Skip To Content

Configurar Okta

Puede configurar Okta como proveedor de identidad (IDP) para inicios de sesión corporativos en Portal for ArcGIS. El proceso de configuración consta de dos pasos principales: registrar su IDP corporativo con Portal for ArcGIS y registrar Portal for ArcGIS con su IDP corporativo.

Si lo desea, puede proporcionar al portal metadatos sobre los grupos corporativos de su almacén de identidad. Esto permite crear grupos en el portal aprovechando los grupos corporativos existentes en el almacén de identidad. Cuando los miembros inician sesión en el portal, el acceso al contenido, los elementos y los datos se controlan por medio de las reglas de pertenencia definidas en el grupo corporativo. Aunque no proporcione los metadatos necesarios para el grupo corporativo, podrá crear grupos. Sin embargo, las reglas de pertenencia se controlarán por medio de Portal for ArcGIS, no del almacén de identidad.

Información requerida

Portal for ArcGIS exige recibir cierta información sobre atributos desde el IDP cuando un usuario se conecta con un inicio de sesión corporativo. NameID es un atributo obligatorio que el IDP debe enviar en la respuesta SAML para que la federación con Portal for ArcGIS funcione. Cuando un usuario de IDP inicia una sesión, Portal for ArcGIS crea un usuario con el nombre de usuario NameID en su almacén de usuarios. Los caracteres permitidos para el valor enviado por el atributo NameID son alfanuméricos, _ (guión bajo), . (punto) y @ (arroba). Para los demás caracteres del nombre de usuario creado por Portal for ArcGIS, se agregará un carácter de escape con guión bajo.

Portal for ArcGIS admite el flujo de entrada de los atributos givenName y email address del inicio de sesión corporativo desde el IDP corporativo. Cuando un usuario inicia sesión utilizando un inicio de sesión corporativo y si Portal for ArcGIS recibe atributos con los nombres givenname y email o mail (en cualquier caso), Portal for ArcGIS rellena el nombre completo y la dirección de correo electrónico de la cuenta del usuario con los valores recibidos del IDP. Es recomendable proporcionar la email address del IDP corporativo para que el usuario pueda recibir notificaciones.

Registrar Okta como IDP corporativo con Portal for ArcGIS

  1. Inicia sesión en el sitio web del portal como administrador de tu organización y haz clic en Mi organización > Editar ajustes > Seguridad.
  2. En la sección Inicios de sesión corporativos a través de SAML, haga clic en el botón Definir proveedor de identidad e introduzca el nombre de su organización en la ventana que aparece (por ejemplo, City of Redlands). Cuando los usuarios acceden al sitio web del portal, este texto aparece como parte de la opción de inicio de sesión SAML (por ejemplo, Using your City of Redlands account).
    Nota:

    Solo puede registrar un IDP corporativo para su portal.

  3. Elija si los usuarios podrán unirse a la organización Automáticamente o Después de agregar las cuentas al portal. La primera opción permite a los usuarios iniciar sesión en la organización con su inicio de sesión corporativo sin ninguna intervención de un administrador. Su cuenta se registra con la organización automáticamente la primera vez que inician sesión. La segunda opción requiere que el administrador registre las cuentas necesarias con la organización utilizando una utilidad de línea de comandos o una secuencia de comandos de Python de ejemplo. Una vez que las cuentas se hayan registrado, los usuarios podrán iniciar sesión en la organización.
    Sugerencia:

    Se recomienda designar al menos una cuenta corporativa como administrador del portal y degradar o eliminar la cuenta de administrador inicial. También le recomendamos que deshabilite el botón Crear una cuenta y la página de registro (signup.html) en el sitio web del portal para que los usuarios no puedan crear sus propias cuentas. Para obtener instrucciones completas, consulte Configurar un proveedor de identidad compatible con SAML con el portal.

  4. Proporcione la información de metadatos del IDP con una de las opciones siguientes:
    • Archivo: descargue u obtenga una copia del archivo de metadatos de federación de Okta y cargue el archivo en Portal for ArcGIS usando la opción Archivo.
      Nota:
      Si es la primera vez que registra un proveedor de servicio con Okta, tendrá que obtener el archivo de metadatos después de registrar Portal for ArcGIS con Okta.
    • Parámetros: elija esta opción si no se puede acceder al archivo de metadatos de federación. Introduzca manualmente los valores y proporcione los parámetros solicitados: URL de inicio de sesión y certificado. Póngase en contacto con su administrador de Okta para obtenerlos.
  5. Configure los ajustes avanzados cuando proceda:
    • Cifrar aserción: seleccione esta opción para cifrar las respuestas de la aserción SAML de Okta.
    • Habilitar solicitud firmada: seleccione esta opción para que Portal for ArcGIS firme la solicitud de autenticación SAML enviada a Okta.
    • Propagar cierre de sesión a proveedor de identidad: seleccione esta opción para que Portal for ArcGIS use una dirección URL de cierre de sesión para cerrar la sesión del usuario en Okta. Introduce la dirección URL que deseas utilizar en la configuración de la Dirección URL de cierre de sesión. Si el IDP requiere que la dirección URL de cierre de sesión esté firmada, será necesario activar la opción Habilitar solicitud firmada.
    • URL de cierre de sesión: la dirección URL del IDP que se debe utilizar para cerrar la sesión del usuario conectado.
    • Id. de entidad: actualice este valor para usar un nuevo Id. de entidad para identificar de forma única su portal en Okta.

