Puede configurar el parche acumulativo 3 de Active Directory Federation Services (AD FS) 2.0 y AD FS 3.0 en el sistema operativo Microsoft Windows Server como su proveedor de identidad para los inicios de sesión corporativos en Portal for ArcGIS. El proceso de configuración consta de dos pasos: registrar su proveedor de identidad corporativa en Portal for ArcGIS y registrar Portal for ArcGIS en el proveedor de identidad corporativa.
Si lo desea, puede proporcionar al portal metadatos sobre los grupos corporativos de Windows Active Directory. Esto permite crear grupos en el portal aprovechando los grupos corporativos existentes en el almacén de identidad. Cuando los miembros inician sesión en el portal, el acceso al contenido, los elementos y los datos se controlan por medio de las reglas de pertenencia definidas en el grupo corporativo. Aunque no proporcione los metadatos necesarios para el grupo corporativo, podrá crear grupos. Sin embargo, las reglas de pertenencia se controlarán por medio de Portal for ArcGIS, no de Windows Active Directory.
Información requerida
Portal for ArcGIS requiere recibir cierta información sobre atributos desde el proveedor de identidades cuando un usuario inicia sesión con un inicio de sesión corporativo. NameID es un atributo obligatorio que el proveedor de identidades debe enviar en la respuesta SAML para que la federación con Portal for ArcGIS funcione. Cuando un usuario de IDP inicia una sesión, Portal for ArcGIS crea un usuario con el nombre de usuario NameID en su almacén de usuarios. Los caracteres permitidos para el valor enviado por el atributo NameID son alfanuméricos, _ (guión bajo), . (punto) y @ (arroba). Para los demás caracteres del nombre de usuario creado por Portal for ArcGIS, se agregará un carácter de escape con guión bajo.
Portal for ArcGIS admite el flujo de entrada de los atributos givenName y email address del inicio de sesión corporativo del proveedor de identidad corporativo. Cuando un usuario inicia sesión utilizando un inicio de sesión corporativo y si Portal for ArcGIS recibe atributos con los nombres givenname y email o mail (en cualquier caso), Portal for ArcGIS rellena el nombre completo y la dirección de correo electrónico del usuario con los valores recibidos del proveedor de identidad. Se recomienda que proporcione la email address del proveedor de identidad corporativo para que el usuario pueda recibir notificaciones.
Registrar AD FS como proveedor de identidad corporativa en Portal for ArcGIS
- Inicia sesión en el sitio web del portal como administrador de tu organización y haz clic en Mi organización > Editar ajustes > Seguridad.
- En la sección Inicios de sesión corporativos, haga clic en el botón Definir proveedor de identidad e introduzca el nombre de su organización en la ventana que aparece (por ejemplo, City of Redlands). Cuando los usuarios acceden al sitio web del portal, este texto aparece como parte de la opción de inicio de sesión SAML (por ejemplo, Using your City of Redlands account).
Nota:
Solo puede registrar un proveedor de identidad corporativo para su portal.
- Elija si los usuarios podrán unirse a la organización Automáticamente o Después de agregar las cuentas al portal. La primera opción permite a los usuarios iniciar sesión en la organización con su inicio de sesión corporativo sin ninguna intervención de un administrador. Su cuenta se registra con la organización automáticamente la primera vez que inician sesión. La segunda opción requiere que el administrador registre las cuentas necesarias con la organización utilizando una utilidad de línea de comandos o una secuencia de comandos de Python de ejemplo. Una vez que las cuentas se hayan registrado, los usuarios podrán iniciar sesión en la organización.
Sugerencia:
Se recomienda designar al menos una cuenta corporativa como administrador del portal y degradar o eliminar la cuenta de administrador inicial. También le recomendamos que deshabilite el botón Crear una cuenta y la página de registro (signup.html) en el sitio web del portal para que los usuarios no puedan crear sus propias cuentas. Para obtener instrucciones completas, consulte Configurar un proveedor de identidad compatible con SAML con el portal.
- Proporcione la información de metadatos del proveedor de identidad con una de las opciones siguientes:
- URL: si se puede acceder a la URL de los metadatos de federación de AD FS, seleccione esta opción e introduzca la dirección URL (por ejemplo, https://<adfs-server>/federationmetadata/2007-06/federationmetadata.xml).
