El lenguaje de marcado para confirmaciones de seguridad (SAML) es un estándar abierto para intercambiar de forma segura datos de autenticación y autorización entre un proveedor de identidades corporativo y un proveedor de servicios (en este caso, Portal for ArcGIS). La fórmula empleada para ello se conoce como SAML Web Single Sign On. El portal cumple con SAML 2.0 y se integra con proveedores de identidad que admiten SAML 2 Web Single Sign On. La ventaja de configurar SAML es que no necesita crear inicios de sesión adicionales para que los usuarios accedan a su portal de ArcGIS Enterprise; en su lugar, utilizan el inicio de sesión que ya está configurado en un almacén de identidades corporativo. Este proceso se describe en la documentación como "configurar inicios de sesión corporativos".
Si lo desea, puede proporcionar al portal metadatos sobre los grupos corporativos de su almacén de identidad. Esto permite crear grupos en el portal aprovechando los grupos corporativos existentes en el almacén de identidad. Cuando los miembros inician sesión en el portal, el acceso al contenido, los elementos y los datos se controlan por medio de las reglas de pertenencia definidas en el grupo corporativo. Aunque no proporcione los metadatos necesarios para el grupo corporativo, podrá crear grupos. Sin embargo, las reglas de pertenencia se controlarán por medio de su portal de ArcGIS Enterprise, no por su almacén de identidades.
Nota:
En 10.6.1, también puede configurar una federación de proveedores de identidad basados en SAML con su portal.
Hacer coincidir los nombres de usuario de ArcGIS Online en el portal de ArcGIS Enterprise
Si se utiliza el mismo proveedor de identidades compatible con SAML en su organización de ArcGIS Online y en su portal, los nombres de usuario corporativos pueden configurarse para que coincidan. Todos los nombres de usuario corporativos de ArcGIS Online tienen incorporado el nombre abreviado de la organización al final. Se pueden usar los mismos nombres de usuario corporativos en su portal definiendo la propiedad defaultIDPUsernameSuffix en la configuración de seguridad del portal de ArcGIS Enterprise y configurándola para que coincida con el nombre abreviado de la organización. Es necesario si el rastreo del editor está habilitado en un servicio de entidades que han editado los usuarios corporativos desde ArcGIS Online y desde su portal.
Experiencia de inicio de sesión con SAML
Portal for ArcGIS es compatible con los inicios de sesión corporativos iniciados por proveedores de servicios (SP) y con los inicios de sesión corporativos iniciados por proveedores de identidad (IDP). La experiencia de inicio de sesión es diferente en cada caso.
Inicios de sesión iniciados por un proveedor de servicios
Con los inicios de sesión iniciados por proveedores de servicios, los usuarios acceden directamente al portal y se les ofrecen opciones para iniciar sesión con cuentas integradas (administradas por el portal) o con cuentas administradas en un proveedor de identidad compatible con SAML. Si el usuario elige la opción de proveedor de identidad SAML, se le redirige a una página web (conocida como administrador de inicio de sesión corporativo) en la que se le pide que introduzca su nombre de usuario y su contraseña corporativos. Después de verificar los datos de inicio de sesión del usuario, el proveedor de identidad corporativo informa a Portal for ArcGIS de la identidad verificada del usuario que inicia sesión y el usuario se redirige de nuevo al sitio web de su portal.
Si el usuario elige la opción de la cuenta integrada, se abre la página de inicio de sesión del sitio web del portal de ArcGIS Enterprise. A continuación, el usuario puede introducir su nombre de usuario y su contraseña integrados para acceder al sitio web. Esta opción no se puede deshabilitar. La opción de la cuenta integrada se puede usar como alternativa en caso de que el proveedor de identidad compatible con SAML no esté disponible.
