Skip To Content

Configurar un proveedor de identidades compatible con SAML con su portal

El lenguaje de marcado para confirmaciones de seguridad (SAML) es un estándar abierto para intercambiar de forma segura datos de autenticación y autorización entre un proveedor de identidades corporativo y un proveedor de servicios (en este caso, Portal for ArcGIS). La fórmula empleada para ello se conoce como SAML Web Single Sign On. El portal cumple con SAML 2.0 y se integra con proveedores de identidad que admiten SAML 2 Web Single Sign On. La ventaja de configurar SAML es que no es necesario crear inicios de sesión adicionales para que los usuarios accedan a Portal for ArcGIS. En lugar de eso, utilizarán el inicio de sesión que ya esté configurado en un almacén de identidades corporativo. Este proceso se describe en la documentación como configuración de inicios de sesión corporativos.

Si lo desea, puede proporcionar al portal metadatos sobre los grupos corporativos de su almacén de identidad. Esto permite crear grupos en el portal aprovechando los grupos corporativos existentes en el almacén de identidad. Cuando los miembros inician sesión en el portal, el acceso al contenido, los elementos y los datos se controlan por medio de las reglas de pertenencia definidas en el grupo corporativo. Aunque no proporcione los metadatos necesarios para el grupo corporativo, podrá crear grupos. Sin embargo, las reglas de pertenencia se controlarán por medio de Portal for ArcGIS, no de su almacén de identidades.

Coincidencia de nombres de usuario de ArcGIS Online en Portal for ArcGIS

Si se utiliza el mismo proveedor de identidades compatible como SAML en su organización de ArcGIS Online y su portal, los nombres de usuario corporativos se pueden configurar para que coincidan. Todos los nombres de usuario corporativos en ArcGIS Online tienen incorporado el nombre abreviado de la organización al final. Se pueden usar los mismos nombres de usuario corporativos en su portal definiendo la propiedad defaultIDPUsernameSuffix dentro de la configuración de seguridad del portal y estableciéndola para que coincida con el nombre abreviado de la organización. Esto es necesario si el rastreo del editor está habilitado en un servicio de entidades que han editado los usuarios corporativos desde ArcGIS Online y desde su portal.

Experiencia de inicio de sesión con SAML

Portal for ArcGIS es compatible con los inicios de sesión corporativos iniciados por proveedores de servicios (SP) y con los inicios de sesión corporativos iniciados por proveedores de identidad (IDP). La experiencia de inicio de sesión es diferente en cada caso.

Inicios de sesión iniciados por un proveedor de servicios

Con los inicios de sesión iniciados por proveedores de servicios, los usuarios acceden directamente al portal y se les ofrecen opciones para iniciar sesión con cuentas integradas (administradas por el portal) o con cuentas administradas en un proveedor de identidad compatible con SAML. Si el usuario elige la opción de proveedor de identidad SAML, se le redirige a una página web (conocida como administrador de inicio de sesión corporativo) en la que se le pide que introduzca su nombre de usuario y su contraseña corporativos. Después de verificar los datos de inicio de sesión del usuario, el proveedor de identidades corporativo informa a Portal for ArcGIS de la identidad verificada del usuario que inicia sesión y el usuario se redirige otra vez al sitio web de su portal.

Si el usuario elige la opción de la cuenta integrada, se abre la página de inicio de sesión del sitio web del portal. A continuación, el usuario puede introducir su nombre de usuario y su contraseña integrados para acceder al sitio web. Esta opción no se puede deshabilitar. La opción de la cuenta integrada se puede usar como alternativa en caso de que el proveedor de identidad compatible con SAML no esté disponible.

Inicios de sesión iniciados por un proveedor de identidad

Con los inicios de sesión iniciados por un proveedor de identidad, los usuarios acceden directamente al administrador de inicio de sesión corporativo e inician sesión con su cuenta. Cuando el usuario envía la información de su cuenta, el proveedor de identidades envía la respuesta de SAML directamente a Portal for ArcGIS. A continuación, el usuario inicia sesión y se le redirige al sitio web del portal, donde puede acceder inmediatamente a los recursos sin tener que volver a iniciar sesión en la organización.

