Skip To Content

Configurare Okta

È possibile configurare Okta come provider di identità (IDP) per gli account di accesso aziendali in Portal for ArcGIS. Il processo di configurazione comporta due passaggi principali: la registrazione dell'IDP aziendale con Portal for ArcGIS e la registrazione di Portal for ArcGIS con l'IDP aziendale.

Se si desidera, è possibile specificare nel portale i metadati relativi ai gruppi aziendali nell'archivio identità. In questo modo è possibile creare gruppi nel portale che sfruttano i gruppi aziendali esistenti nell'archivio identità. Quando i membri accedono al portale, l'accesso a contenuti, elementi e dati è controllato tramite le regole di appartenenza definite nel gruppo aziendale. Se non si specificano i metadati necessari del gruppo aziendale, sarà comunque possibile creare gruppi. Tuttavia le regole di appartenenza verranno controllate da Portal for ArcGIS, non dall'archivio identità.

Informazioni obbligatorie

Portal for ArcGIS richiede che informazioni sugli attributi specifiche siano ricevute dall'IDP quando un utente esegue l'accesso utilizzando gli account aziendali. L'attributo NameID è obbligatorio e deve essere inviato dall'IDP nella risposta SAML affinché la federazione con Portal for ArcGIS funzioni. Quando un utente esegue l'accesso da IDP, Portal for ArcGIS crea un nuovo utente con il nome utente NameID nel proprio archivio utenti. Per il valore inviato dall'attributo NameID sono consentiti solo caratteri alfanumerici, _ (carattere di sottolineatura), . (punto) e @ (chiocciola). Qualsiasi altro carattere verrà sostituito da caratteri di sottolineatura nel nome utente creato da Portal for ArcGIS.

Portal for ArcGIS supporta il flusso in ingresso degli attributi givenName e email address dell'account aziendale dall'IDP aziendale. Quando un utente effettua l'accesso utilizzando un account aziendale, e se Portal for ArcGIS riceve attributi con i nomi givenname e email o mail (senza distinzione tra maiuscolo e minuscolo), Portal for ArcGIS compila il nome completo e l'indirizzo e-mail dell'account utente con i valori ricevuti dall'IDP. Si consiglia di passare il email address ottenuto dall'IDP aziendale per consentire all'utente di ricevere notifiche.

Registrare Okta come l'IDP aziendale con Portal for ArcGIS

  1. Accedere al Portale Web come un amministratore dell'organizzazione e fare clic su La mia organizzazione > Modifica impostazioni > Sicurezza.
  2. Nella sezione Accessi aziendali tramite SAML, fare clic sul pulsante Imposta provider di identità e immettere il nome dell'organizzazione nella finestra che viene visualizzata, ad esempio City of Redlands. Quando gli utenti accedono al sito Web del portale, questo testo viene visualizzato come parte dell'opzione di accesso SAML, ad esempio Con l'account City of Redlands.
    Nota:

    È possibile registrare un solo IDP aziendale per il portale.

  3. Scegliere se gli utenti potranno iscriversi all'organizzazione Automaticamente o Dopo aver aggiunto gli account al portale. Se si seleziona la prima opzione, gli utenti potranno accedere all'organizzazione con l'account di accesso aziendale senza alcun intervento da parte di un amministratore. L'account viene registrato automaticamente con l'organizzazione al primo accesso. Con la seconda opzione è invece necessario che l'amministratore registri gli account necessari con l'organizzazione usando un'utilità da riga di comando o lo script Python di esempio. Una volta registrati gli account, gli utenti potranno accedere all'organizzazione.
    Suggerimento:

    Si consiglia di designare almeno un account aziendale come amministratore del portale e di abbassare di livello o di eliminare l'account amministratore iniziale. Si consiglia inoltre di disabilitare il pulsante Crea account e la pagina di registrazione (signup.html) del Portale Web per impedire agli utenti di creare i propri account. Per istruzioni complete, consultare Configurare un provider di identità conforme a SAML con il portale.

  4. Fornire informazioni sui metadati dell'IDP utilizzando una delle opzioni seguenti:
    • File: scaricare oppure ottenere una copia del file dei metadati di federazione da Okta e caricare il file in Portal for ArcGIS utilizzando l'opzione File.
      Nota:
      Se è la prima volta che si registra un provider di servizi con Okta, occorre ottenere il file dei metadati dopo la registrazione di Portal for ArcGIS con Okta.
    • Parametri: scegliere questa opzione se il file dei metadati di federazione non è accessibile. Immettere i valori manualmente e fornire i parametri richiesti: URL di accesso e certificato. Per ottenere questi parametri, contattare l'amministratore di Okta.
  5. Configurare le impostazioni avanzate, laddove applicabile:
    • Crittografare asserzione: selezionare questa opzione per crittografare le risposte all'asserzione SAML di Okta.
    • Abilita richiesta firmata: selezionare questa opzione per consentire a Portal for ArcGIS di firmare la richiesta di autenticazione SAML inviata a Okta.
    • Propaga logout a provider di identità: selezionare questa opzione per consentire a Portal for ArcGIS di utilizzare un URL di disconnessione per disconnettere l'utente da Okta. Immettere l'URL da utilizzare nell'impostazione URL di disconnessione. Se l'IDP richiede che l'URL di disconnessione sia firmato, l'opzione Abilita richiesta firmata deve essere selezionata.
    • URL di disconnessione: l'URL dell'IDP da utilizzare per disconnettere l'utente attualmente connesso.
    • ID entità: aggiornare questo valore per utilizzare un nuovo ID entità per identificare in maniera univoca il portale in Okta.