Inicios de sesión iniciados por un proveedor de identidad
Con los inicios de sesión iniciados por un proveedor de identidad, los usuarios acceden directamente al administrador de inicio de sesión corporativo e inician sesión con su cuenta. Cuando el usuario envía la información de su cuenta, el proveedor de identidades envía la respuesta de SAML directamente a Portal for ArcGIS. A continuación, el usuario inicia sesión y se le redirige al sitio web del portal, donde puede acceder inmediatamente a los recursos sin tener que volver a iniciar sesión en la organización.
La opción para iniciar sesión usando las cuentas integradas no está disponible en el administrador de inicios de sesión corporativo. Para iniciar sesión en la organización con una cuenta integrada, los miembros tienen que acceder directamente al sitio web del portal.
Nota:
Si los inicios de sesión SAML no funcionan debido a problemas con su proveedor de identidad SAML, y ha deshabilitado la opción de cuentas integradas, no podrá acceder a su portal de ArcGIS Enterprise hasta que vuelva a habilitar esta opción. Para obtener instrucciones sobre cómo hacerlo, consulte este tema en Problemas y soluciones comunes.
Proveedores de identidad de SAML
Portal for ArcGIS admite todos los proveedores de identidad compatibles con SAML. Puede encontrar instrucciones detalladas sobre la configuración de ciertos proveedores de identidad compatibles con SAML comunes en el repositorio de GitHub de ArcGIS/idp.
El proceso para configurar proveedores de identidad con ArcGIS Enterprise se describe a continuación. Antes de continuar, es recomendable que se ponga en contacto con el administrador de su proveedor de identidad SAML para obtener los parámetros necesarios para la configuración. Por ejemplo, si su organización utiliza Microsoft Active Directory, el administrador responsable es el contacto adecuado para configurar o habilitar SAML en el proveedor de identidad específico de la organización y obtener los parámetros para configurar el lado del portal.
Información requerida
Portal for ArcGIS requiere que se reciba cierta información de atributos por parte del proveedor de identidad cuando un usuario inicia sesión mediante los inicios de sesión corporativos. El atributo NameID es obligatorio y el proveedor de identidad debe enviarlo en la respuesta SAML para que la federación con Portal for ArcGIS funcione. Cuando un usuario de IDP inicia sesión, Portal for ArcGIS crea un nuevo usuario con el nombre de usuario NameID en su almacén de usuarios. Los caracteres permitidos para el valor enviado por el atributo NameID son alfanuméricos, _ (guion bajo), . (punto), y @ (arroba). Para los demás caracteres del nombre de usuario creado por Portal for ArcGIS, se agregará un carácter de escape con guion bajo.
Portal for ArcGIS admite la entrada de los y atributos givenName y email address del inicio de sesión corporativo desde el proveedor de identidad. Cuando un usuario inicia sesión utilizando un inicio de sesión corporativo y si Portal for ArcGIS recibe atributos con los nombres givenname y email o mail (en cualquier caso), Portal for ArcGIS rellena el nombre completo y la dirección de correo electrónico del usuario con los valores recibidos del proveedor de identidad. Se recomienda que proporcione la email address del proveedor de identidad corporativo para que el usuario pueda recibir notificaciones.
Configurar un portal con un proveedor de identidad SAML
Puede configurar el portal para que los usuarios puedan iniciar sesión utilizando el mismo nombre de usuario y contraseña que utilizan con los sistemas locales existentes. Antes de configurar Inicios de sesión corporativos, debe configurar un tipo de usuario predeterminado para su organización.
- Inicie sesión en el sitio web del portal como administrador de su organización y haga clic en Organización > Configuración > Seguridad.
- En la sección Inicios de sesión corporativos a través de SAML, seleccione la opción Un proveedor de identidad, haga clic en el botón Establecer inicio de sesión corporativo e introduzca el nombre de su organización en la ventana que aparece (por ejemplo, City of Redlands). Cuando los usuarios acceden al sitio web del portal, este texto aparece como parte de la opción de inicio de sesión SAML (por ejemplo, Usar su cuenta de City of Redlands).