La opción para iniciar sesión usando las cuentas integradas no está disponible en el administrador de inicios de sesión corporativo. Para iniciar sesión en la organización con una cuenta integrada, los miembros tienen que acceder directamente al sitio web del portal.

Proveedores de identidad de SAML

En los tutoriales siguientes se explica el uso de varios proveedores de identidades compatibles con SAML con Portal for ArcGIS:

El proceso de obtener los metadatos necesarios de los proveedores de identidad antes indicados se describe en cada vínculo. El proceso para configurar proveedores de identidades con Portal for ArcGIS se describe a continuación. Antes de continuar, es recomendable que se ponga en contacto con el administrador de su proveedor de identidad corporativo para obtener los parámetros necesarios para la configuración. Por ejemplo, si su organización utiliza Microsoft Active Directory, el administrador responsable será el contacto adecuado para configurar o habilitar SAML en el proveedor de identidad corporativo y obtener los parámetros necesarios para configurar el portal.

Compatibilidad con varios proveedores de identidad SAML

Con SAML, puede permitir el acceso al portal usando varios almacenes de identidad. Esta es una buena forma de administrar usuarios que pueden residir dentro o fuera de la organización.

Esto se logra estableciendo la confianza entre los almacenes de identidad que se desea poner a disposición del portal. Normalmente, es un administrador de seguridad el que se encarga de esto; la confianza no se configura en Portal for ArcGIS. Una vez que se haya establecido la confianza, solo tendrá que configurar uno de los almacenes de identidad de confianza con el portal (como se describe a continuación). Cuando los usuarios acceden al sitio web del portal o al sitio del proveedor de identidad, ven la opción de iniciar sesión con una cuenta corporativa administrada por cualquiera de los proveedores de identidad de confianza.

Información requerida

Portal for ArcGIS requiere recibir cierta información sobre atributos desde el proveedor de identidades cuando un usuario inicia sesión con un inicio de sesión corporativo. NameID es un atributo obligatorio que el proveedor de identidades debe enviar en la respuesta SAML para que la federación con Portal for ArcGIS funcione. Cuando un usuario de IDP inicia una sesión, Portal for ArcGIS crea un usuario con el nombre de usuario NameID en su almacén de usuarios. Los caracteres permitidos para el valor enviado por el atributo NameID son alfanuméricos, _ (guión bajo), . (punto) y @ (arroba). Para los demás caracteres del nombre de usuario creado por Portal for ArcGIS, se agregará un carácter de escape con guión bajo.

Portal for ArcGISadmite el flujo de entrada de los atributos givenName y email address del inicio de sesión corporativo del proveedor de identidades. Cuando un usuario inicia sesión utilizando un inicio de sesión corporativo y si Portal for ArcGIS recibe atributos con los nombres givenname y email o mail (en cualquier caso), Portal for ArcGIS rellena el nombre completo y la dirección de correo electrónico del usuario con los valores recibidos del proveedor de identidad. Se recomienda que proporcione la email address del proveedor de identidad corporativo para que el usuario pueda recibir notificaciones.

Configurar un portal con un proveedor de identidad SAML

  1. Inicia sesión en el sitio web del portal como administrador de tu organización y haz clic en Mi organización > Editar ajustes > Seguridad.
  2. En la sección Inicios de sesión corporativos, haga clic en el botón Definir proveedor de identidad e introduzca el nombre de su organización en la ventana que se abre (por ejemplo, City of Redlands). Cuando los usuarios acceden al sitio web del portal, este texto aparece como parte de la opción de inicio de sesión SAML (por ejemplo, Using your City of Redlands account).
  3. Elija si los usuarios podrán unirse a la organización Automáticamente o Después de agregar las cuentas al portal. La primera opción permite a los usuarios iniciar sesión en la organización con su inicio de sesión corporativo sin ninguna intervención de un administrador. Su cuenta se registra con la organización automáticamente la primera vez que inician sesión. La segunda opción requiere que el administrador registre las cuentas necesarias con la organización utilizando una utilidad de línea de comandos o una secuencia de comandos de Python de ejemplo. Una vez que las cuentas se hayan registrado, los usuarios podrán iniciar sesión en la organización.
    Sugerencia:

    Se recomienda designar al menos una cuenta corporativa como administrador del portal y degradar o eliminar la cuenta de administrador inicial. También es recomendable deshabilitar el botón Crear una cuenta y la página de registro (signup.html) en el sitio web del portal para que los usuarios no puedan crear sus propias cuentas. Para obtener instrucciones completas, consulte la sección Designar una cuenta corporativa como administrador.

