SAML (Security Assertion Markup Language) è uno standard aperto per lo scambio protetto di dati di autenticazione ed autorizzazione tra un provider di identità aziendale ed un provider di servizi (in questo caso, Portal for ArcGIS). A tale scopo viene utilizzato l'approccio Single Sign-On Web SAML. Il portale è compatibile con SAML 2.0 e si integra con i provider di identità che supportano il Single Sign-On Web SAML 2. Configurare SAML presenta il vantaggio di non dover creare ulteriori account di accesso a Portal for ArcGIS perché in questo caso gli utenti accedono con l'account di accesso già configurato in un archivio identità aziendale. Nella documentazione tale processo è descritto come configurazione di account di accesso aziendali.
Se si desidera, è possibile specificare nel portale i metadati sui gruppi aziendali nell'archivio identità. In questo modo nel portale è possibile creare gruppi che sfruttano i gruppi aziendali esistenti nell'archivio identità. Quando i membri accedono al portale, l'accesso a contenuti, elementi e dati è controllato tramite le regole di appartenenza definite nel gruppo aziendale. Se non si specificano i metadati necessari del gruppo aziendale, sarà comunque possibile creare gruppi. Tuttavia, le regole di appartenenza verranno controllate da Portal for ArcGIS e non dall'archivio identità.
Far corrispondere i nomi utente di ArcGIS Online in Portal for ArcGIS
Se si utilizza lo stesso provider di identità conforme a SAML nell'organizzazione ArcGIS Online e nel portale, i nomi utente dell'azienda possono essere configurati affinché corrispondano. Tutti i nomi utente dell'azienda in ArcGIS Online hanno il nome breve dell'organizzazione aggiunto alla fine. Gli stessi nome utente dell'organizzazione possono essere utilizzati nel portale definendo la proprietà defaultIDPUsernameSuffix all'interno della configurazione di sicurezza del portale e impostandola in modo che corrisponda al nome breve dell'organizzazione. Ciò è necessario se è abilitato il monitoraggio delle modifiche su un feature service che viene modificato da utenti aziendali sia da ArcGIS Online che dal portale.
Esperienza di accesso SAML
Portal for ArcGIS supporta gli account di accesso aziendali basati su provider di servizi e quelli basati su provider di identità. L'esperienza di accesso varia a seconda del provider.
Account di accesso basati su provider di servizi
Con gli account di accesso basati su provider di servizi, gli utenti accedono direttamente al portale e possono scegliere di effettuare l'accesso con account predefiniti (gestiti dal portale) o tramite account gestiti da provider di identità conformi a SAML. Se l'utente sceglie l'opzione del provider di identità SAML, verrà reindirizzato ad una pagina Web (nota come Gestione accessi aziendale) in cui viene richiesto di immettere un nome utente e una password aziendali. In seguito alla verifica dell'account di accesso dell'utente, il provider di identità aziendale informerà Portal for ArcGIS che l'identità dell'utente è stata verificata. L'utente verrà quindi reindirizzato al Portale Web.
Se l'utente sceglie l'opzione dell'account predefinito, verrà aperta la pagina di accesso del Portale Web. L'utente potrà quindi immettere nome utente e password predefiniti per accedere al sito Web. Questa opzione non potrà essere disabilitata. L'opzione dell'account predefinito può essere usata come opzione fail-safe nel caso in cui il provider di identità conforme a SAML non sia disponibile.
Account di accesso basati su provider di identità
Con gli account di accesso basati su provider di identità, gli utenti accedono direttamente alla Gestione accessi aziendali ed effettuano l'accesso con il proprio account. Quando l'utente invia le informazioni sul proprio account, il provider di identità invia la risposta SAML direttamente a Portal for ArcGIS. L'utente viene quindi connesso e reindirizzato al Portale Web in cui può immediatamente accedere alle risorse senza dover nuovamente effettuare l'accesso all'organizzazione.
L'opzione per effettuare l'accesso con account predefiniti non è accessibile da Gestione accessi aziendali. Per effettuare l'accesso all'organizzazione con account predefiniti, i membri devono accedere direttamente al Portale Web.
