Skip To Content

Configurare una federazione di provider di identità con il portale

L’organizzazione può utilizzare Security Assertion Markup Language (SAML) per autenticare i suoi utenti di computer e autorizzare l'accesso alle sue risorse abilitate per il Web. Per fare ciò, un provider di identità conforme a SAML (IDP) è configurato per gestire l'autenticazione dell'utente. Le risorse Web dell'organizzazione sono ospitate su uno o più fornitori di servizi, che gestiscono l'autorizzazione di accesso alle risorse Web. L'organizzazione ha il pieno controllo della gestione del suo IDP e dei fornitori di servizi. Per supportare l'autenticazione e l'autorizzazione basate su SAML, è necessario che tutti i fornitori di servizi dell'organizzazione siano registrati per lavorare con l’IDP. Ogni fornitore di servizi può essere registrato solo con un IDP.

È inoltre possibile utilizzare SAML per condividere le risorse tra più organizzazioni governate in modo indipendente. Ciò è reso possibile dalle entità di gestione della federazione, che abilitano la condivisione di risorse basata su SAML tra le relative organizzazioni membro. Un'organizzazione membro che desidera condividere le proprie risorse Web con la federazione riserva a uno o più fornitori di servizi di lavorare esclusivamente all'interno della federazione. Per accedere a una risorsa protetta condivisa con la federazione, un utente autentica l’identità con l'IDP dell’organizzazione. Una volta autenticata correttamente, questa identità convalidata viene presentata al provider di servizi che ospita la risorsa protetta. Il provider di servizi concede quindi l'accesso alla risorsa dopo aver verificato i privilegi di accesso dell'utente.

A partire dalla versione 10.6.1, il portale ArcGIS Enterprise può essere configurato con una federazione di IDP basata su SAML. Il portale accede al servizio di ricerca ospitato dalla federazione, che fornisce un elenco dei provider di identità e dei provider di servizi che partecipano alla federazione.

Alcune federazioni comuni di provider di identità basato su SAML sono InCommon, eduGAIN, SWITCHaai, DFN-AAI e UK Access Management Federation.

Configurare la federazione con il portale

Per configurare una federazione di provider di identità (IDP) basata su SAML con il portale, attenersi alla procedura seguente:

  1. Accedere al Sito Web del portale come amministratore e fare clic su Organizzazione > Impostazioni > Sicurezza.
  2. Nella sezione Accessi aziendali, selezionare l’opzione Una federazione di provider di identità, fare clic sul pulsante Configurare le credenziali di accesso aziendali e immettere la descrizione della federazione nella finestra che viene visualizzata. Questa descrizione viene visualizzata dagli utenti che accedono al sito Web del portale come parte dell'opzione di accesso SAML.
  3. Scegliere il modo in cui gli utenti possono iscriversi all’organizzazione del portale:
    • Automaticamente: consente agli utenti di accedere all'organizzazione con accesso enterprise senza alcuna autorizzazione da parte di un amministratore, in quanto l'account viene registrato automaticamente con il portale al primo accesso
    • Su invito di un amministratore: richiede che l'amministratore del portale registri gli account necessari con l'organizzazione usando un’utilità da riga di comando o lo script Python
    Nota:

    Esri consiglia di designare almeno un account aziendale come amministratore del portale e di disabilitare il pulsante Crea account e la pagina di registrazione (signup.html) del sito Web del portale per impedire agli utenti di creare i propri account. Per ulteriori informazioni, vedere la sezione Designare un account aziendale come amministratore riportata di seguito.

