Security Assertion Markup Language (SAML) è uno standard aperto per scambiare in modo sicuro i dati di autenticazione e autorizzazione tra un fornitore di identità aziendale e un fornitore di servizi (in questo caso, Portal for ArcGIS). A tale scopo viene utilizzato l'approccio Single Sign-On Web SAML. Il portale è compatibile con SAML 2.0 e si integra con i provider di identità che supportano il Single Sign-On Web SAML 2. Il vantaggio di impostare SAML è che non c'è bisogno di creare ulteriori login per gli utenti per accedere al tuo ArcGIS Enterprise portale; invece, essi usano il login che è già impostato in un negozio di identità aziendale. Nella documentazione tale processo è descritto come "configurazione di account di accesso aziendali."
Se si desidera, è possibile specificare nel portale i metadati relativi ai gruppi aziendali nell'archivio identità. In questo modo è possibile creare gruppi nel portale che sfruttano i gruppi aziendali esistenti nell'archivio identità. Quando i membri accedono al portale, l'accesso a contenuti, elementi e dati è controllato tramite le regole di appartenenza definite nel gruppo aziendale. Se non si specificano i metadati necessari del gruppo aziendale, è ancora possibile creare gruppi. Tuttavia, le regole di appartenenza verranno controllate dal portaleArcGIS Enterprise e non dall'archivio identità.
Abbina i nomi utenteArcGIS Online presenti nel portale ArcGIS Enterprise.
Se lo stesso provider di identità conforme a SAML è usato nella propria ArcGIS Online organizzazione e nel portale, i nomi degli utenti aziendali possono essere configurati per corrispondere. Tutti i nomi degli utenti aziendali in ArcGIS Online hanno il nome breve dell'organizzazione aggiunto alla fine. Gli stessi nomi utente dell'organizzazione possono essere utilizzati nel portale definendo la proprietà defaultIDPUsernameSuffix nella ArcGIS Enterprise configurazione di sicurezza del portale e impostandola in modo che corrisponda al nome breve dell'organizzazione. Questo è necessario se il tracciamento dell'editor è abilitato su un servizio di funzionalità che è modificato da utenti aziendali sia da ArcGIS Online e dal proprio portale.
Esperienza di accesso SAML
Portal for ArcGIS supporta i login aziendali avviati dal service provider (SP) e i login aziendali avviati dall'identity provider (IDP). L'esperienza di accesso tra l'uno e l'altro è differente.
Account di accesso basati su provider di servizi
Con gli account di accesso basati su provider di servizi, gli utenti accedono direttamente al portale e possono scegliere di effettuare l'accesso con account predefiniti (gestiti dal portale) o tramite account gestiti da provider di identità conformi a SAML. Se l'utente sceglie l'opzione del provider di identità SAML, verrà reindirizzato ad una pagina Web (nota come Gestione accessi aziendale) in cui viene richiesto di immettere un nome utente e una password aziendali. Dopo la verifica del login dell'utente, il fornitore di identità aziendale informa Portal for ArcGIS dell'identità verificata per l'utente che sta effettuando il login, e l'utente viene reindirizzato al sito web del portale.
Se l'utente sceglie l'opzione dell'account predefinito, verrà aperta la pagina di accesso al portale Web di ArcGIS Enterprise. L'utente potrà quindi immettere nome utente e password predefiniti per accedere al sito Web. Questa opzione non potrà essere disabilitata. L'opzione dell'account predefinito può essere usata come opzione fail-safe nel caso in cui il provider di identità conforme a SAML non sia disponibile.
Credenziali di accesso basati su provider di identità
Con gli account di accesso basati su provider di identità, gli utenti accedono direttamente alla Gestione accessi aziendali ed effettuano l'accesso con il proprio account. Quando l'utente invia le informazioni sul proprio account, il provider di identità invia la risposta SAML direttamente aPortal for ArcGIS. L'utente effettua quindi l'accesso e viene reindirizzato al sito Web del portale in cui può immediatamente accedere alle risorse senza dover nuovamente effettuare l'accesso all'organizzazione.
L'opzione per effettuare l'accesso con account predefiniti non è accessibile da Gestione accessi aziendali. Per effettuare l'accesso all'organizzazione con account predefiniti, i membri devono accedere direttamente al Portale Web.
Nota:
Se i login SAML non funzionano a causa di problemi con il tuo provider di identità SAML e hai disabilitato l'opzione degli account integrati, non sarai in grado di accedere al tuo ArcGIS Enterprise portale finché non si riabilita questa opzione. Per maggiori informazioni su come riabilitarla, consultare questa domanda in Problemi comuni e relative soluzioni.