- Elija si los usuarios podrán unirse a la organización Automáticamente o Después de agregar las cuentas al portal. La primera opción permite a los usuarios iniciar sesión en la organización con su inicio de sesión corporativo sin ninguna intervención de un administrador. Su cuenta se registra con la organización automáticamente la primera vez que inician sesión. La segunda opción requiere que el administrador registre las cuentas necesarias con la organización utilizando una utilidad de línea de comandos o un script de comandos de Python de ejemplo. Una vez que las cuentas se hayan registrado, los usuarios podrán iniciar sesión en la organización.
Sugerencia:
Se recomienda designar al menos una cuenta corporativa como administrador del portal y degradar o eliminar la cuenta de administrador inicial. También le recomendamos que deshabilite el botón Crear una cuenta y la página de registro (signup.html) en el sitio web del portal para que los usuarios no puedan crear sus propias cuentas. Para obtener instrucciones completas, consulte la sección Designar una cuenta corporativa como administrador.
- Proporcione la información de metadatos necesaria acerca del proveedor de identidad corporativo compatible con SAML. Hágalo especificando el origen al que accederá el portal para obtener la información de metadatos. Puede encontrar instrucciones para obtener metadatos de proveedores certificados en el repositorio de GitHub de ArcGIS/idp. Hay tres fuentes posibles de información de metadatos:
- Una URL: proporcione una dirección URL que devuelva información de metadatos acerca del proveedor de identidad.
Nota:
Si el proveedor de identidad corporativo incluye un certificado autofirmado, puede producirse un error al intentar especificar la dirección URL HTTPS de los metadatos. Este error se produce porque Portal for ArcGIS no puede verificar el certificado autofirmado del proveedor de identidad. Como alternativa, use HTTP en la dirección URL, una de las otras opciones que aparecen, o configure el proveedor de identidad con un certificado de confianza.
- Un archivo: cargue un archivo que contenga información de metadatos acerca del proveedor de identidad.
- Parámetros especificados aquí: introduzca directamente la información de metadatos sobre el proveedor de identidad indicando los parámetros siguientes:
- Dirección URL de inicio de sesión (redireccionamiento): introduzca la dirección URL del proveedor de identidades (que admita la vinculación de redireccionamiento HTTP) que debe utilizar Portal for ArcGIS para permitir a un miembro iniciar sesión.
- Dirección URL de inicio de sesión (POST): introduzca la dirección URL del proveedor de identidades (que admita la vinculación de HTTP POST) que debe utilizar Portal for ArcGIS para permitir a un miembro iniciar sesión.
- Certificado: proporcione el certificado, codificado con el formato BASE 64, del proveedor de identidad corporativo. Este es el certificado que permite a Portal for ArcGIS verificar la firma digital en las respuestas SAML que le envía el proveedor de identidad corporativo.
Nota:
Póngase en contacto con el administrador del proveedor de identidad si necesita ayuda para determinar qué origen de información de metadatos se debe proporcionar.
- Una URL: proporcione una dirección URL que devuelva información de metadatos acerca del proveedor de identidad.
- Para completar el proceso de configuración y establecer la confianza con el proveedor de identidad, registre los metadatos del proveedor de servicios del portal en el proveedor de identidad corporativo. Hay dos formas de obtener los metadatos del portal:
- En la sección Seguridad de la pestaña Configuración de su organización, haga clic en el botón Obtener proveedor de servicios. Se muestran los metadatos de su organización, que puede guardar como un archivo .xml en su equipo.
- Abra la dirección URL de los metadatos y guárdelos como un archivo .xml en su equipo. La dirección URL es https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, por ejemplo, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Puede generar un token usando https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Al introducir la dirección URL en la página Generar token, especifique el nombre de dominio completo del servidor del proveedor de identidad en el campo URL de aplicación web. Seleccionar cualquier otra opción, como Dirección IP o Dirección IP del origen de esta solicitud, no es compatible y puede generar un token no válido.