Provider di identità SAML
Nelle seguenti esercitazioni viene illustrato l'utilizzo di diversi provider di identità conformi a SAML con Portal for ArcGIS:
- NetIQ Access Manager 3.2 e versioni successive
- OpenAM 10.1.0 e versioni successive
- Shibboleth 2.3.8 e versioni successive
- SimpleSAMLphp 1.10 e versioni successive
La procedura per ottenere i metadati necessari dai provider di identità specificati in precedenza è descritta nelle pagine di destinazione di ciascun collegamento. Di seguito è descritto il processo di configurazione dei provider di identità con Portal for ArcGIS. Prima di procedere, si consiglia di rivolgersi all'amministratore del provider di identità aziendale per ottenere i parametri indispensabili per la configurazione.
Supportare più provider di identità SAML
Con SAML si può consentire l'accesso al portale tramite archivi identità multipli. Si tratta di un modo eccellente di gestire utenti che possono appartenere all'organizzazione o essere esterni ad essa.
A tale scopo, stabilire una relazione di trust tra gli archivi identità che si desidera rendere disponibili per il portale. Tale operazione è generalmente gestita da un amministratore della sicurezza; la relazione di trust non viene configurata in Portal for ArcGIS. Una volta stabilita la relazione di trust, è sufficiente configurare uno degli archivi identità della relazione con il portale (come descritto di seguito). Quando gli utenti accedono al Portale Web o al sito del provider di identità, potranno scegliere di effettuare l'accesso con un account aziendale gestito da uno qualsiasi dei provider di identità della relazione di trust.
Informazioni obbligatorie
Con Portal for ArcGIS gli utenti che accedono con gli account aziendali devono ricevere specifiche informazioni sugli attributi dal provider di identità. NameID è un attributo obbligatorio che deve essere inviato dal provider di identità nella risposta SAML per consentire il funzionamento della federazione con Portal for ArcGIS. Quando un utente esegue l'accesso da IDP, Portal for ArcGIS crea un nuovo utente con il nome utente NameID nel proprio archivio utenti. Per il valore inviato dall'attributo NameID sono consentiti solo caratteri alfanumerici, _ (carattere di sottolineatura). (punto) e @ (chiocciola). Qualsiasi altro carattere verrà sostituito da caratteri di sottolineatura nel nome utente creato da Portal for ArcGIS.
Portal for ArcGIS supporta il flusso in ingresso degli attributi givenName e email address dell'account di accesso aziendale dal provider di identità. Quando un utente effettua l'accesso utilizzando un account di accesso aziendale e Portal for ArcGIS riceve attributi con i nomi givenname e email o mail (senza distinzione tra maiuscolo e minuscolo), Portal for ArcGIS inserisce il nome completo e l'indirizzo e-mail dell'account utente con i valori ricevuti dal provider di identità. Si consiglia di passare l'email address ottenuto dal provider di identità aziendale per consentire all'utente di ricevere notifiche.
Configurare il portale con un provider di identità SAML
- Accedere al Portale Web come amministratore dell'organizzazione e fare clic su La mia organizzazione > Modifica impostazioni > Sicurezza.
- Nella sezione Accessi aziendali fare clic sul pulsante Imposta provider di identità ed immettere il nome dell'organizzazione nella finestra che viene visualizzata, ad esempio City of Redlands. Quando gli utenti accedono al sito web del portale, questo testo viene visualizzato come parte integrante dell'opzione di accesso SAML, ad esempio Con l'account City of Redlands.
- Scegliere se gli utenti potranno iscriversi all'organizzazione Automaticamente o Dopo aver aggiunto gli account al portale. Se si sceglie la prima opzione, gli utenti potranno accedere all'organizzazione con l'account di accesso aziendale senza alcun intervento da parte di un amministratore. L'account viene registrato automaticamente con l'organizzazione al primo accesso. Con la seconda opzione è invece necessario che l'amministratore registri gli account necessari con l'organizzazione usando un'utilità da riga di comando o lo script Python di esempio. Una volta registrati gli account, gli utenti potranno accedere all'organizzazione.