Provider di identità SAML
Portal for ArcGIS supporta tutti i provider di identità conformi a SAML. È possibile trovare istruzioni dettagliate sulla configurazione di alcuni comuni provider di identità conformi a SAML nel repository ArcGIS/idp GitHub.
Il processo di configurazione dei fornitori di identità con ArcGIS Enterprise è descritto di seguito. Prima di procedere, si consiglia di rivolgersi all'amministratore del provider di identità SAML per ottenere i parametri indispensabili per la configurazione.
Informazioni obbligatorie
Portal for ArcGIS richiede che certe informazioni sugli attributi siano ricevute dal fornitore di identità quando un utente accede utilizzando i login aziendali. L'attributo NameID è obbligatorio e deve essere inviato dal proprio fornitore di identità nella risposta SAML per far funzionare la federazione con Portal for ArcGIS funzioni. Quando un utente dell'IDP accede, un nuovo utente con il nome utente NameID sarà creato da Portal for ArcGIS nel suo archivio utenti. I caratteri consentiti per il valore inviato dall'attributo NameID sono alfanumerici, _ (underscore), . (punto), e @ (segno di at). Qualsiasi altro carattere verrà sostituito da caratteri di sottolineatura nel nome utente creato da Portal for ArcGIS.
Portal for ArcGIS supporta l'afflusso del givenName e email address del login aziendale dal fornitore di identità. Quando un utente accede usando un login aziendale, e se Portal for ArcGIS riceve attributi con i nomi givenname e email o mail(in ogni caso), Portal for ArcGIS popola il nome completo e l'indirizzo email dell'account utente con i valori ricevuti dal fornitore di identità. Si raccomanda di passare il parametro email address dal fornitore di identità aziendale, in modo che l'utente possa ricevere le notifiche.
Configurare un portale con un provider di identità SAML
È possibile configurare il portale in modo che gli utenti possano effettuare l’accesso utilizzando il nome utente e la password utilizzati con sistemi locali esistenti. Prima di impostare gli accessi aziendali, è necessario configurare un tipo di utente predefinito per l’organizzazione.
- Accedere al portale Web come amministratore dell'organizzazione e fare clic su Organizzazione > Impostazioni > Sicurezza.
- Nella sezione Accessi aziendali tramite SAML, selezionare l’opzione Un provider di identità, fare clic sul pulsante Configurare le credenziali di accesso aziendali e immettere il nome dell'organizzazione nella finestra che viene visualizzata (ad esempio City of Redlands). Quando gli utenti accedono al sito web del portale, questo testo viene visualizzato come parte dell'opzione di accesso SAML (per esempio, Using your City of Redlands account).
- Scegli se i tuoi utenti potranno unirsi all'organizzazione automaticamente o dopo aver aggiunto gli account al portale. Se si sceglie la prima opzione, gli utenti potranno accedere all'organizzazione con l'account di accesso aziendale senza alcun intervento da parte di un amministratore. L'account viene registrato automaticamente con l'organizzazione al primo accesso. Con la seconda opzione è invece necessario che l'amministratore registri gli account necessari con l'organizzazione usando un'utilità da riga di comando o lo script Python di esempio. Una volta registrati gli account, gli utenti potranno accedere all'organizzazione.
Suggerimento:
Si consiglia di designare almeno un account aziendale come amministratore del portale e di abbassare di livello o eliminare l'account amministratore iniziale. Si raccomanda inoltre di disabilitare il pulsante Crea un account e la pagina di iscrizione (signup.html) nel sito web del portale in modo che le persone non possano creare i propri account. Per istruzioni complete, vedere la sezione Designare un account aziendale come amministratore riportata di seguito.
- Fornire le informazioni dei metadati necessarie sul provider di identità aziendale conforme a SAML. A tale scopo, specificare l'origine a cui il portale dovrà accedere per ottenere le informazioni dei metadati. È possibile trovare istruzioni per ottenere i metadati da provider certificati nel repository ArcGIS/idp GitHub. Sono tre le possibili origini delle informazioni sui metadati:
- Un URL: specificare un URL che restituisce le informazioni dei metadati sul provider di identità.
Nota:
Se il provider di identità aziendale include un certificato autofirmato, potrebbe verificarsi un errore quando si prova a specificare l'URL HTTPS dei metadati. Questo errore si verifica perchéPortal for ArcGIS non è in grado di verificare il certificato autofirmato del provider di identità. In alternativa, utilizzare HTTP nell'URL, una delle opzioni seguenti oppure configurare il provider di identità con un certificato attendibile.