Puede encontrar instrucciones para registrar los metadatos del proveedor de servicios del portal con proveedores certificados en el repositorio de GitHub de ArcGIS/idp.
- Configure los ajustes avanzados según proceda:
- Cifrar aserción: seleccione esta opción para indicar al proveedor de identidad SAML que Portal for ArcGIS admite respuestas de aserción SAML cifradas. Cuando esta opción está seleccionada, el proveedor de identidad cifrará la sección de aserción de las respuestas SAML. Todo el tráfico de SAML de entrada y salida desde Portal for ArcGIS ya está cifrado mediante el uso de HTTPS, pero esta opción agrega otra capa de cifrado.
- Habilitar solicitud firmada: seleccione esta opción para que Portal for ArcGIS firme la solicitud de autenticación SAML enviada al proveedor de identidad. Firmar la solicitud de inicio de sesión inicial enviada por Portal for ArcGIS permite al proveedor de identidades verificar que todas las solicitudes de inicio de sesión proceden de un proveedor de servicios de confianza.
- Propagar cierre de sesión a proveedor de identidad: seleccione esta opción para que Portal for ArcGIS use una URL de cierre de sesión para cerrar la sesión del usuario en el proveedor de identidad. Introduzca la dirección URL que desee utilizar en la configuración de la Dirección URL de cierre de sesión. Si el proveedor de identidad requiere que la dirección URL de cierre de sesión esté firmada, también será necesario activar la opción Habilitar solicitud firmada. Cuando esta opción no está activada, al hacer clic en Cerrar sesión en Portal for ArcGIS se cerrará la sesión del usuario de Portal for ArcGIS, pero no del proveedor de identidad. Si no se ha limpiado la caché del navegador web del usuario, al intentar inmediatamente iniciar sesión de nuevo en Portal for ArcGIS utilizando la opción de inicio de sesión corporativo, se iniciará la sesión de inmediato sin necesidad de proporcionar las credenciales del usuario al proveedor de identidades SAML. Esta es una vulnerabilidad de seguridad que se puede explotar cuando se utiliza un equipo que es fácilmente accesible a usuarios no autorizados o al público.
- Actualizar perfiles en el inicio de sesión: seleccione esta opción para que Portal for ArcGIS actualice los atributos givenName y email address del usuario si han cambiado desde su último inicio de sesión. Está seleccionada de forma predeterminada.
- Habilitar pertenencia a grupos basada en SAML: seleccione esta opción para permitir a los administradores del portal vincular grupos en su proveedor de identidad SAML con grupos creados en su portal de ArcGIS Enterprise Si está seleccionada, Portal for ArcGIS analizará la respuesta de la aserción SAML para determinar los grupos a los que pertenece un miembro. A continuación, puede especificar uno o varios grupos corporativos proporcionados por su proveedor de identidad en ¿Quién puede unirse a este grupo? al crear un nuevo grupo en su portal. Esta característica no está seleccionada de forma predeterminada.
- URL de cierre de sesión: introduzca la dirección URL del proveedor de identidad a utilizar para cerrar la sesión del usuario conectado actualmente. Si esta propiedad está especificada en el archivo de metadatos del proveedor de identidad, se establece automáticamente.
- Id. de entidad: actualice este valor para usar un nuevo Id. de entidad para identificar exclusivamente su organización de Portal for ArcGIS en el proveedor de identidades SAML.
Configurar un IDP compatible con SAML para un portal de alta disponibilidad
Portal for ArcGIS utiliza un certificado con el alias samlcert al enviar las solicitudes firmadas (de inicio y cierre de sesión) al IDP y cuando descifra las respuestas cifradas del IDP. Si está configurando un portal ArcGIS Enterprise de alta disponibilidad mediante el uso de un IDP compatible con SAML, debe asegurarse de que cada instancia de Portal for ArcGIS emplee el mismo certificado en la comunicación con el IDP.
