitio web de su portal.
Si el usuario elige la opción de la cuenta integrada, se abre la página de inicio de sesión del sitio web del portal. A continuación, el usuario puede introducir su nombre de usuario y su contraseña integrados para acceder al sitio web. Esta opción no se puede deshabilitar. La opción de la cuenta integrada se puede usar como alternativa en caso de que el proveedor de identidad compatible con SAML no esté disponible.
Inicios de sesión iniciados por un proveedor de identidad
Con los inicios de sesión iniciados por un proveedor de identidad, los usuarios acceden directamente al administrador de inicio de sesión corporativo e inician sesión con su cuenta. Cuando el usuario envía la información de su cuenta, el proveedor de identidad envía la respuesta de SAML directamente a Portal for ArcGIS. A continuación, el usuario inicia sesión y se le redirige al sitio web del portal, donde puede acceder inmediatamente a los recursos sin tener que volver a iniciar sesión en la organización.
La opción para iniciar sesión usando las cuentas integradas no está disponible en el administrador de inicios de sesión corporativo. Para iniciar sesión en la organización con una cuenta integrada, los miembros tienen que acceder directamente al sitio web del portal.
Proveedores de identidad de SAML
Los siguientes proveedores de identidad compatibles con SAML se han certificado para el uso con Portal for ArcGIS:
- Active Directory Federation Services (AD FS) 2.0 y versiones posteriores
- NetIQ Access Manager 3.2 y versiones posteriores
- OpenAM 10.1.0 y versiones posteriores
- Shibboleth 2.3.8 y versiones posteriores
- SimpleSAMLphp 1.10 y versiones posteriores
El proceso de obtener los metadatos necesarios de los proveedores de identidad antes indicados se describe en cada vínculo. El proceso para configurar proveedores de identidad con Portal for ArcGIS se describe a continuación. Antes de continuar, es recomendable que se ponga en contacto con el administrador de su proveedor de identidad corporativo para obtener los parámetros necesarios para la configuración. Por ejemplo, si su organización utiliza Microsoft Active Directory, el administrador responsable será el contacto adecuado para configurar o habilitar SAML en el proveedor de identidad corporativo y obtener los parámetros necesarios para configurar el portal.
Compatibilidad con varios proveedores de identidad SAML
Con SAML, puede permitir el acceso al portal usando varios almacenes de identidad. Esta es una buena forma de administrar usuarios que pueden residir dentro o fuera de la organización.
Esto se logra estableciendo la confianza entre los almacenes de identidad que se desea poner a disposición del portal. Normalmente, es un administrador de seguridad el que se encarga de esto; la confianza no se configura en Portal for ArcGIS. Una vez que se haya establecido la confianza, solo tendrá que configurar uno de los almacenes de identidad de confianza con el portal (como se describe a continuación). Cuando los usuarios acceden al sitio web del portal o al sitio del proveedor de identidad, ven la opción de iniciar sesión con una cuenta corporativa administrada por cualquiera de los proveedores de identidad de confianza.
Información requerida
Portal for ArcGIS requiere recibir cierta información sobre atributos desde el proveedor de identidades cuando un usuario inicia sesión con un inicio de sesión corporativo. NameID es un atributo obligatorio que el proveedor de identidades debe enviar en la respuesta SAML para que la federación con Portal for ArcGIS funcione. Cuando un usuario de un proveedor de identidad (IDP) inicia sesión, Portal for ArcGIS crea un usuario nuevo con el nombre de usuario NameID en su almacén de usuarios. Los caracteres permitidos para el valor enviado por el atributo NameID son alfanuméricos, _ (guión bajo), . (punto) y @ (arroba). Para los demás caracteres del nombre de usuario creado por Portal for ArcGIS, se agregará un carácter de escape con guión bajo.
Portal for ArcGIS admite el flujo de entrada de los atributos givenName y email address del inicio de sesión corporativo del proveedor de identidad. Cuando un usuario inicia sesión utilizando un inicio de sesión corporativo y Portal for ArcGIS recibe atributos con los nombres givenname y email o mail (en cualquier caso), Portal for ArcGIS rellena el nombre completo y la dirección de correo electrónico de la cuenta del usuario con los valores recibidos del proveedor de identidad. Se recomienda que proporcione la email address del proveedor de identidad corporativo para que el usuario pueda recibir notificaciones.
Configurar un portal con un proveedor de identidad SAML
- Inicie sesión en el sitio web del portal como Administrador de su organización y haga clic en Mi organización > Editar ajustes > Seguridad.
- En la sección Inicios de sesión corporativos, haga clic en el botón Definir proveedor de identidad e introduzca el nombre de su organización en la ventana que se abre (por ejemplo, City of Redlands). Cuando los usuarios acceden al sitio web del portal, este texto aparece como parte de la opción de inicio de sesión SAML (por ejemplo, Using your City of Redlands account).