Nota:
Si el proveedor de identidad corporativo incluye un certificado autofirmado, puede producirse un error al intentar especificar la dirección URL HTTPS de los metadatos. Este error se produce porque Portal for ArcGIS no puede verificar el certificado autofirmado del proveedor de identidad. Como alternativa, use HTTP en la URL, una de las otras opciones que aparecen, o configure el proveedor de identidad con un certificado de confianza.
- Archivo: elija esta opción si no es posible acceder a la URL. Descargue u obtenga una copia del archivo de metadatos de federación de AD FS y cargue el archivo en Portal for ArcGIS usando la opción Archivo.
- Parámetros: elija esta opción si no se puede acceder a la URL o al archivo de metadatos de federación. Introduzca manualmente los valores y proporcione los parámetros solicitados: URL de inicio de sesión y certificado. Póngase en contacto con el administrador de AD FS para obtenerlos.
- URL: si se puede acceder a la URL de los metadatos de federación de AD FS, seleccione esta opción e introduzca la dirección URL (por ejemplo, https://<adfs-server>/federationmetadata/2007-06/federationmetadata.xml).
- Configure los ajustes avanzados cuando proceda:
- Cifrar aserción: seleccione esta opción para cifrar las respuestas de la aserción SAML de AD FS.
- Habilitar solicitud firmada: selecciona esta opción para que Portal for ArcGIS firme la solicitud de autenticación SAML enviada a AD FS.
- Propagar cierre de sesión a proveedor de identidad: selecciona esta opción para que Portal for ArcGIS utilice una dirección URL de cierre de sesión para cerrar la sesión de AD FS del usuario. Introduce la dirección URL que deseas utilizar en la configuración de la Dirección URL de cierre de sesión. Si el proveedor de identidad requiere que la dirección URL de cierre de sesión esté firmada, será necesario activar la opción Habilitar solicitud firmada.
Nota:
De manera predeterminada, AD FS requiere que las solicitudes de cierre de sesión se firmen utilizando SHA-256, por lo que debe activar las opciones Habilitar solicitud firmada y Firmar usando SHA256.
- Dirección URL de cierre de sesión: la dirección URL del proveedor de identidad a utilizar para cerrar la sesión del usuario conectado.
- Id. de entidad: actualiza este valor para usar un nuevo Id. de entidad para identificar exclusivamente tu portal en AD FS.
Los ajustes de Cifrar aserción y Habilitar solicitud firmada utilizan el certificado samlcert en el almacén de claves del portal. Para utilizar un certificado nuevo, elimine el certificado samlcert, cree un certificado nuevo con el mismo alias (samlcert) siguiendo los pasos que se indican en Importar un certificado en el portal y reinicie el portal.
- Si lo desea, puede proporcionar al portal metadatos sobre
los grupos corporativos de Windows Active Directory:
- Inicia sesión en el Directorio de Portal for ArcGIS como administrador de tu organización. La dirección URL tiene el formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Haga clic en Seguridad > Config > Actualizar almacén de identidades.
- Inserte el JSON de configuración del grupo IWA en el cuadro de texto Configuración de almacén de grupo (en formato JSON).
Puede copiar el texto siguiente y modificarlo para que incluya la información específica de su sitio:
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }
En la mayoría de los casos, solo tendrá que modificar los valores de los parámetros user y userPassword. Aunque escriba la contraseña con texto no cifrado, esta se cifrará cuando se almacene o consulte en el directorio de configuraciones del portal. La cuenta que se utiliza para el parámetro user solo necesita permiso para buscar los nombres de los grupos de Windows en la red. Si es posible, utilice una cuenta cuya contraseña no caduque.
- Cuando haya terminado de introducir el JSON para la configuración del almacén de usuarios, haga clic en Actualizar configuración para guardar los cambios y reiniciar el portal.
Registrar Portal for ArcGIS como proveedor de servicios de confianza en AD FS
- Abra la consola de administración de AD FS.
- Elija Grupos de partes que confían > Agregar grupo de partes que confían.
