È possibile configurare NetIQ Access Manager 3.2 e versioni successive come provider di identità (IDP) per account di accesso aziendali in Portal for ArcGIS. Il processo di configurazione comporta due passaggi principali: la registrazione dell'IDP aziendale con Portal for ArcGIS e la registrazione di Portal for ArcGIS con l'IDP aziendale.
Informazioni obbligatorie
Portal for ArcGIS richiede che informazioni sugli attributi specifiche siano ricevute dall'IDP quando un utente esegue l'accesso utilizzando gli account aziendali. L'attributo NameID è obbligatorio e deve essere inviato dall'IDP nella risposta SAML affinché la federazione con Portal for ArcGIS funzioni. Dal momento che Portal for ArcGIS usa il valore di NameID per identificare in modo univoco un utente con nome, si consiglia di usare un valore costante che identifica l'utente in modo univoco. Quando un utente di IDP esegue l'accesso, Portal for ArcGIS crea un nuovo utente con il nome utente NameID nel proprio archivio utenti. Per il valore inviato da NameID sono consentiti solo caratteri alfanumerici, _ (carattere di sottolineatura), . (punto) e @ (chiocciola). Qualsiasi altro carattere verrà sostituito da caratteri di sottolineatura nel nome utente creato da Portal for ArcGIS.
Portal for ArcGIS supporta il flusso in ingresso degli attributi givenName e email address dell'account aziendale dall'IDP aziendale. Quando un utente effettua l'accesso utilizzando un account aziendale, e se Portal for ArcGIS riceve attributi con i nomi givenname e email o mail (senza distinzione tra maiuscolo e minuscolo), Portal for ArcGIS compila il nome completo e l'indirizzo e-mail dell'account utente con i valori ricevuti dall'IDP. Si consiglia di passare il email address ottenuto dall'IDP aziendale per consentire all'utente di ricevere notifiche.
Registrazione di NetIQ Access Manager come IDP aziendale con Portal for ArcGIS
- Accedere al Sito Web del portale come amministratore dell'organizzazione e fare clic su Organizzazione > Modifica impostazioni > Sicurezza.
- Nella sezione Accessi aziendali, selezionare l’opzione Un provider di identità, fare clic sul pulsante Configurare le credenziali di accesso aziendali e immettere il nome dell'organizzazione nella finestra che viene visualizzata (ad esempio City of Redlands). Quando gli utenti accedono al Sito Web del portale, questo testo viene visualizzato come parte dell'opzione di accesso SAML, ad esempio con l'account City of Redlands.
Nota:
È possibile registrare un solo IDP aziendale per il portale.
- Scegliere se gli utenti potranno iscriversi all'organizzazione Automaticamente o Dopo aver aggiunto gli account al portale. Se si seleziona la prima opzione, gli utenti potranno accedere all'organizzazione con l'account di accesso aziendale senza alcun intervento da parte di un amministratore. L'account viene registrato automaticamente con l'organizzazione al primo accesso. Con la seconda opzione è invece necessario che l'amministratore registri gli account necessari con l'organizzazione usando un'utilità da riga di comando o lo script Python di esempio. Una volta registrati gli account, gli utenti potranno accedere all'organizzazione.
Suggerimento:
Si consiglia di designare almeno un account aziendale come amministratore del portale e di abbassare di livello o eliminare l'account amministratore iniziale. Si consiglia inoltre di disabilitare il pulsante Crea account e la pagina di registrazione (signup.html) del Portale Web per impedire agli utenti di creare i propri account. Per istruzioni complete, consultare Configurare un provider di identità conforme a SAML con il portale.
- Fornire informazioni sui metadati per l'IDP utilizzando una delle tre opzioni seguenti:
- URL: scegliere questa opzione se l'URL dei metadati di federazione NetIQ Access Manager è accessibile da parte di Portal for ArcGIS. Solitamente l'URL si trova all'indirizzo http(s)://<host>:<port>/nidp/saml2/metadata nel computer in cui è in esecuzione NetIQ Access Manager.
Nota:
Se l'IDP aziendale include un certificato autofirmato, potrebbe verificarsi un errore quando si prova a specificare l'URL HTTPS dei metadati. Questo errore si verifica perché in Portal for ArcGIS non è possibile verificare il certificato autofirmato del provider di identità. In alternativa, utilizzare HTTP nell'URL, una delle opzioni seguenti o configurare l'IDP con un certificato attendibile.