La mejor manera de asegurarse de que todas las instancias utilicen un certificado idéntico para SAML consiste en generar un certificado nuevo con el alias samlcert e importarlo en cada instancia de Portal for ArcGIS en su implementación de alta disponibilidad.
- Inicie sesión en el directorio de administrador de portal en https://example.domain.com:7443/arcgis/portaladmin.
- Vaya a Seguridad > sslcertificates y haga clic en el certificado samlcert existente.
- Haga clic en Eliminar.
- Repita los pasos del 1 al 3 para eliminar los certificados samlcert existentes en todas las instancias de su portal de alta disponibilidad.
- Genere un certificado autofirmado nuevo desde el directorio de administrador de ArcGIS Portal.
- Cuando configure el certificado, especifique samlcert como alias y el nombre de host del equilibrador de carga de su implementación como Nombre común y alias de DNS en el Nombre alternativo de sujeto.
- Una vez que el certificado se haya generado, expórtelo a un archivo .pfx:
- Inicie sesión en el equipo en el que se instaló Portal for ArcGIS.
- Abra una ventana de comando en el equipo usando la opción Ejecutar como administrador.
- Cambie los directorios a la carpeta SSL del portal: cd <Portal installation directory>\etc\ssl.
- Introduzca el comando siguiente para exportar samlcert en formato de archivo .pfx:
....\framework\runtime\jre\bin\keytool.exe -importkeystore -srckeystore portal.ks -destkeystore samlcert.pfx -srcstoretype JKS -deststoretype PKCS12 -srcstorepass portal.secret -deststorepass password -srcalias samlcert -destalias samlcert -destkeypass password
- Importe el nuevo certificado en cada instancia de Portal for ArcGIS desde la página Seguridad > sslcertificates > Importar certificado de servidor existente.
- Reinicie Portal for ArcGIS en cada instancia del portal de alta disponibilidad.
Puede utilizar el archivo de metadatos del proveedor de servicios de su portal de ArcGIS Enterprise para comprobar que los certificados que se están utilizando en la comunicación con el IDP SAML son los mismos en su implementación de alta disponibilidad.
- En la pestaña Organización, vaya a Editar ajustes > Seguridad.
- En el elemento Inicios de sesión corporativos a través de SAML de la página Seguridad, haga clic en Editar proveedor de identidad. Abra el menú Mostrar configuración avanzada y asegúrese de que la opción Cifrar aserción está seleccionada. Si no es así, selecciónela y haga clic en Actualizar proveedor de identidad para guardar el cambio.
- Vuelva a los elementos Inicios de sesión corporativos a través de SAML y seleccione Obtener proveedor de servicios. Esto hará que los metadatos del proveedor de servicios se exporten como un archivo .xml en su equipo.
- Abra el archivo .xml descargado. Asegúrese de que aparece la frase siguiente: <md:KeyDescriptor use="encryption">. Esto indica la existencia del certificado para cifrado.
- Tenga en cuenta los valores de la subsección <ds:KeyInfo>.
- Repita estos pasos con cada instancia de Portal for ArcGIS en su implementación para obtener el archivo de metadatos del proveedor de servicios de cada una.
Todos los archivos de metadatos exportados deberían tener la misma información en la subsección <ds:KeyInfo>, lo que indica que se está utilizando el mismo certificado en cada instancia de Portal for ArcGIS al comunicarse con el IDP compatible con SAML.
Designar una cuenta corporativa como administrador
La forma de designar una cuenta corporativa como administrador del portal dependerá de si los usuarios podrán unirse a la organización Automáticamente o Después de agregar las cuentas al portal.
Unirse a la organización automáticamente
Si ha seleccionado la opción que permite a los usuarios unirse a la organización automáticamente, abra la página de inicio del sitio web del portal después de iniciar sesión en él con la cuenta corporativa que desea usar como administrador del portal.