  4. Proporcione la información de metadatos necesaria acerca del proveedor de identidad corporativo compatible con SAML. Hágalo especificando el origen al que accederá el portal para obtener la información de metadatos. Los vínculos de las instrucciones para obtener metadatos de proveedores certificados están disponibles en la sección Proveedores de identidad SAML. Hay tres fuentes posibles de información de metadatos:
    • Una URL: proporcione una dirección URL que devuelva información de metadatos acerca del proveedor de identidad.
      Nota:

      Si el proveedor de identidad corporativo incluye un certificado autofirmado, puede producirse un error al intentar especificar la dirección URL HTTPS de los metadatos. Este error se produce porque Portal for ArcGIS no puede verificar el certificado autofirmado del proveedor de identidad. Como alternativa, use HTTP en la URL, una de las otras opciones que aparecen, o configure el proveedor de identidad con un certificado de confianza.

    • Un archivo: cargue un archivo que contenga información de metadatos acerca del proveedor de identidad.
    • Parámetros especificados aquí: introduzca directamente la información de metadatos sobre el proveedor de identidad indicando los parámetros siguientes:
      • URL de inicio de sesión (redireccionamiento): introduzca la dirección URL del proveedor de identidad (que admite la vinculación de redireccionamiento HTTP) que Portal for ArcGIS debe usar para permitir que un miembro inicie sesión.
      • URL de inicio de sesión (POST): introduzca la dirección URL del proveedor de identidad (que admite la vinculación HTTP POST) que Portal for ArcGIS debe usar para permitir que un miembro inicie sesión.
      • Certificado: proporcione el certificado del proveedor de identidad corporativo. Este es el certificado que permite a Portal for ArcGIS verificar la firma digital en las respuestas SAML que le envía el proveedor de identidades corporativo.
    Nota:

    Póngase en contacto con el administrador del proveedor de identidad si necesita ayuda para determinar qué origen de información de metadatos se debe proporcionar.

  5. Para completar el proceso de configuración y establecer la confianza con el proveedor de identidad, registre los metadatos del proveedor de servicios del portal en el proveedor de identidad corporativo. Hay dos formas de obtener los metadatos del portal:
    • En la sección Seguridad de la página Editar ajustes de su organización, haga clic en el botón Obtener proveedor de servicios. Esto muestra los metadatos de su organización, que puede guardar como un archivo XML en su equipo.
    • Abra la dirección URL de los metadatos y guárdelos como un archivo XML en su equipo. La dirección URL es https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, por ejemplo, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Puede generar un token usando https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Al introducir la dirección URL en la página Generar token, especifique el nombre de dominio completo del servidor del proveedor de identidad en el campo URL de aplicación web. Seleccionar cualquier otra opción, como Dirección IP o Dirección IP del origen de esta solicitud, no es compatible y puede generar un token no válido.

    Los vínculos de las instrucciones para registrar los metadatos del proveedor de servicios del portal en los proveedores certificados están disponibles en la sección Proveedores de identidad SAML.