- En el Asistente para agregar grupo de partes que confían, haga clic en el botón Inicio.
- Para Seleccionar origen de datos, elija una opción para obtener los datos de la parte en que confía: importar desde una URL, importar desde un archivo o introducir manualmente. Las opciones URL y archivo requieren que obtenga los metadatos de la organización. Si no tiene acceso a la URL o los archivos de metadatos, puede introducir la información de forma manual. En algunos casos, la introducción manual de los datos puede ser la opción más sencilla.
- Importar datos de la parte que confía publicados online o en una red local
Esta opción utiliza los metadatos de la URL de su organización de Portal for ArcGIS. La dirección URL es https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, por ejemplo, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Puede generar un token usando https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Cuando introduzca la URL en la página Generar token, especifique el nombre de dominio completo del servidor de AD FS en el campo URL de aplicación web. Seleccionar cualquier otra opción, como Dirección IP o Dirección IP del origen de esta solicitud, no es compatible y puede generar un token no válido.
Nota:
La porción arcgis de la URL de muestra anterior es el nombre predeterminado de la aplicación de Web Adaptor. Si Web Adaptor tiene un nombre distinto de arcgis, reemplace esta porción de la URL con el nombre de su Web Adaptor.
- Importar datos de la parte que confía desde un archivo.
Esta opción utiliza un archivo metadata.xml de su organización de Portal for ArcGIS. Hay dos maneras de obtener un archivo XML de metadatos:
- En la sección Seguridad de la página Editar ajustes de su organización, haga clic en el botón Obtener proveedor de servicios. Así obtendrá los metadatos de su organización, que puede guardar como un archivo XML en su equipo.
- Abra la dirección URL de los metadatos de su organización Portal for ArcGIS y guárdelos como un archivo XML en su ordenador. La dirección URL es https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, por ejemplo, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Puede generar un token usando https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Cuando introduzca la URL en la página
Generar token, especifique el nombre de dominio completo del servidor de AD FS en el campo URL de aplicación web. Seleccionar cualquier otra opción, como Dirección IP o Dirección IP del origen de esta solicitud, no es compatible y puede generar un token no válido.
Nota:
La porción arcgis de las URL de muestra anteriores es el nombre predeterminado de la aplicación de Web Adaptor. Si Web Adaptor tiene un nombre distinto de arcgis, reemplace esta porción de la URL con el nombre de su Web Adaptor.
- Introducir manualmente los datos de la parte que confía.
Con esta opción, Asistente para agregar grupo de partes que confían abre ventanas adicionales para que introduzca manualmente los datos. Estas se explican en los pasos 6 a 8 a continuación.
- Importar datos de la parte que confía publicados online o en una red local
- Para Especificar nombre de la visualización, introduzca el nombre de la visualización.
El nombre de visualización se utiliza para identificar la parte que confía en AD FS. No tiene ningún otro propósito. Debe definirse como ArcGIS u otro nombre de la organización en ArcGIS, como ArcGIS-SamlTest, por ejemplo.
Sugerencia:
La imagen anterior muestra la ventana Especificar nombre de la visualización con los pasos para importar el origen de datos desde una URL o un archivo. Si ha optado por introducir manualmente la información del origen de datos, verá pasos adicionales en el lado izquierdo del asistente que se explican en los pasos 6 a 8 a continuación. Si ha seleccionado URL o archivo, puede ir directamente al paso 9.
- (Solo origen de datos manual) En Elegir perfil, elija Perfil AD FS 2.0 (o una versión posterior de AD FS si es la adecuada para su entorno).
- (Solo fuente de datos manual) En Configurar URL, active la casilla situada junto a Habilitar compatibilidad para el protocolo SAML 2.0 WebSSO e introduzca la dirección URL del servicio SAML 2.0 SSO de la parte que confía.
La URL de la parte en que confía debe ser la URL donde AD FS envía la respuesta SAML después de autenticar el usuario. Debe ser una URL HTTPS: https://webadaptorhost.domain.com/webadaptorname/sharing/rest/oauth2/saml/signin.