  4. Fornire l'URL al servizio di ricerca IDP centralizzato ospitato dalla federazione, ad esempio https://wayf.samplefederation.com/WAYF.
  5. Fornire l'URL ai metadati di federazione, un'aggregazione dei metadati di tutti i provider di identità e dei provider di servizi che partecipano alla federazione.
  6. Copiare e incollare il certificato, codificato in formato Base64, che consente al portale di verificare la validità dei metadati di federazione.
  7. Configurare le impostazioni avanzate, laddove applicabile:
    1. Crittografare asserzione: selezionare questa opzione per indicare al provider di identità SAML che il portale supporta risposte all'asserzione SAML crittografate. Quando questa opzione è selezionata, il provider di identità eseguirà la crittografia della sezione di asserzione della risposta SAML. Tutto il traffico SAML verso e dal portale è già crittografato dall'utilizzo di HTTPS, ma questa opzione aggiunge un altro layer di crittografia.
    2. Abilita richiesta firmata: selezionare questa opzione per consentire al portale di firmare la richiesta di autenticazione SAML inviata all'IDP. La firma della richiesta di accesso iniziale inviata dal portale consente all'IDP di verificare tutte le richieste di accesso originate da un provider di servizi attendibile.
    3. Propaga logout a provider di identità: selezionare questa opzione per consentire al portale di utilizzare un URL di disconnessione per disconnettere l'utente dall'IDP. Se la si seleziona, immettere l'URL da utilizzare nell'impostazione URL di disconnessione. Se l'IDP richiede che l'URL di disconnessione sia firmato, anche l'opzione Abilita richiesta firmata deve essere selezionata. Se questa opzione non è selezionata, facendo clic su Disconnetti nel sito Web del portale, si eseguirà la disconnessione dell'utente dal portale, ma non dall’IDP. Se la cache del browser Web dell'utente non viene cancellata, il tentativo di eseguire immediatamente l'accesso al portale utilizzando l'opzione di accesso enterprise causa un accesso immediato senza necessità di fornire credenziali all'IDP. Questa è una vulnerabilità di protezione che può essere sfruttata quando si utilizza un computer facilmente accessibile ad utenti non autorizzati o al pubblico.
    4. Aggiorna profilo all'accesso: selezionare questa opzione perché il portale aggiorni gli attributi givenName e indirizzo e-mail degli utenti se sono cambiati rispetto all'ultimo accesso. Per impostazione predefinita, questa opzione è selezionata.
    5. ID entità: aggiornare questo valore per utilizzare un nuovo ID entità e identificare in maniera univoca l'organizzazione del portale nella federazione SAML.

Registrare il portale con la federazione SAML come provider di servizi attendibili

Per completare il processo di configurazione, stabilire la relazione di fiducia con il servizio di ricerca della federazione e l'IDP dell’organizzazione registrando i metadati del provider di servizi del portale con essi. I metadati si possono ottenere in due modi:

  • Nella sezione Protezione della pagina Modifica impostazioni dell'organizzazione, fare clic sul pulsante Ottieni provider di servizi. Ciò consente di visualizzare i metadati dell'organizzazione salvabili come file XML sul computer.
  • Aprire l'URL dei metadati e salvarlo in formato XML sul proprio computer. L'URL è https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, ad esempio https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Per generare un token, è possibile utilizzare https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Quando si immette l'URL nella pagina Genera token, specificare il nome di dominio completo del server del provider di identità nel campo URL applicazione Web. La scelta di una qualsiasi altra opzione, ad esempio Indirizzo IP o Indirizzo IP dell'origine di questa richiesta, non è supportata e può comportare la generazione di un token non valido.

Una volta scaricati i metadati del provider del servizio, contattare gli amministratori della federazione SAML per le istruzioni su come integrare i metadati nel file dei metadati aggregati della federazione. È anche necessario ricevere da loro istruzioni per l'IDP con la federazione.

Designare un account aziendale come amministratore

La modalità di designazione di un account aziendale come amministratore del portale varia a seconda che gli utenti possano iscriversi all'organizzazione Automaticamente oppure Dopo aver aggiunto gli account al portale.

Iscriversi all'organizzazione automaticamente

Se è stata selezionata l'opzione che consente agli utenti di iscriversi all'organizzazione Automaticamente, aprire la home page del Portale Web mentre si è connessi con l'account aziendale che si desidera utilizzare come amministratore del portale.

