Su organización puede utilizar SAML (Security Assertion Markup Language) para autentificar sus usuarios de equipo y autorizar el acceso a recursos habilitados para web. Para conseguirlo, se configura un solo proveedor de identidad (IDP) compatible con SAML para gestionar la autenticación de usuarios. Los recursos web de la organización se alojan en uno o varios proveedores de servicios, que gestionan la autorización de acceso a recursos web. La organización dispone de todo el control de administración de sus IDP y proveedores de servicios. Para admitir la autenticación y autorización basadas en SAML, cada proveedor de servicios de la organización debe estar registrado para trabajar con su IDP. Cada proveedor de servicios puede registrarse únicamente con un solo IDP.
También puede utilizar SAML para compartir recursos en varias organizaciones independientes. Es posible gracias a las entidades de administración de federación, que habilitan el uso compartido de recursos basados en SAML entre sus organizaciones miembro. Una organización miembro que desea compartir sus recursos web con la federación reserva uno o varios proveedores de servicios para trabajar exclusivamente en dicha federación. Para acceder a un recurso protegido compartido con la federación, el usuario autentifica su identidad con el IDP de su organización. Tras la autentificación, esta identidad validada se presenta al proveedor de servicios que aloja el recurso protegido. El proveedor de servicios permite el acceso al recurso después de verificar los privilegios de acceso del usuario.
En la versión 10.6.1, su portal de ArcGIS Enterprise se puede configurar con una federación de varios IDP basada en SAML. El portal accede al servicio de descubrimiento alojado por la federación, que proporciona una lista de los proveedores de identidad y los proveedores de servicios que participan en la federación.
Algunas federaciones habituales de proveedores de identidad basadas en SAML son: InCommon, eduGAIN, SWITCHaai, DFN-AAI, y UK Access Management Federation.
Configure la federación en su portal
Siga estos pasos para configurar una federación de proveedores de identidad basada en SAML en su portal.
- Inicie sesión en el sitio web del portal como administrador y haga clic en Organización > Editar ajustes > Seguridad.
- En la sección Inicios de sesión corporativos, seleccione la opción Una federación de proveedores de identidad, haga clic en el botón Establecer inicio de sesión corporativo e introduzca la descripción de su federación en la ventana que aparece. Esta descripción se muestra a los usuarios que acceden al sitio web del portal como parte de la opción de inicio de sesión SAML.
- Elija cómo pueden unirse los usuarios a la organización del portal:
- Automáticamente: permite a los usuarios iniciar sesión en la organización con sus datos de inicio de sesión corporativo sin que necesiten permiso de un administrador, ya que su cuenta se registra automáticamente con el portal la primera vez que inician sesión
- Si reciben una invitación de un administrador: requiere que el administrador del portal registre las cuentas necesarias con la organización utilizando una utilidad de línea de comandos o un script de Python
Nota:
Esri recomienda que designe al menos una cuenta corporativa como administrador de su portal y que deshabilite el botón Crear una cuenta y la página de registro (signup.html) en el sitio web del portal para que los usuarios no puedan crear sus propias cuentas. Para obtener más información, consulte la sección Designar una cuenta corporativa como administrador que aparece a continuación
- Proporcione la URL al servicio de descubrimiento de IDP centralizado alojado por la federación, como https://wayf.samplefederation.com/WAYF.
- Proporcione la URL a los metadatos de la federación, que son una agregación de los metadatos de todos los proveedores de identidad y proveedores de servicios que participan en la federación.
- Copie y pegue el certificado, con codificación en formato Base 64, lo que permite al portal verificar la validez de los metadatos de la federación.
- Configure los ajustes avanzados según proceda:
- Cifrar aserción: seleccione esta opción para indicar al proveedor de identidad SAML que su portal admite respuestas de aserción SAML cifradas. Cuando esta opción está seleccionada, el proveedor de identidad cifra la sección de aserción de la respuesta SAML. Todo el tráfico de SAML de entrada y salida desde el portal ya está cifrado mediante el uso de HTTPS, pero esta opción agrega otra capa de cifrado.
- Habilitar solicitud firmada: seleccione esta opción para que el portal firme la solicitud de autenticación SAML enviada al IDP. Firmar la solicitud de inicio de sesión inicial enviada por el portal permite al IDP verificar que todas las solicitudes de inicio de sesión proceden de un proveedor de servicios de confianza.
- Propagar cierre de sesión a proveedor de identidad: seleccione esta opción para que el portal utilice una dirección URL de cierre de sesión para cerrar la sesión del IDP. Si la selecciona, introduzca la URL que desee utilizar en la configuración de la URL de cierre de sesión. Si el IDP requiere que la dirección URL de cierre de sesión esté firmada, también deberá activar la opción Habilitar solicitud firmada. Si esta opción no está seleccionada, al hacer clic en Cerrar sesión en el sitio web del portal se cerrará la sesión del usuario del portal, pero no del IDP. Si la caché del navegador web del usuario no se ha borrado, al tratar de volver a iniciar sesión inmediatamente en el portal usando la opción de inicio de sesión corporativo, se iniciará sesión inmediatamente sin necesidad de proporcionar credenciales al IDP. Esta es una vulnerabilidad de seguridad que se puede explotar cuando se utiliza un equipo que es fácilmente accesible a usuarios no autorizados o al público en general.
- Actualizar perfiles al iniciar sesión: seleccione esta opción para que el portal actualice los atributos givenName y email address de los usuarios si se modificaron desde su último inicio de sesión. Está seleccionada de forma predeterminada.