Suggerimento:
Si consiglia di designare almeno un account aziendale come amministratore del portale e di abbassare di livello o di eliminare l'account amministratore iniziale. Si consiglia inoltre di disabilitare il pulsante Crea account e la pagina di registrazione (signup.html) del Portale Web per impedire agli utenti di creare i propri account. Per istruzioni complete, vedere la sezione Designare un account aziendale come amministratore riportata di seguito.
- Fornire le informazioni dei metadati necessarie sul provider di identità aziendale conforme a SAML. A tale scopo, specificare l'origine a cui il portale dovrà accedere per ottenere le informazioni dei metadati. I collegamenti alle istruzioni per ottenere i metadati da provider certificati sono disponibili nella sezione Provider di identità SAML riportata in precedenza. Sono tre le possibili origini di queste informazioni dei metadati:
- Un URL: specificare un URL che restituisce le informazioni dei metadati sul provider di identità.
Nota:
Se il provider di identità aziendale include un certificato autofirmato, potrebbe verificarsi un errore quando si prova a specificare l'URL HTTPS dei metadati. Questo errore si verifica perché in Portal for ArcGIS non è possibile verificare il certificato autofirmato del provider di identità. In alternativa, utilizzare HTTP nell'URL, una delle opzioni seguenti oppure configurare il provider di identità con un certificato attendibile.
- Un file: caricare un file che contiene le informazioni dei metadati sul provider di identità.
- Parametri specificati: immettere direttamente le informazioni dei metadati sul provider di identità specificando i parametri descritti di seguito.
- URL di accesso (reindirizzamento): immettere l'URL del provider di identità (che supporta l'associazione reindirizzamento HTTP) che verrà usato da Portal for ArcGIS per consentire a un membro di effettuare l'accesso.
- URL di accesso POST: immettere l'URL del provider di identità (che supporta l'associazione HTTP POST) che verrà usato da Portal for ArcGIS per consentire a un membro di effettuare l'accesso.
- Certificato: specificare il certificato del provider di identità aziendale. Si tratta del certificato che consente ad Portal for ArcGIS di verificare la firma digitale nelle risposte SAML inviate dal provider di identità aziendale.
Nota:
Per informazioni sull'origine delle informazioni dei metadati da specificare, contattare l'amministratore del provider di identità.
- Un URL: specificare un URL che restituisce le informazioni dei metadati sul provider di identità.
- Per completare il processo di configurazione e stabilire la relazione di trust con il provider di identità, registrare i metadati del provider di servizi del portale presso il provider di identità aziendale. Esistono due modi per ottenere i metadati dal portale.
- Nella sezione Protezione della pagina Modifica impostazioni dell'organizzazione, fare clic sul pulsante Ottieni provider di servizi. Ciò consente di visualizzare i metadati dell'organizzazione salvabili come file XML sul computer.
- Aprire l'URL dei metadati e salvarlo in formato XML sul proprio computer. L'URL è https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, ad esempio https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Per generare un token, è possibile utilizzare https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Quando si immette l'URL nella pagina Genera token, specificare il nome di dominio completo del server del provider di identità nel campo URL applicazione Web. La scelta di una qualsiasi altra opzione, ad esempio Indirizzo IP o Indirizzo IP dell'origine di questa richiesta, non è supportata e può comportare la generazione di un token non valido.
I collegamenti alle istruzioni per registrare i metadati del provider di servizi del portale presso i provider certificati sono disponibili nella sezione precedente Provider di identità SAML.
- Configurare le impostazioni avanzate, laddove applicabile:
- Crittografare asserzione: scegliere questa opzione per indicare al provider di identità SAML che Portal for ArcGIS supporta risposte all'asserzione SAML crittografate. Quando questa opzione è abilitata, il provider di identità eseguirà la crittografia della sezione di asserzione delle risposte SAML. Anche se tutto il traffico verso e da Portal for ArcGIS è già crittografato dall'utilizzo di HTTPS, questa opzione aggiunge un altro layer di crittografia.