  6. Configure los ajustes avanzados según proceda:
    • Cifrar aserción: elija esta opción para indicar al proveedor de identidad SAML que Portal for ArcGIS admite respuestas de aserción SAML cifradas. Cuando esta opción está deshabilitada, el proveedor de identidad cifrará la sección de aserción de las respuestas de SAML. Aunque todo el tráfico de SAML a y desde Portal for ArcGIS ya está cifrado mediante el uso de HTTPS, esta opción agrega otra capa de cifrado.
    • Habilitar solicitud firmada: elija esta opción para que Portal for ArcGIS firme la solicitud de autenticación de SAML enviada al proveedor de identidad. Al firmar la primera solicitud de inicio de sesión Portal for ArcGIS permite al proveedor de identidad verificar que todas las solicitudes de inicio de sesión se originan desde un proveedor de servicios de confianza.
    • Propagar cierre de sesión a proveedor de identidad: seleccione esta opción para que Portal for ArcGIS use una URL de cierre de sesión para cerrar la sesión del usuario en el proveedor de identidad. Introduzca la dirección URL que desea utilizar en la configuración de la Dirección URL de cierre de sesión. Si el proveedor de identidad requiere que la URL de cierre de sesión se firme, también tiene que estar activada la opción Habilitar solicitud firmada. Cuando esta opción está deshabilitada, al hacer clic en Cerrar sesión en Portal for ArcGIS el usuario cerrará sesión en Portal for ArcGIS pero no en el proveedor de identidad. Si la caché del navegador Web del usuario no se ha borrado, al tratar de volver a iniciar sesión inmediatamente en Portal for ArcGIS usando la opción de inicio de sesión corporativo dará como resultado un inicio de sesión inmediato sin necesidad de proporcionar credenciales de usuario al proveedor de identidad SAML. Esta es una vulnerabilidad de seguridad que se puede explotar cuando se utiliza un ordenador que es fácilmente accesible a usuarios no autorizados o al público en general.
    • URL de cierre de sesión: introduzca la dirección URL del proveedor de identidad a utilizar para cerrar la sesión del usuario conectado. Si esta propiedad está especificada en el archivo de metadatos del proveedor de identidad, se establece automáticamente.
    • Id. de identidad: actualice este valor para usar un nuevo Id. de identidad para identificar de manera única su organización de Portal for ArcGIS en el proveedor de identidad SAML.
  7. Si lo desea, puede proporcionar metadatos al portal sobre los grupos corporativos del almacén de identidad:
    1. Inicie sesión en ArcGIS Portal Directory como administrador de su organización. La dirección URL tiene el formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
    2. Haga clic en Seguridad > Config > Actualizar almacén de identidades.
    3. Inserte el JSON de configuración del grupo en el cuadro de texto Configuración de almacén de grupo (en formato JSON).
      • Si el almacén de identidades es Windows Active Directory, copie el texto siguiente y modifíquelo para que incluya la información específica de su sitio:

        {
          "type": "WINDOWS",
          "properties": {
            "isPasswordEncrypted": "false",
            "userPassword": "secret",
            "user": "mydomain\\winaccount"
          }
        }

        En la mayoría de los casos, solo tendrá que modificar los valores de los parámetros user y userPassword. Aunque escriba la contraseña con texto no cifrado, esta se cifrará cuando se almacene o consulte en el directorio de configuraciones del portal. La cuenta que se utiliza para el parámetro user solo necesita permiso para buscar los nombres de los grupos de Windows en la red. Si es posible, utilice una cuenta cuya contraseña no caduque.

      • Si el almacén de identidades es LDAP, copie el texto siguiente y modifíquelo para que contenga la información específica de su sitio:

        {
          "type": "LDAP",  "properties": {
            "userPassword": "secret",    "isPasswordEncrypted": "false",    "user": "uid=admin,ou=system",    "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",    "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com",    "usernameAttribute": "cn",    "caseSensitive": "false",    "userSearchAttribute": "cn",    "memberAttributeInRoles": "member",    "rolenameAttribute":"cn"
          }
        }

        En la mayoría de los casos, solo deberá modificar valores para los parámetros user, userPassword, ldapURLForUsers y ldapURLForRoles. Su administrador de LDAP deberá proporcionar la URL a LDAP.

        En el ejemplo anterior, la dirección URL de LDAP hace referencia a los usuarios dentro de un OU específico (ou=usuarios). Si hay usuarios en varios OU, la dirección URL de LDAP puede apuntar a un nivel de OU más alto o incluso al nivel de raíz si es necesario. En ese caso, la dirección URL tendría el siguiente aspecto:

        "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

        La cuenta que utilice para el parámetro user necesita permisos para consultar los nombres de los grupos de su organización. Aunque escriba la contraseña con texto no cifrado, esta se cifrará cuando se almacene o consulte en el directorio de configuraciones del portal.

        Si su sistema LDAP está configurado para no tener en cuenta los caracteres en mayúsculas y minúsculas, ajuste el parámetro caseSensitive a false.

    4. Cuando termine de introducir el JSON para la configuración del almacén de usuarios, haga clic en Actualizar configuración para guardar los cambios y reiniciar el portal.

Designar una cuenta corporativa como administrador

La forma de designar una cuenta corporativa como administrador del portal dependerá de si los usuarios podrán unirse a la organización Automáticamente o Después de agregar las cuentas al portal.