- Id. de entidad: actualice este valor para usar un nuevo Id. de entidad para identificar exclusivamente a su organización del portal ante la federación SAML.
Registre el portal con la federación SAML como un proveedor de servicios de confianza
Para completar el proceso de configuración, establezca la confianza con el servicio de descubrimiento de la federación y su IDP de organización registrando con ellos los metadatos del proveedor de servicios del portal. Existen dos formas de obtener estos metadatos:
- En la sección Seguridad de la página Editar ajustes de su organización, haga clic en el botón Obtener proveedor de servicios. Esto muestra los metadatos de su organización, que puede guardar como un archivo XML en su equipo.
- Abra la dirección URL de los metadatos y guárdelos como un archivo XML en su equipo. La dirección URL es https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, por ejemplo, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Puede generar un token usando https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Al introducir la dirección URL en la página Generar token, especifique el nombre de dominio completo del servidor del proveedor de identidad en el campo URL de aplicación web. Seleccionar cualquier otra opción, como Dirección IP o Dirección IP del origen de esta solicitud, no es compatible y puede generar un token no válido.
Designar una cuenta corporativa como administrador
La forma de designar una cuenta corporativa como administrador del portal dependerá de si los usuarios podrán unirse a la organización Automáticamente o Después de agregar las cuentas al portal.
Unirse a la organización automáticamente
Si ha seleccionado la opción que permite a los usuarios unirse a la organización automáticamente, abra la página de inicio del sitio web del portal después de iniciar sesión en él con la cuenta corporativa que desea usar como administrador del portal.
Cuando una cuenta se agrega por primera vez al portal de forma automática, tiene asignado el rol de Usuario. Solo un administrador de la organización puede cambiar el rol de una cuenta; por tanto, debe iniciar sesión en el portal utilizando la cuenta de administrador inicial y asignar una cuenta corporativa al rol de administrador.
- En el sitio web del portal, haga clic en la opción para iniciar sesión usando un proveedor de identidad SAML e introduzca las credenciales de la cuenta corporativa que desea usar como administrador. Si esta cuenta pertenece a otro usuario, pídale que inicie sesión en el portal para que la cuenta quede registrada en él.
- Compruebe que la cuenta se haya agregado al portal y haga clic en Cerrar sesión. Borre la caché y las cookies del navegador.
- Abra el sitio web del portal desde el navegador, haga clic en la opción para iniciar sesión usando una cuenta de portal integrada y proporcione las credenciales de la cuenta de administrador inicial creada al configurar Portal for ArcGIS.
- Busque la cuenta corporativa que usará para administrar el portal y cambie el rol a Administrador. Haga clic en Cerrar sesión.
La cuenta corporativa que ha seleccionado tiene ahora el rol de administrador en el portal.
Agregar manualmente cuentas corporativas al portal
Si ha seleccionado la opción que solo permite a los usuarios unirse a la organización Después de agregar las cuentas al portal, tendrá que registrar las cuentas necesarias en la organización usando una utilidad de línea de comandos o un script de Python. Asegúrese de elegir el rol de Administrador para una cuenta corporativa que se usará para administrar el portal.
Degradar o eliminar la cuenta de administrador inicial
Ahora que tiene una cuenta de administrador del portal alternativa, puede asignar la cuenta de administrador inicial al rol Usuario o eliminar la cuenta. Consulte Acerca de la cuenta de administrador inicial para obtener más información.
Impedir que los usuarios creen sus propias cuentas.
Después de haber protegido el acceso al portal, se recomienda que deshabilite el botón Crear una cuenta y la página de registro (signup.html) en el sitio web del portal para que los usuarios no puedan crear sus propias cuentas. Esto significa que todos los miembros inician sesión en el portal con su cuenta y sus credenciales corporativas y que no se pueden crear cuentas integradas innecesarias. Consulte Deshabilitar la capacidad de los usuarios de crear cuentas de portal integradas para obtener las instrucciones completas.
Deshabilitar el inicio de sesión con cuentas de ArcGIS
Si desea impedir que los usuarios inicien sesión en el portal con una cuenta de ArcGIS, puede deshabilitar el botón Utilizando su cuenta de ArcGIS en la página de inicio de sesión siguiendo los siguientes pasos.
- Inicie sesión en el sitio web del portal como administrador de su organización y haga clic en Organización > Editar ajustes > Seguridad.
- Dentro de la sección Opciones de inicio de sesión, elija el botón de opción de Solo su cuenta del IDP SAML, donde el IDP variará en función de lo que haya configurado para su portal.
- Haga clic en Save (Guardar).
La página de inicio de sesión mostrará el botón para iniciar sesión en el portal con una cuenta de proveedor de identidad y el botón para iniciar sesión Utilizando su cuenta de ArcGIS no estará disponible. Puede volver a habilitar los inicios de sesión de los miembros con cuentas de ArcGIS eligiendo Su cuenta del IDP SAML o su cuenta de Portal for ArcGIS en Opciones de inicio de sesión, donde el IDP y el nombre del portal variarán dependiendo de lo que haya configurado.
Modificar o eliminar el proveedor de identidad SAML
Puede actualizar la configuración de su federación usando el botón Editar inicio de sesión corporativo o eliminar la federación de su portal usando el botón Eliminar inicio de sesión corporativo. Estos botones aparecerán cuando haya configurado la federación con su portal. Cuando lo haya eliminado, puede configurar un nuevo proveedor de identidad o una federación de proveedores de identidad si lo desea.