    Los ajustes de Cifrar aserción y Habilitar solicitud firmada utilizan el certificado samlcert en el almacén de claves del portal. Para utilizar un certificado nuevo, elimine el certificado samlcert, cree un certificado nuevo con el mismo alias (samlcert) siguiendo los pasos que se indican en Importar un certificado en el portal y reinicie el portal.

  6. Cuando haya terminado, haga clic en Actualizar proveedor de identidad.
  7. Haga clic en Obtener proveedor de servicios para descargar el archivo de metadatos del portal. La información de este archivo se usará para registrar el portal como proveedor de servicios de confianza con Okta.
  8. Si lo desea, puede proporcionar al portal metadatos sobre los grupos corporativos del almacén de identidad:
    1. Inicie sesión en ArcGIS Portal Directory como administrador de su organización. La dirección URL tiene el formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
    2. Haga clic en Seguridad > Config > Actualizar almacén de identidades.
    3. Inserte el JSON de configuración del grupo en el cuadro de texto Configuración de almacén de grupo (en formato JSON).
      • Si el almacén de identidades es Windows Active Directory, copie el texto siguiente y modifíquelo para que incluya la información específica de su sitio:

        {
          "type": "WINDOWS",
          "properties": {
            "isPasswordEncrypted": "false",
            "userPassword": "secret",
            "user": "mydomain\\winaccount"
          }
        }

        En la mayoría de los casos, solo tendrá que modificar los valores de los parámetros user y userPassword. Aunque escriba la contraseña con texto no cifrado, esta se cifrará cuando se almacene o consulte en el directorio de configuraciones del portal. La cuenta que se utiliza para el parámetro user solo necesita permiso para buscar los nombres de los grupos de Windows en la red. Si es posible, utilice una cuenta cuya contraseña no caduque.

      • Si el almacén de identidades es LDAP, copie el texto siguiente y modifíquelo para que contenga la información específica de su sitio:

        {
          "type": "LDAP",  "properties": {
            "userPassword": "secret",    "isPasswordEncrypted": "false",    "user": "uid=admin,ou=system",    "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",    "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com",    "usernameAttribute": "cn",    "caseSensitive": "false",    "userSearchAttribute": "cn",    "memberAttributeInRoles": "member",    "rolenameAttribute":"cn"
          }
        }

        En la mayoría de los casos, solo deberá modificar valores para los parámetros user, userPassword, ldapURLForUsers y ldapURLForRoles. Su administrador de LDAP deberá proporcionar la URL a LDAP.

        En el ejemplo anterior, la dirección URL de LDAP hace referencia a los usuarios dentro de un OU específico (ou=usuarios). Si hay usuarios en varios OU, la dirección URL de LDAP puede apuntar a un nivel de OU más alto o incluso al nivel de raíz si es necesario. En ese caso, la dirección URL tendría el siguiente aspecto:

        "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

        La cuenta que utilice para el parámetro user necesita permisos para consultar los nombres de los grupos de su organización. Aunque escriba la contraseña con texto no cifrado, esta se cifrará cuando se almacene o consulte en el directorio de configuraciones del portal.

        Si su sistema LDAP está configurado para no tener en cuenta los caracteres en mayúsculas y minúsculas, ajuste el parámetro caseSensitive a false.

    4. Cuando termine de introducir el JSON para la configuración del almacén de usuarios, haga clic en Actualizar configuración para guardar los cambios y reiniciar el portal.

Registrar Portal for ArcGIS como el proveedor de servicios de confianza con Okta

  1. Inicie sesión en su organización de Okta como miembro con privilegios de administrador.
  2. En la pestaña Aplicaciones, haga clic en el botón Agregar aplicación.
  3. Haga clic en Crear nueva aplicación y seleccione la opción SAML 2.0. Haga clic en Crear.
  4. En Configuración general, introduzca un Nombre de la aplicación para la implementación de su portal y haga clic en Siguiente.
  5. En la pestaña Configurar SAML, haga lo siguiente:
    1. Introduzca el valor de Dirección URL de inicio de sesión único, por ejemplo, https://portalhostname.domain.com/portalcontext/sharing/rest/oauth2/saml/signin. Este valor se puede copiar del archivo de metadatos del proveedor de servicios descargado desde su portal.
    2. Introduzca el valor de URI de audiencia. El valor predeterminado es portalhostname.domain.com.portalcontext. Este valor se puede copiar del archivo de metadatos del proveedor de servicios descargado desde su portal.
    3. Deje Formato de id. de nombre como No especificado.
    4. En Configuración avanzada, cambie la opción Firma de aserción a Sin firmar.
    5. En la sección Declaraciones de atributos, agregue estas declaraciones de atributos:

      givenName definido como user.firstName + " " + user.lastName

      email definido como user.email

  6. Haga clic en Siguiente y después en Finalizar.
  7. Ahora verá la sección Iniciar sesión de la aplicación de SAML que acaba de crear. Para obtener los metadatos del IDP de Okta, haga clic en la pestaña Iniciar sesión y haga clic en el vínculo Metadatos del proveedor de identidad.
  8. Haga clic con el botón derecho en la pestaña Gente y configure los usuarios autenticados en Okta que tendrán acceso a su portal.