- Abilita richiesta firmata: scegliere questa opzione per consentire a Portal for ArcGIS di firmare la richiesta di autenticazione SAML inviata al provider di identità. Firma della richiesta di accesso iniziale inviata da Portal for ArcGIS consente al provider di identità di verificare tutte le richieste di accesso originate da un provider di servizi attendibile.
- Propaga logout a provider di identità: selezionare questa opzione per consentire a Portal for ArcGIS di utilizzare un URL di disconnessione per disconnettere l'utente dal provider di identità. Immettere l'URL da utilizzare nell'impostazione URL di disconnessione. Se il provider di identità richiede che l'URL di disconnessione sia firmato, anche l'opzione Abilita richiesta firmata deve essere selezionata. Quando questa opzione è disabilitata, facendo clic su Disconnetti in Portal for ArcGIS si eseguirà la disconnessione dell'utente da Portal for ArcGIS ma non dal provider di identità. Se la cache del browser Web dell'utente non viene cancellata, il tentativo di eseguire immediatamente l'accesso a Portal for ArcGIS utilizzando l'opzione di accesso aziendale causa un accesso immediato senza necessità di fornire credenziali utente al provider di identità SAML. Questa è una vulnerabilità di protezione che può essere sfruttata quando si utilizza un computer facilmente accessibile ad utenti non autorizzati o pubblicamente.
- URL di disconnessione: immettere l'URL del provider di identità da utilizzare per disconnettere l'utente attualmente connesso. Se si specifica questa proprietà nel file di metadati del provider di identità, viene impostata automaticamente.
- ID entità: aggiornare questo valore per utilizzare un nuovo ID entità per identificare in maniera univoca l'organizzazione Portal for ArcGIS al provider di identità SAML.
- Se si desidera, specificare nel portale i metadati sui gruppi aziendali nell'archivio identità.
- Accedere alla directory di Portal for ArcGIS come amministratore dell'organizzazione. Il formato dell'URL è https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Fare clic su Sicurezza > Configurazione > Aggiorna archivio identità.
- Inserire il JSON di configurazione del gruppo nella casella di testo Configurazione archivio gruppo (in formato JSON).
Copiare il testo seguente e modificarlo in modo che contenga informazioni specifiche per il proprio sito:
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com", "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com", "usernameAttribute": "cn", "caseSensitive": "false", "userSearchAttribute": "cn", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }Nella maggior parte dei casi, sarà necessario solo modificare i valori per i parametri user, userPassword, ldapURLForUsers e ldapURLForRoles. L'URL di LDAP deve essere fornito dall'amministratore LDAP.
Nell'esempio precedente, l'URL LDAP fa riferimento agli utenti all'interno di un OU (ou=utenti) specifico. Se gli utenti sono presenti in più OU, l'URL LDAP può fare riferimento a un OU di livello superiore o anche al livello radice se necessario. In questo caso, l'aspetto dell'URL è il seguente:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
L'account utilizzato per il parametro user deve disporre delle autorizzazioni per cercare i nomi dei gruppi nell'organizzazione. Anche se la password viene digitata in testo non crittografato, verrà crittografata quando viene archiviata nella directory di configurazione del portale o visualizzata.
Se LDAP è configurato in modo da non fare distinzione tra maiuscole e minuscole, impostare il parametro caseSensitive su false.
- Una volta completata l'immissione di JSON per la configurazione dell'archivio utenti, fare clic su Aggiorna configurazione per salvare le modifiche e riavviare il portale.
Designare un account aziendale come amministratore
La modalità di designazione di un account aziendale come amministratore del portale varia a seconda che gli utenti possano iscriversi all'organizzazione Automaticamente oppure Dopo aver aggiunto gli account al portale.
Iscriversi all'organizzazione automaticamente
Se è stata selezionata l'opzione che consente agli utenti di iscriversi all'organizzazione Automaticamente, aprire la home page del Portale Web mentre si è connessi con l'account aziendale che si desidera utilizzare come amministratore del portale.