Unirse a la organización automáticamente

Si ha seleccionado la opción que permite a los usuarios unirse a la organización automáticamente, abra la página de inicio del sitio web del portal después de iniciar sesión en él con la cuenta corporativa que desea usar como administrador del portal.

Cuando una cuenta se agrega por primera vez al portal de forma automática, tiene asignado el rol de Usuario. Solo un administrador de la organización puede cambiar el rol de una cuenta; por tanto, debe iniciar sesión en el portal utilizando la cuenta de administrador inicial y asignar una cuenta corporativa al rol de administrador.

  1. En el sitio web del portal, haga clic en la opción para iniciar sesión usando un proveedor de identidad SAML e introduzca las credenciales de la cuenta corporativa que desea usar como administrador. Si esta cuenta pertenece a otro usuario, pídale que inicie sesión en el portal para que la cuenta quede registrada en él.
  2. Compruebe que la cuenta se haya agregado al portal y haga clic en Cerrar sesión. Borre la caché y las cookies del navegador.
  3. Abra el sitio web del portal desde el navegador, haga clic en la opción para iniciar sesión usando una cuenta de portal integrada y proporcione las credenciales de la cuenta de administrador inicial creada al configurar Portal for ArcGIS.
  4. Busque la cuenta corporativa que usará para administrar el portal y cambie el rol a Administrador. Haga clic en Cerrar sesión.

La cuenta corporativa que ha seleccionado tiene ahora el rol de administrador en el portal.

Agregar manualmente cuentas corporativas al portal

Si ha seleccionado la opción que solo permite a los usuarios unirse a la organización Después de agregar las cuentas al portal, tendrá que registrar las cuentas necesarias en la organización usando una utilidad de línea de comandos o una secuencia de comandos de Python. Asegúrese de elegir el rol de Administrador para una cuenta corporativa que se usará para administrar el portal.

Degradar o eliminar la cuenta de administrador inicial

Ahora que tiene una cuenta de administrador del portal alternativa, puede asignar la cuenta de administrador inicial al rol Usuario o eliminar la cuenta. Consulte Acerca de la cuenta de administrador inicial para obtener más información.

Impedir que los usuarios creen sus propias cuentas.

Después de haber protegido el acceso al portal, se recomienda que deshabilite el botón Crear una cuenta y la página de registro (signup.html) en el sitio web del portal para que los usuarios no puedan crear sus propias cuentas. Esto significa que todos los miembros inician sesión en el portal con su cuenta y sus credenciales corporativas y que no se pueden crear cuentas integradas innecesarias. Consulte Deshabilitar la capacidad de los usuarios de crear cuentas de portal integradas para obtener instrucciones completas.

Deshabilitar el inicio de sesión con cuentas de ArcGIS

Si desea impedir que los usuarios inicien sesión en el portal con una cuenta de ArcGIS, puede deshabilitar el botón Utilizando su cuenta de ArcGIS en la página de inicio de sesión. Para ello, siga estos pasos.

  1. Inicia sesión en el sitio web del portal como administrador de tu organización y haz clic en Mi organización > Editar ajustes > Seguridad.
  2. Dentro de la sección Opciones de inicio de sesión, elija el botón de selección de Su cuenta del IDP SAML únicamente, donde el IDP variará dependiendo de lo que haya configurado para su portal.
  3. Haga clic en Guardar.

La página de inicio de sesión mostrará el botón para iniciar sesión en el portal con una cuenta de proveedor de identidad y el botón para iniciar sesión Utilizando su cuenta de ArcGIS no estará disponible. Puede volver a habilitar los inicios de sesión de los miembros con cuentas de ArcGIS eligiendo Su cuenta del IDP SAML o su cuenta de Portal for ArcGIS en Opciones de inicio de sesión, donde el IDP y el nombre del portal variarán dependiendo de lo que haya configurado.

Modificar un proveedor de identidad SAML

El proveedor de identidad registrado actualmente se puede eliminar utilizando el botón Eliminar proveedor de identidad. Este botón solo estará habilitado cuando se haya configurado un proveedor de identidad compatible con SAML. Cuando haya eliminado el proveedor de identidad, puede configurar uno nuevo si lo desea.