- Elija si los usuarios podrán unirse a la organización Automáticamente o Después de agregar las cuentas al portal. La primera opción permite a los usuarios iniciar sesión en la organización con su inicio de sesión corporativo sin ninguna intervención de un administrador. Su cuenta se registra con la organización automáticamente la primera vez que inician sesión. La segunda opción requiere que el administrador registre las cuentas necesarias con la organización utilizando una utilidad de línea de comandos o una secuencia de comandos de Python de ejemplo. Una vez que las cuentas se hayan registrado, los usuarios podrán iniciar sesión en la organización.
Sugerencia:
Es recomendable designar al menos una cuenta corporativa como administrador del portal y degradar o eliminar la cuenta de administrador inicial. También es recomendable deshabilitar el botón Crear una cuenta y la página de registro (signup.html) en el sitio web del portal para que los usuarios no puedan crear sus propias cuentas. Para obtener instrucciones completas, consulte la sección Designar una cuenta corporativa como administrador.
- Proporcione la información de metadatos necesaria acerca del proveedor de identidad corporativo compatible con SAML. Hágalo especificando el origen al que accederá el portal para obtener la información de metadatos. Los vínculos de las instrucciones para obtener metadatos de proveedores certificados están disponibles en la sección Proveedores de identidad SAML. Hay tres fuentes posibles de información de metadatos:
- URL: proporcione una dirección URL que devuelva información de metadatos acerca del proveedor de identidad.
Nota:
Si el proveedor de identidad corporativo incluye un certificado autofirmado, puede producirse un error al intentar especificar la dirección URL HTTPS de los metadatos. Este error se produce porque Portal for ArcGIS no puede verificar el certificado autofirmado del proveedor de identidad. Como alternativa, use HTTP en la URL, una de las otras opciones que aparecen, o configure el proveedor de identidad con un certificado de confianza.
- Archivo: suba un archivo que contenga información de metadatos acerca del proveedor de identidad.
- Parámetros: introduzca directamente la información de metadatos sobre el proveedor de identidad indicando los parámetros siguientes:
- URL de inicio de sesión: la dirección URL que debe utilizar Portal for ArcGIS para permitir el inicio de sesión de un usuario.
- Certificado: proporciona el certificado X.509 del proveedor de identidad corporativo. Este es el certificado que permite a Portal for ArcGIS verificar la firma digital en las respuestas SAML que le envía el proveedor de identidad corporativo.
Nota:
Póngase en contacto con el administrador del proveedor de identidad si necesita ayuda para determinar qué origen de información de metadatos se debe proporcionar.
- URL: proporcione una dirección URL que devuelva información de metadatos acerca del proveedor de identidad.
- Para completar el proceso de configuración y establecer la confianza con el proveedor de identidad, registre los metadatos del proveedor de servicios del portal en el proveedor de identidad corporativo. Hay dos formas de obtener los metadatos del portal:
- En la sección Seguridad de la página Editar ajustes de su organización, haga clic en el botón Obtener proveedor de servicios. Esto muestra los metadatos de su organización, que puede guardar como un archivo XML en su equipo.
- Abra la dirección URL de los metadatos y guárdelos como un archivo XML en su equipo. La dirección URL es https://webadaptor.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=<token>, por ejemplo, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Puede generar un token usando https://webadaptor.domain.com/arcgis/sharing/rest/generateToken. Al introducir la dirección URL en la página Generar token, especifique el nombre de dominio completo del servidor del proveedor de identidad en el campo URL de aplicación web. Seleccionar cualquier otra opción, como Dirección IP o Dirección IP del origen de esta solicitud, no es compatible y puede generar un token no válido.
Los vínculos de las instrucciones para registrar los metadatos del proveedor de servicios del portal en los proveedores certificados están disponibles en la sección Proveedores de identidad SAML.
- Si lo desea, puede proporcionar al portal metadatos sobre los grupos corporativos del almacén de identidad:
- Inicie sesión en el Directorio de Portal for ArcGIS como Administrador de su organización. La dirección URL tiene el formato https://webadaptor.domain.com/arcgis/portaladmin.
- Haga clic en Seguridad > Config > Actualizar almacén de identidades.
- Inserte el JSON de configuración del grupo en el cuadro de texto Configuración de almacén de grupo (en formato JSON).