Al momento dell'aggiunta automatica al portale, all'account viene inizialmente assegnato il ruolo Utente. Il ruolo di un account può essere modificato solo da un amministratore dell'organizzazione, pertanto è necessario accedere al portale utilizzando l'account amministratore iniziale e assegnare il ruolo Amministratore ad un account aziendale.

  1. Aprire il Portale Web, fare clic sull'opzione per effettuare l'accesso tramite un provider di identità SAML, quindi fornire le credenziali dell'account aziendale che si desidera utilizzare come amministratore. Se questo account appartiene ad un altro utente, chiedere a tale utente di effettuare l'accesso al portale per consentire la registrazione dell'account.
  2. Verificare che l'account sia stato aggiunto al portale e fare clic su Disconnetti. Cancellare la cache del browser ed i cookie.
  3. Senza chiudere il browser, aprire il sito web del portale, fare clic sull'opzione per effettuare l'accesso con un account predefinito del portale, quindi fornire le credenziali dell'account iniziale dell'amministratore creato durante la configurazione di Portal for ArcGIS.
  4. Individuare l'account aziendale che si desidera utilizzare per amministrare il portale aziendale e impostare il ruolo su Amministratore. Fare clic su Disconnetti.

L'account aziendale scelto è ora un amministratore del portale.

Aggiungere manualmente account aziendali al portale

Se è stata selezionata l'opzione che consente agli utenti di iscriversi all'organizzazione solo Dopo aver aggiunto gli account al portale, sarà necessario registrare gli account necessari presso l'organizzazione tramite un'utilità da riga di comando o uno script Python di esempio. Accertarsi di avere scelto il ruolo Amministratore per l'account aziendale che si desidera utilizzare per amministrare il portale.

Abbassare di livello o eliminare l'account amministratore iniziale

Dopo la creazione dell'account alternativo dell'amministratore del portale, è possibile assegnare il ruolo Utente all'account amministratore iniziale o eliminare tale account. Per ulteriori informazioni, vedere Informazioni sull'account amministratore iniziale.

Impedire agli utenti di creare i propri account

Dopo aver protetto l'accesso al portale, si consiglia di disabilitare il pulsante Crea account e la pagina di registrazione (signup.html) del Portale Web per impedire agli utenti di creare i propri account. In questo modo tutti i membri possono accedere al portale con l'account e le credenziali aziendali e non verranno creati account predefiniti non necessari. Per istruzioni complete, vedere Disabilitare la funzionalità per consentire agli utenti di creare account predefiniti del portale.

Disabilitare l'accesso con gli account di ArcGIS

Se si desidera impedire agli utenti di accedere al portale utilizzando un account ArcGIS, è possibile disabilitare il pulsante Utilizzando l'account ArcGIS nella pagina di accesso completando la procedura che segue.

  1. Accedere al Sito Web del portale come amministratore dell'organizzazione e fare clic su Organizzazione > Modifica impostazioni > Sicurezza.
  2. Nella sezione Opzioni di accesso, scegliere il pulsante di opzione per Solo account IDP SAML, in cui l'IDP varierà in base a ciò che è stato configurato per il portale.
  3. Fare clic su Salva.

Nella pagina di accesso verrà visualizzato il pulsante per accedere al portale utilizzando un provider di identità e non sarà disponibile il pulsante per accedere Utilizzando l'account ArcGIS. È possibile abilitare nuovamente l'accesso ai membri con account ArcGIS scegliendo Il loro account IDP SAML o account Portal for ArcGIS in Opzioni di accesso, in cui l'IDP e il nome del portale varieranno in base a ciò che è stato configurato.

Modificare o rimuovere il provider di identità SAML

È possibile aggiornare le impostazioni per la federazione utilizzando il pulsante Modificare le credenziali di accesso aziendali o rimuovere la federazione dal portale utilizzando il pulsante Rimuovere le credenziali di accesso aziendali. Questi pulsanti appaiono dopo aver configurato la federazione con il portale. Una volta rimosso, se necessario è possibile configurare un nuovo provider di identità o federazione di provider di identità.