Al momento dell'aggiunta automatica al portale, all'account viene inizialmente assegnato il ruolo Utente. Il ruolo di un account può essere modificato solo da un amministratore dell'organizzazione, pertanto è necessario accedere al portale utilizzando l'account amministratore iniziale e assegnare il ruolo Amministratore ad un account aziendale.
- Aprire il Portale Web, fare clic sull'opzione per effettuare l'accesso tramite un provider di identità SAML, quindi fornire le credenziali dell'account aziendale che si desidera utilizzare come amministratore. Se questo account appartiene ad un altro utente, chiedere a tale utente di effettuare l'accesso al portale per consentire la registrazione dell'account.
- Verificare che l'account sia stato aggiunto al portale e fare clic su Disconnetti. Cancellare la cache del browser ed i cookie.
- Senza chiudere il browser, aprire il sito web del portale, fare clic sull'opzione per effettuare l'accesso con un account predefinito del portale, quindi fornire le credenziali dell'account iniziale dell'amministratore creato durante la configurazione di Portal for ArcGIS.
- Individuare l'account aziendale che si desidera utilizzare per amministrare il portale aziendale e impostare il ruolo su Amministratore. Fare clic su Disconnetti.
L'account aziendale scelto è ora un amministratore del portale.
Aggiungere manualmente account aziendali al portale
Se è stata selezionata l'opzione che consente agli utenti di iscriversi all'organizzazione solo Dopo aver aggiunto gli account al portale, sarà necessario registrare gli account necessari presso l'organizzazione tramite un'utilità da riga di comando o uno script Python di esempio. Accertarsi di avere scelto il ruolo Amministratore per l'account aziendale che si desidera utilizzare per amministrare il portale.
Abbassare di livello o eliminare l'account amministratore iniziale
Dopo la creazione dell'account alternativo dell'amministratore del portale, è possibile assegnare il ruolo Utente all'account amministratore iniziale o eliminare tale account. Per ulteriori informazioni, vedere Informazioni sull'account amministratore iniziale.
Impedire agli utenti di creare i propri account
Dopo aver protetto l'accesso al portale, si consiglia di disabilitare il pulsante Crea account e la pagina di registrazione (signup.html) del Portale Web per impedire agli utenti di creare i propri account. In questo modo tutti i membri possono accedere al portale con l'account e le credenziali aziendali e non verranno creati account predefiniti non necessari. Per istruzioni complete, vedere Disabilitare la funzionalità per consentire agli utenti di creare account predefiniti del portale.
Disabilitare l'accesso con gli account di ArcGIS
Se si desidera impedire agli utenti di accedere al portale utilizzando un account ArcGIS, è possibile disabilitare il pulsante Utilizzando l'account ArcGIS nella pagina di accesso. A tale scopo, attenersi alla procedura seguente.
- Accedere al Portale Web come amministratore dell'organizzazione e fare clic su La mia organizzazione > Modifica impostazioni > Sicurezza.
- All'interno della sezione Opzioni di accesso, scegliere il pulsante di opzione per Solo account IDP SAML, in cui l'IDP varierà in base a ciò che è stato configurato per il portale.
- Fare clic su Salva.
Nella pagina di accesso verrà visualizzato il pulsante per accedere al portale utilizzando un provider di identità e non sarà disponibile il pulsante per accedere Utilizzando l'account ArcGIS. È possibile abilitare nuovamente l'accesso ai membri con account ArcGIS scegliendo Il loro account IDP SAML o account Portal for ArcGIS in Opzioni di accesso, in cui l'IDP e il nome del portale varieranno in base a ciò che è stato configurato.
Modificare il provider di identità SAML
Per rimuovere il provider di identità attualmente registrato, utilizzare il pulsante Rimuovi provider di identità. Tale pulsante verrà abilitato solo dopo aver configurato un provider di identità conforme a SAML. Dopo aver rimosso il provider, se necessario è possibile configurarne uno nuovo.