- File: se l'URL non è accessibile da parte di Portal for ArcGIS, salvare i metadati ottenuti dall'URL precedente come file XML e caricare il file.
- Parametri: scegliere questa opzione se l'URL o il file dei metadati di federazione non è accessibile. Immettere i valori manualmente e fornire i parametri richiesti: l'URL e il certificato di accesso, codificati nel formato BASE 64. Per ottenere questi parametri, contattare l'amministratore di NetIQ Access Manager.
- URL: scegliere questa opzione se l'URL dei metadati di federazione NetIQ Access Manager è accessibile da parte di Portal for ArcGIS. Solitamente l'URL si trova all'indirizzo http(s)://<host>:<port>/nidp/saml2/metadata nel computer in cui è in esecuzione NetIQ Access Manager.
- Configurare le impostazioni avanzate, laddove applicabile:
- Crittografare asserzione: selezionare questa opzione se NetIQ Access Manager verrà configurato per crittografare le risposte all'asserzione SAML.
- Abilita richiesta firmata: selezionare questa opzione per consentire a Portal for ArcGIS di firmare la richiesta di autenticazione SAML inviata a NetIQ Access Manager.
- Propaga logout a provider di identità: selezionare questa opzione per consentire ad Portal for ArcGIS di utilizzare un URL di disconnessione per disconnettere l'utente da Net IQ Access Manager. Immettere l'URL da utilizzare nell'impostazione URL di disconnessione. Se l'IDP richiede che l'URL di disconnessione sia firmato, l'opzione Abilita richiesta firmata deve essere selezionata.
- Aggiorna profilo all'accesso: selezionare questa opzione perché Portal for ArcGIS aggiorni gli attributi givenName e email address degli utenti, se sono cambiati rispetto all'ultimo accesso.
- Abilita appartenenza al gruppo basata su SAML: selezionare questa opzione per consentire ai membri dell'organizzazione di collegare determinati gruppi aziendali basati su SAML a gruppi Portal for ArcGIS durante il processo di creazione del gruppo.
- URL di disconnessione: l'URL dell'IDP si usa per disconnettere l'utente attualmente connesso. Questo valore viene inserito automaticamente se definito nel file di metadati dell'IDP. È possibile aggiornare questo URL in base alle necessità.
- ID entità: aggiornare questo valore per utilizzare un nuovo ID entità per identificare in maniera univoca il portale in NetIQ Access Manager.
Le impostazioni Crittografare asserzione e Abilita richiesta firmata utilizzano il certificato samlcert nell'archivio chiavi del portale. Per utilizzare un nuovo certificato, eliminare il certificato samlcert, creare un nuovo certificato con lo stesso alias (samlcert) seguendo la procedura in Importare un certificato nel portale e riavviare il portale.
registrazione di Portal for ArcGIS come provider di servizi attendibili con NetIQ Access Manager
- Configurazione di un set di attributi.
Per creare un nuovo set di attributi in modo che sia possibile inviare gli attributi a Portal for ArcGIS come parte dell'asserzione SAML dopo l'autenticazione dell'utente, attenersi alla procedura di seguito. Se si dispone in un set di attributi esistente già configurato in NetIQ Access Manager, è possibile utilizzare anche tale set.
- Accedere alla console di amministrazione di NetIQ Access Manager. In genere è disponibile all'indirizzo http(s)://<host>:<port>/nps.
- Individuare il server delle identità nella console di amministrazione di NetIQ e fare clic sulla scheda Impostazioni condivise. In Set di attributi sono visualizzati tutti i set di attributi già creati. Fare clic su Nuovo per creare un nuovo set di attributi. Immettere Portale in Nome set e fare clic su Avanti.
- Definire i mapping di attributi ed aggiungerli al set di attributi creato nel passaggio precedente.
Portal for ArcGIS supporta il flusso in ingresso degli attributi givenName e email address dell'account aziendale dall'IDP aziendale. Quando un utente effettua l'accesso utilizzando un account di accesso aziendale e Portal for ArcGIS riceve attributi con i nomi givenname e email o mail (senza distinzione tra maiuscolo e minuscolo), Portal for ArcGIS inserisce il nome completo e l'indirizzo e-mail dell'account utente con i valori ricevuti dal provider di identità.
