Microsoft Azure Active Directory (AD) è un provider di identità (IDP) conforme a Security Assertion Markup Language (SAML). È possibile configurarlo come IDP per gli account di accesso aziendali in Portal for ArcGIS locale e nel cloud. Il processo di configurazione comporta due passaggi principali: la registrazione di Azure AD nel portale di ArcGIS Enterprise e registrazione di Portal for ArcGIS nel portale Azure AD.
Per configurare Azure AD con ArcGIS Enterprise, è necessario un abbonamento ad Azure AD premium.
Informazioni obbligatorie
Portal for ArcGIS richiede che informazioni specifiche sugli attributi siano ricevute dall'IDP quando un utente esegue l'accesso utilizzando gli account aziendali. L'attributo NameID è obbligatorio e deve essere inviato dall'IDP nella risposta SAML affinché la federazione funzioni con Portal for ArcGIS. Dal momento che Portal for ArcGIS usa il valore di NameID per identificare in modo univoco un utente con nome, si consiglia di usare un valore costante che identifica l'utente in modo univoco. Quando un utente di IDP effettua l'accesso, Portal for ArcGIS crea un nuovo utente con il nome utente NameID nel proprio archivio utenti. Per il valore inviato da NameID sono consentiti solo caratteri alfanumerici, _ (carattere di sottolineatura), . (punto) e @ (chiocciola). Qualsiasi altro carattere verrà sostituito da sottolineature nel nome utente creato da Portal for ArcGIS.
Portal for ArcGIS supporta il flusso in ingresso degli attributi givenName e email address dell'account aziendale dall'IDP aziendale. Quando un utente effettua l'accesso utilizzando un account aziendale, e se Portal for ArcGIS riceve attributi con i nomi givenname e email o mail (senza distinzione tra maiuscolo e minuscolo), Portal for ArcGIS compila il nome completo e l'indirizzo e-mail dell'account utente con i valori ricevuti dall'IDP. Si consiglia di passare il email address ottenuto dall'IDP aziendale per consentire all'utente di ricevere notifiche.
Registrare Azure AD come IDP enterprise del portale
- Effettuare l'accesso al Portale Web come membro del ruolo Amministratore predefinito dell'organizzazione e fare clic su Organizzazione > Modifica impostazioni > Sicurezza.
- Nella sezione Accessi aziendali tramite SAML, selezionare l’opzione Un provider di identità, fare clic sul pulsante Configurare le credenziali di accesso aziendali e immettere il nome dell'organizzazione nella finestra che viene visualizzata (ad esempio City of Redlands). Quando gli utenti accedono al Sito Web del portale, questo testo viene visualizzato come parte dell'opzione di accesso SAML, ad esempio con l'account City of Redlands.
- Scegliere se gli utenti potranno iscriversi all'organizzazione automaticamente o dopo aver aggiunto gli account al portale. Se si seleziona l'opzione Automaticamente, gli utenti potranno accedere all'organizzazione con l'account di accesso aziendale senza alcun intervento da parte di un amministratore. L'account viene registrato automaticamente con l'organizzazione al primo accesso. Con l'opzione Dopo aver aggiunto gli account al portale è invece necessario che l'amministratore registri gli account necessari con l'organizzazione usando un'utilità da riga di comando o lo script Python di esempio. Una volta registrati gli account, gli utenti potranno accedere all'organizzazione.
Suggerimento:
Si consiglia di designare almeno un account aziendale come amministratore del portale e di abbassare di livello o eliminare l'account amministratore iniziale. Si consiglia inoltre di disabilitare il pulsante Crea account e la pagina di registrazione (signup.html) del portale per impedire agli utenti di creare i propri account. Per istruzioni complete, consultare Configurare un provider di identità conforme a SAML con il portale.
- Fornire informazioni sui metadati dell'IDP utilizzando una delle opzioni seguenti:
- File: scaricare il file dei metadati di federazione Azure AD e caricare il file in Portal for ArcGIS utilizzando l'opzione File.
Nota:
Se è la prima volta che si registra un provider di servizi con Azure AD, occorre ottenere il file dei metadati dopo la registrazione di Portal for ArcGIS con Azure AD. - Parametri: scegliere questa opzione se l'URL o il file dei metadati di federazione non è accessibile. Immettere i valori manualmente e fornire i parametri richiesti: l'URL e il certificato di accesso, codificati nel formato BASE 64. Per ottenere questi parametri, contattare l'amministratore di Azure AD.
- File: scaricare il file dei metadati di federazione Azure AD e caricare il file in Portal for ArcGIS utilizzando l'opzione File.
- Configurare le seguenti impostazioni avanzate, laddove applicabile:
- Crittografare asserzione: selezionare questa opzione per crittografare le risposte all'asserzione SAML di Azure AD.
- Abilita richiesta firmata: selezionare questa opzione per consentire a Portal for ArcGIS di firmare la richiesta di autenticazione SAML inviata ad Azure AD.
- Propaga logout a provider di identità: selezionare questa opzione per consentire a Portal for ArcGIS di utilizzare un URL di disconnessione per disconnettere l'utente da Azure AD. Immettere l'URL da utilizzare nell'impostazione URL di disconnessione. Se l'IDP richiede che l'URL di disconnessione sia firmato, selezionare Abilita richiesta firmata.
- Aggiorna profilo all'accesso: selezionare questa opzione perché Portal for ArcGIS aggiorni gli attributi givenName e email address degli utenti, se sono cambiati rispetto all'ultimo accesso.
- URL di disconnessione: l'URL dell'IDP si usa per disconnettere l'utente attualmente connesso.
- ID entità: aggiornare questo valore per utilizzare un nuovo ID entità per identificare in maniera univoca il portale in Azure AD.
Le impostazioni Crittografare asserzione e Abilita richiesta firmata utilizzano il certificato samlcert nell'archivio chiavi del portale. Per utilizzare un nuovo certificato, eliminare il certificato samlcert, creare un nuovo certificato con lo stesso alias (samlcert) seguendo la procedura in Importare un certificato nel portale e riavviare il portale.
- Al termine, fare clic su Aggiorna provider di identità.
- Fare clic su Ottieni provider di servizi per scaricare il file di metadati del portale. Le informazioni in questo file verranno utilizzate per registrare il portale come il provider di servizi attendibili con Azure AD.
Registrazione di Portal for ArcGIS come provider di servizi attendibile con Azure AD
- Accedere al portale Azure come un membro con privilegi amministrativi.
- Seguendo la procedura descritta nella documentazione di Azure, aggiungere Portal for ArcGIS come applicazione non galleria ad Azure AD e configurare Single Sign-On. È necessario fornire il file Metadata.xml scaricato da Portal for ArcGIS.
Portal for ArcGIS appare nell’elenco Enterprise Applications di Azure AD.
- Aggiungere e assegnare utenti all’applicazione, se necessario.
- Facoltativamente, configurare e personalizzare attestazioni SAML trasferite ad ArcGIS Enterprise. Gli attributi di interesse nella risposta SAML sono givenName e emailaddress.