Si el almacén de identidad es Windows Active Directory, copie el texto siguiente y modifíquelo para que incluya la información específica de su sitio:
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }
En la mayoría de los casos, solo deberá modificar valores para los parámetros de usuario y contraseña de usuario. Aunque escriba la contraseña con texto no cifrado, esta se cifrará cuando se almacene o consulte en el directorio de configuraciones del portal. La cuenta que se utiliza para el parámetro user solo necesita permiso para buscar los nombres de los grupos de Windows en la red. Si es posible, utilice una cuenta cuya contraseña no caduque.
Si el almacén de identidad es LDAP, copie el texto siguiente y modifíquelo para que contenga la información específica de su sitio:
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin\,ou=system", "ldapURLForUsers": "ldap://bar2:10389/ou=users\,ou=ags\,dc=example\,dc=com", "ldapURLForRoles": "ldap://bar2:10389/dc=example,dc=com", "usernameAttribute": "cn", "caseSensitive": "false", "userSearchAttribute": "cn", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
En la mayoría de los casos, solo tendrá que modificar los valores de los parámetros user, userPassword, ldapURLForUsers y ldapURLForUsers. Su administrador de LDAP deberá proporcionar la dirección URL a LDAP. La cuenta que utilice para el parámetro user necesita permisos para consultar los nombres de los grupos de su organización. Aunque escriba la contraseña con texto no cifrado, esta se cifrará cuando se almacene o consulte en el directorio de configuraciones del portal.
Si LDAP está configurado para no distinguir entre mayúsculas y minúsculas, configure el parámetro caseSensitive como "false".
- Cuando termine de introducir el JSON para la configuración del almacén de usuarios, haga clic en Actualizar configuración para guardar los cambios y reiniciar el portal.
Designar una cuenta corporativa como administrador
La forma de designar una cuenta corporativa como administrador del portal dependerá de si los usuarios podrán unirse a la organización Automáticamente o Después de agregar las cuentas al portal.
Unirse a la organización automáticamente
Si ha seleccionado la opción que permite a los usuarios unirse a la organización automáticamente, abra la página de inicio del sitio web del portal después de iniciar sesión en él con la cuenta corporativa que desea usar como administrador del portal.
Cuando una cuenta se agrega por primera vez al portal de forma automática, tiene asignado el rol de Usuario. Solo un Administrador de la organización puede cambiar el rol de una cuenta; por tanto, debe iniciar sesión en el portal utilizando la cuenta de administrador inicial y asignar una cuenta corporativa al rol de Administrador.
- En el sitio web del portal, haga clic en la opción para iniciar sesión usando un proveedor de identidad SAML e introduzca las credenciales de la cuenta corporativa que desea usar como administrador. Si esta cuenta pertenece a otro usuario, pídale que inicie sesión en el portal para que la cuenta quede registrada en él.
- Compruebe que la cuenta se haya agregado al portal y haga clic en Cerrar sesión. Borre la caché y las cookies del navegador.
- Abra el sitio web del portal desde el navegador, haga clic en la opción para iniciar sesión usando una cuenta de portal integrada y proporcione las credenciales de la cuenta de administrador inicial creada al configurar Portal for ArcGIS.
- Busque la cuenta corporativa que usará para administrar el portal y cambie el rol a Administrador. Haga clic en Cerrar sesión.
La cuenta corporativa que ha seleccionado tiene ahora el rol de administrador en el portal.
Agregar manualmente cuentas corporativas al portal
Si ha seleccionado la opción que solo permite a los usuarios unirse a la organización Después de agregar las cuentas al portal, tendrá que registrar las cuentas necesarias en la organización usando una utilidad de línea de comandos o una secuencia de comandos de Python. Asegúrese de elegir el rol de Administrador para una cuenta corporativa que se usará para administrar el portal.
Degradar o eliminar la cuenta de administrador inicial
Ahora que tiene una cuenta de administrador del portal alternativa, puede asignar la cuenta de administrador inicial al rol Usuario o eliminar la cuenta. Consulte Acerca de la cuenta de administrador inicial para obtener más información.
Impedir que los usuarios creen sus propias cuentas.
Después de haber protegido el acceso al portal, es aconsejable que deshabilite el botón Crear una cuenta y la página de registro (signup.html) en el sitio web del portal para que los usuarios no puedan crear sus propias cuentas. Esto significa que todos los miembros inician sesión en el portal con su cuenta y sus credenciales corporativas y que no se pueden crear cuentas integradas innecesarias. Consulte Deshabilitar la capacidad de los usuarios de crear cuentas de portal integradas para obtener instrucciones completas.
Modificar un proveedor de identidad SAML
El proveedor de identidad registrado actualmente se puede eliminar utilizando el botón Eliminar proveedor de identidad. Este botón solo estará habilitado cuando se haya configurado un proveedor de identidad compatible con SAML. Después de eliminar el proveedor de identidad, si se desea, se puede configurar un nuevo.