    Le impostazioni Crittografare asserzione e Abilita richiesta firmata utilizzano il certificato samlcert nell'archivio chiavi del portale. Per utilizzare un nuovo certificato, eliminare il certificato samlcert, creare un nuovo certificato con lo stesso alias (samlcert) seguendo la procedura in Importare un certificato nel portale e riavviare il portale.

  6. Al termine, fare clic su Aggiorna provider di identità.
  7. Fare clic su Ottieni provider di servizi per scaricare il file di metadati del portale. Le informazioni in questo file verranno utilizzate per registrare il portale come il provider di servizi attendibili con Okta.
  8. Se si desidera, specificare nel portale i metadati relativi ai gruppi aziendali nell'archivio identità.
    1. Accedere alla directory di Portal for ArcGIS come amministratore dell'organizzazione. Il formato dell'URL è https://webadaptorhost.domain.com/webadaptorname/portaladmin.
    2. Fare clic su Sicurezza > Configurazione > Aggiorna archivio identità.
    3. Inserire il JSON di configurazione del gruppo nella casella di testo Configurazione archivio gruppo (in formato JSON).
      • Copiare il testo seguente e modificarlo in modo che contenga informazioni specifiche per il proprio sito:

        {
          "type": "LDAP",  "properties": {
            "userPassword": "secret",    "isPasswordEncrypted": "false",    "user": "uid=admin,ou=system",    "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",    "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com",    "usernameAttribute": "cn",    "caseSensitive": "false",    "userSearchAttribute": "cn",    "memberAttributeInRoles": "member",    "rolenameAttribute":"cn"
          }
        }

        Nella maggior parte dei casi, sarà necessario solo modificare i valori per i parametri user, userPassword, ldapURLForUsers e ldapURLForRoles. L'URL di LDAP deve essere fornito dall'amministratore LDAP.

        Nell'esempio precedente, l'URL LDAP fa riferimento agli utenti all'interno di un OU (ou=utenti) specifico. Se gli utenti sono presenti in più OU, l'URL LDAP può fare riferimento a un OU di livello superiore o anche al livello radice se necessario. In questo caso, l'aspetto dell'URL è il seguente:

        "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

        L'account utilizzato per il parametro user deve disporre delle autorizzazioni per cercare i nomi dei gruppi nell'organizzazione. Anche se la password viene digitata in testo non crittografato, verrà crittografata quando viene archiviata nella directory di configurazione del portale o visualizzata.

        Se LDAP è configurato in modo da non fare distinzione tra maiuscole e minuscole, impostare il parametro caseSensitive su false.

    4. Una volta completata l'immissione di JSON per la configurazione dell'archivio utenti, fare clic su Aggiorna configurazione per salvare le modifiche e riavviare il portale.

Registrare Portal for ArcGIS come provider di servizi attendibili con Okta

  1. Accedere all'organizzazione Okta come un membro con privilegi amministrativi.
  2. Nella scheda Applicazioni, fare clic sul pulsante Aggiungi applicazione.
  3. Fare clic su Crea nuova app e selezionare l'opzione SAML 2.0. Fare clic su Crea.
  4. In Impostazioni generali, immettere un Nome app per la distribuzione del portale e fare clic su Avanti.
  5. Nella scheda Configura SAML, attenersi alla procedura seguente:
    1. Immettere il valore per URL Single Sign On, ad esempio, https://portalhostname.domain.com/portalcontext/sharing/rest/oauth2/saml/signin. Questo valore può essere copiato dal file di metadati del provider di servizi scaricato dal portale.
    2. Immettere il valore per URI pubblico. Il valore predefinito è impostato su portalhostname.domain.com.portalcontext. Questo valore può essere copiato dal file di metadati del provider di servizi scaricato dal portale.
    3. Lasciare Formato ID nome come Non specificato.
    4. In Impostazioni avanzate, cambiare l'opzione Firma asserzione in Non firmato.
    5. Nella sezione Affermazioni attributo, aggiungere queste affermazioni attributo:

      givenName impostato su user.firstName + " " + user.lastName

      email impostato su user.email

  6. Fare clic su Avanti e scegliere Fine.
  7. Verrà visualizza la sezione Sign On della nuova applicazione SAML creata. Per ottenere i metadati IDP Okta, fare clic sulla scheda Sign On e selezionare il collegamento Metadati provider di identità.
  8. Fare clic con il pulsante destro del mouse sulla scheda Persone e configurare quali utenti autenticati da Okta dispongono dell'accesso al portale.