Cuando una cuenta se agrega por primera vez al portal de forma automática, tiene asignado el rol de Usuario. Solo un administrador de la organización puede cambiar el rol de una cuenta; por tanto, debe iniciar sesión en el portal utilizando la cuenta de administrador inicial y asignar una cuenta corporativa al rol de administrador.
- En el sitio web del portal, haga clic en la opción para iniciar sesión usando un proveedor de identidad SAML e introduzca las credenciales de la cuenta corporativa que desea usar como administrador. Si esta cuenta pertenece a otro usuario, pídale que inicie sesión en el portal para que la cuenta quede registrada en él.
- Compruebe que la cuenta se haya agregado al portal y haga clic en Cerrar sesión. Borre la caché y las cookies del navegador.
- Abra el sitio web del portal desde el navegador, haga clic en la opción para iniciar sesión usando una cuenta de portal integrada y proporcione las credenciales de la cuenta de administrador inicial creada al configurar Portal for ArcGIS.
- Busque la cuenta corporativa que usará para administrar el portal y cambie el rol a Administrador. Haga clic en Cerrar sesión.
La cuenta corporativa que ha seleccionado tiene ahora el rol de administrador en el portal.
Agregar manualmente cuentas corporativas al portal
Si ha seleccionado la opción que solo permite a los usuarios unirse a la organización Después de agregar las cuentas al portal, tendrá que registrar las cuentas necesarias en la organización usando una utilidad de línea de comandos o un script de Python. Asegúrese de elegir el rol de Administrador para una cuenta corporativa que se usará para administrar el portal.
Degradar o eliminar la cuenta de administrador inicial
Ahora que tiene una cuenta de administrador del portal alternativa, puede asignar la cuenta de administrador inicial al rol Usuario o eliminar la cuenta. Consulte Acerca de la cuenta de administrador inicial para obtener más información.
Impedir que los usuarios creen sus propias cuentas.
Después de haber protegido el acceso al portal, se recomienda que deshabilite el botón Crear una cuenta y la página de registro (signup.html) en el sitio web del portal para que los usuarios no puedan crear sus propias cuentas. Esto significa que todos los miembros inician sesión en el portal con su cuenta y sus credenciales corporativas y que no se pueden crear cuentas integradas innecesarias. Consulte Deshabilitar la capacidad de los usuarios de crear cuentas de portal integradas para obtener instrucciones completas.
Deshabilitar el inicio de sesión con cuentas de ArcGIS
Si desea impedir que los usuarios inicien sesión en el portal con una cuenta de ArcGIS, puede deshabilitar el botón Utilizando su cuenta de ArcGIS en la página de inicio de sesión. Para ello, siga estos pasos.
- Inicie sesión en el sitio web del portal como administrador de su organización y haga clic en Organización > Editar ajustes > Seguridad.
- Dentro de la sección Opciones de inicio de sesión, elija el botón de opción de Solo su cuenta del IDP SAML, donde el IDP variará en función de lo que haya configurado para su portal.
- Haga clic en Guardar.
La página de inicio de sesión mostrará el botón para iniciar sesión en el portal con una cuenta de proveedor de identidad y el botón para iniciar sesión Utilizando su cuenta de ArcGIS no estará disponible. Puede volver a habilitar los inicios de sesión de los miembros con cuentas de ArcGIS eligiendo Su cuenta del IDP SAML o su cuenta de Portal for ArcGIS en Opciones de inicio de sesión, donde el IDP y el nombre del portal variarán dependiendo de lo que haya configurado.
Modificar el proveedor de identidad SAML
El proveedor de identidad registrado actualmente se puede editar o eliminar utilizando los botones Editar inicio de sesión corporativo y Eliminar inicio de sesión corporativo. Estos botones solo estarán habilitados cuando se haya configurado un proveedor de identidad compatible con SAML. Cuando haya eliminado el proveedor de identidad, puede configurar uno nuevo si lo desea.