Nota:
La porción arcgis de la URL de muestra anterior es el nombre predeterminado de la aplicación de Web Adaptor. Si Web Adaptor tiene un nombre distinto de arcgis, reemplace esta porción de la URL con el nombre de su Web Adaptor.
- (Solo fuente de datos manual) En Configurar identificadores, introduzca la dirección URL del identificador del grupo de la parte que confía.
Debe ser portal.domain.com.arcgis.
- Para Elegir reglas de autorización de emisión, elija Permitir que todos los usuarios accedan a esta parte que confía.
Sugerencia:
La imagen anterior muestra la ventana Elegir reglas de autorización de emisión con los pasos para importar el origen de datos desde una URL o un archivo. Si ha optado por introducir manualmente la información de el origen de datos, verá pasos adicionales en el lado izquierdo del asistente.
- En Listo para agregar grupo, revise toda la configuración de la parte en que confía. La URL de los metadatos solo se rellena si opta por importar la fuente de datos desde una URL. La imagen a continuación muestra la ventana Listo para agregar grupo si ha optado por introducir manualmente la información de el origen de datos.
Haga clic en Siguiente.
Sugerencia:
Si se ha habilitado la opción Supervisar parte que confía, AD FS comprobará periódicamente la URL de metadatos de federación y la comparará con el estado actual del grupo de la parte en que confía. Sin embargo, la supervisión generará un error una vez que el token de la URL de metadatos de federación caduque. Los errores se registran en el registro de eventos de AD FS. Para desactivar estos mensajes, es aconsejable que deshabilite la supervisión o que actualice el token.
- Para Finalizar, active la casilla para abrir automáticamente el cuadro de diálogo Editar reglas de reclamación después de hacer clic en el botón Cerrar.
Sugerencia:
La imagen anterior muestra la ventana Finalizar con los pasos para importar el origen de datos desde una URL o un archivo. Si ha optado por introducir manualmente la información de el origen de datos, verá pasos adicionales en el lado izquierdo del asistente.
- Para definir las reglas de reclamación, abra el asistente Editar reglas de reclamación y haga clic en Agregar regla.
- En Seleccionar plantilla de regla, seleccione la plantilla Enviar atributos LDAP como reclamaciones cuya regla de reclamación desea crear y haga clic en Siguiente.
- En Configurar regla de reclamación, indique un nombre para la regla, como, por ejemplo, DefaultClaims.
- Para Almacén de atributos, seleccione Active Directory.
- Para Asignación de atributos LDAP a los tipos de reclamación de salida, seleccione el atributo LDAP que contiene los nombres de usuarios (como Nombre-cuenta-SAM) para Atributo LDAP y NameID para Tipo de reclamación de salida.
Nota:
NameID es el atributo que debe enviar AD FS en la respuesta de SAML para que la federación con ArcGIS funcione. Cuando un usuario de IDP inicia una sesión, Portal for ArcGIS crea un usuario con el nombre de usuario NameID en su almacén de usuarios. Los caracteres permitidos para el valor enviado por el atributo NameID son alfanuméricos, _ (guión bajo), . (punto) y @ (arroba). Para los demás caracteres del nombre de usuario creado por Portal for ArcGIS, se agregará un carácter de escape con guión bajo.
- Portal for ArcGIS admite el flujo de entrada de los atributos givenName y los atributos email address del inicio de sesión corporativo del proveedor de identidad corporativo. Cuando un usuario inicia sesión utilizando un inicio de sesión corporativo y si Portal for ArcGIS recibe atributos con los nombres givenname y email o mail (en cualquier caso), Portal for ArcGIS rellena el nombre completo y la dirección de correo electrónico del usuario con los valores recibidos del proveedor de identidad.
Siga las siguientes instrucciones para editar las reglas de reclamación.
- En la columna Atributo LDAP, elija Nombre de visualización (o un atributo diferente de la lista de la segunda fila) y asígnelo a Nombre dado en la columna Tipo de reclamación saliente.
- En la columna Atributo LDAP, elija Direcciones de correo electrónico y asígnelo a Dirección de correo electrónico en la columna Tipo de notificación saliente.