Si consiglia di passare ad Portal for ArcGIS l'indirizzo e-mail ottenuto dall'IDP aziendale. Questa operazione è utile se l'utente diventa in seguito un amministratore. La disponibilità di un indirizzo e-mail nell'account consente all'utente di ricevere notifiche su eventuali attività amministrative e di inviare ad altri utenti inviti ad iscriversi all'organizzazione.
Fare clic sul collegamento Nuovo e aggiungere le nuove mappature attributi. Le schermate di seguito mostrano l'aggiunta di mappature attributi per givenName, email address e uid. Invece degli esempi, è possibile scegliere qualsiasi attributo dall'origine di autenticazione.
Fare clic su Fine nella procedura guidata Crea set di attributi. L'operazione crea un nuovo set di attributi denominato Portale.
- Per aggiungere Portal for ArcGIS come fornitore attendibile con NetIQ Access Manager, attenersi alla procedura di seguito.
- Accedere alla console di amministrazione di NetIQ, scegliere il server delle identità e fare clic sul collegamento Modifica.
Verrà aperta la scheda Generale.
- Fare clic sulla scheda SAML 2.0, quindi fare clic su Nuovo > Provider di servizi.
Nella finestra Provider di servizi si aggiunge Portal for ArcGIS come fornitore di servizi affidabile con NetIQ Access Manager.
- Nella procedura guidata Crea provider di servizi affidabile, fare clic su Testo metadati come Origine e incollare i metadati dell'organizzazione Portal for ArcGIS nella casella Testo.
Per ottenere i metadati dell'organizzazione Portal for ArcGIS, accedere all'organizzazione come amministratore, fare clic sul pulsante Modifica impostazioni, sulla scheda Sicurezza e sul pulsante Ottieni provider di servizi. Salvare i metadati come file XML.
Fare clic su Avanti e su Fine per completare l'aggiunta del provider di servizi affidabile.
- Accedere alla console di amministrazione di NetIQ, scegliere il server delle identità e fare clic sul collegamento Modifica.
- Per configurare le proprietà per la federazione Portal for ArcGIS e NetIQ Access Manager attenersi alla seguente procedura.
- Nella scheda SAML 2.0, fare clic sul collegamento del provider di servizi sotto Provider di servizi. Verrà aperta la scheda Configurazione. Fare clic sulla scheda Metadati e verificare che i metadati per l'organizzazione Portal for ArcGIS siano corretti.
- Fare clic sulla scheda Configurazione per tornare alla sezione Attendibile della configurazione. Selezionare l'opzione Crittografare asserzioni se si sceglie l'impostazione avanzata Crittografare asserzione quando si registra NetIQ Access Manager come IDP aziendale con Portal for ArcGIS.
- Fare clic sulla scheda Attributi.
In questo passaggio si aggiunge la mappatura attributi dal set creato in precedenza, in modo che NetIQ Access Manager sia in grado di inviare gli attributi a Portal for ArcGIS nell'asserzione SAML.
Selezionare il set di attributi definito nel passaggio 2.1 precedente. Dopo avere selezionato il set di attributi, gli attributi definiti nel set sono visualizzati nella scheda Disponibili. Spostare gli attributi givenName e email nella casella Invia con autenticazione.
- Fare clic sulla scheda Risposta autenticazione nella scheda Configurazione del provider di servizi e impostare la risposta di autenticazione:
Fare clic su Post dal menu a discesa Associazione.
Nella colonna Identificatore nomi, selezionare la casella accanto a Non specificato.
Nella colonna Predefinito selezionare il pulsante di opzione accanto a Non specificato.
Nella colonna Valore scegliere Attributo ldap uid.
Nota:
È possibile configurare qualsiasi altro attributo unico nel set di attributi dall'origine di autenticazione da inviare come NameID. Il valore di questo parametro verrà utilizzato come nome utente nell'organizzazione.
Fare clic su Applica.
- In Configurazione, fare clic sulla scheda Opzioni e scegliere il contratto di autenticazione utente, ad esempio, Nome/Password - Modulo e fare clic su Applica.
- Riavviare NetIQ Access Manager individuando il server delle identità e facendo clic sul collegamento Aggiorna tutto.