Con esta reclamación, AD FS envía atributos con los nombres givenname y email a Portal for ArcGIS después de autenticar el usuario. A continuación Portal for ArcGIS usa los valores recibidos en los atributos givenname y email y rellena el nombre completo y la dirección de correo electrónico de la cuenta del usuario.
Se recomienda que transfiera la dirección de correo electrónico del proveedor de identidad corporativa a Portal for ArcGIS. Esto es de utilidad si el usuario se convierte posteriormente en administrador. Disponer de una dirección de correo electrónico en la cuenta permite al usuario recibir notificaciones sobre cualquier actividad administrativa y enviar invitaciones a otros usuarios para que se unan a la organización.
- Haga clic en Finalizar para finalizar la configuración del proveedor de identidad AD FS e incluir Portal for ArcGIS como parte que confía.
Inicios de sesión iniciados por un proveedor de identidad (IDP)
Después de configurar AD FS como proveedor de identidad de su organización, tiene la opción de utilizar los inicios de sesión corporativos iniciados por un IDP. Debe habilitar los inicios de sesión de IDP para iniciar los inicios de sesión de IDP en AD FS y Portal for ArcGIS. Si aún no lo ha hecho, lleve a cabo los pasos siguientes para habilitar los inicios de sesión de IDP en AD FS. Portal for ArcGIS admite de manera predeterminada los inicios de sesión de IDP, con lo que no es necesario realizar pasos de configuración adicionales en Portal for ArcGIS; solo es necesaria la configuración de AD FS.
- Habilite AD FS para enviar el parámetro RelayState en el archivo web.config. El parámetro se usa para identificar el recurso concreto al que tendrá acceso el usuario una vez que inicie sesión.
- Abra el archivo web.config. De manera predeterminada, el archivo se encuentra en C:\inetpub\adfs\ls\.
- Agregue la siguiente entrada a la sección microsoft.identityServer.web del archivo web.config:
<microsoft.identityServer.web> ... <useRelayStateForIdpInitiatedSignOn enabled="true" /> </microsoft.identityServer.web>
- Genere el parámetro RelayState. AD FS requiere dos datos para generar RelayState:
- Identificador de la parte en que confía (RPID): esto indica el identificador de la parte que confía de tu organización de Portal for ArcGIS configurada en AD FS. Para obtenerlo, abra las propiedades de la parte que confía de Portal for ArcGIS en la consola de administración de AD FS (por ejemplo, webadaptorhost.domain.com).
- RelayState: esta es la URL del portal a la que se redirige al usuario tras iniciar sesión correctamente en el sitio de AD FS (por ejemplo, https://webadaptorhost.domain.com/webadaptorname/).
- Genere el parámetro RelayState definiendo los valores de RPID y RelayState.
- Codifique los valores de RPID y RelayState, por ejemplo:
- RPID: webadaptorhost.domain.com.webadaptorname
- RelayState: https%3A%2F%2Fwebadaptorhost.domain.com%2Fwebadaptorname%2F
- Fusione los valores codificados que ha creado en el paso anterior en una sola cadena de caracteres (por ejemplo, RPID=webadaptorhost.domain.com.webadaptorname&RelayState=https%3A%2F%2Fwebadaptor.domain.com%2Farcgis%2F).
- Codifique la cadena de caracteres fusionada (por ejemplo, RPID%3Dwebadaptorhost.domain.com.webadaptorname%26RelayState%3D%20https%253A%252F%252Fwebadaptorhost.domain.com%252Fwebadaptorname%252F).
- Agregue el parámetro RelayState a la cadena de caracteres y añádalo a la URL de inicio de sesión único iniciado por IDP de AD FS (por ejemplo, https://idphost.test.com/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID%3Dwebadaptorhost.domain.com.webadaptorname%26RelayState%3D%20https%253A%252F%252Fwebadaptorhost.domain.com%252Fwebadaptorname%252F). Esta es la URL que se utilizará para iniciar sesión en el sitio de AD FS.
Cuando el usuario inicia sesión y se autentica correctamente, AD FS genera una respuesta de SAML y suministra el RelayState con la URL de su organización a Portal for ArcGIS. El portal valida la respuesta de SAML y redirige al usuario a la organización y sus recursos.