- Un file: caricare un file che contiene le informazioni dei metadati sul provider di identità.
- Parametri specificati: immettere direttamente le informazioni dei metadati sul provider di identità specificando i parametri descritti di seguito.
- URL di accesso (reindirizzamento): immettere l'URL del provider di identità (che supporta l'associazione reindirizzamento HTTP) che verrà usato daPortal for ArcGIS per consentire a un membro di effettuare l'accesso.
- URL di accesso (POST): immettere l'URL del provider di identità (che supporta l'associazione HTTP POST) che verrà usato daPortal for ArcGIS per consentire a un membro di effettuare l'accesso.
- Certificato: specificare il certificato del provider di identità aziendale, codificato in formato BASE 64. Questo è il certificato che permette Portal for ArcGIS di verificare la firma digitale nelle risposte SAML inviate dal fornitore di identità aziendale.
Nota:
Per informazioni sull'origine delle informazioni dei metadati da specificare, contattare l'amministratore del provider di identità.
- Un URL: specificare un URL che restituisce le informazioni dei metadati sul provider di identità.
- Per completare il processo di configurazione e stabilire la relazione di trust con il provider di identità, registrare i metadati del provider di servizi del portale presso il provider di identità aziendale. Esistono due modi per ottenere i metadati dal portale.
- Nella sezione Protezione della scheda Impostazioni dell'organizzazione, fare clic sul pulsante Ottieni provider di servizi. Questo mostra i metadati per la tua organizzazione, che puoi salvare come .xml sul tuo computer.
- Aprire l'URL dei metadati e salvare come .xml sul tuo computer. L'URL è https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, ad esempio, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Per generare un token, è possibile utilizzare https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Quando si immette l'URL nella pagina Genera token, specificare il nome di dominio completo del server del provider di identità nel campo URL applicazione Web. La scelta di qualsiasi altra opzione, ad esempio Indirizzo IP o Indirizzo IP dell'origine di questa richiesta, non è supportata e può comportare la generazione di un token non valido.
È possibile trovare istruzioni per la registrazione dei metadati del provider di servizi del portale nel con provider certificati nel repository ArcGIS/idp GitHub.
- Configurare le impostazioni avanzate, laddove applicabile:
- Crittografare l'asserzione: selezionare questa opzione per indicare al fornitore di identità SAML che Portal for ArcGIS supporta le risposte di asserzione SAML criptate. Quando questa opzione è selezionata, il provider di identità eseguirà la crittografia della sezione di asserzione delle risposte SAML. Tutto il traffico SAML verso e daPortal for ArcGIS è già crittografato dall'utilizzo di HTTPS, ma questa opzione aggiunge un altro layer di crittografia.
- Abilita la richiesta firmata: selezionare questa opzione per avere Portal for ArcGIS firmare la richiesta di autenticazione SAML inviata al fornitore di identità. La firma della richiesta di accesso iniziale inviata daPortal for ArcGIS consente al provider di identità di verificare tutte le richieste di accesso originate da un provider di servizi attendibile.
- Propagare il logout all'Identity Provider: selezionare questa opzione per avere Portal for ArcGIS utilizzare un URL di logout per far uscire l'utente dal fornitore di identità. Immettere l'URL da utilizzare nell'impostazione URL di disconnessione. Se il provider di identità richiede che l'URL di disconnessione sia firmato, anche l'opzione Abilita richiesta firmata deve essere selezionata. Quando questa opzione non è selezionata, facendo clic su Disconnetti in Portal for ArcGIS, si eseguirà la disconnessione dell'utente daPortal for ArcGIS ma non dal provider di identità. Se la cache del browser web dell'utente non viene cancellata, il tentativo di accedere immediatamente di nuovo a Portal for ArcGIS usando l'opzione di login aziendale, si otterrà un login immediato senza bisogno di fornire le credenziali dell'utente al fornitore di identità SAML. Questa è una vulnerabilità di sicurezza che può essere sfruttata quando si usa un computer che è facilmente accessibile a utenti non autorizzati o al pubblico.
- Aggiorna i profili all'accesso: seleziona questa opzione per avere Portal for ArcGIS aggiornare i profili degli utenti givenName e email address se sono cambiati dal loro ultimo accesso. Per impostazione predefinita, questa opzione è selezionata.
- Abilita l'appartenenza al gruppo basata su SAML: seleziona questa opzione per consentire agli amministratori del portale di collegare i gruppi nel tuo provider di identità SAML ai gruppi creati nel tuo ArcGIS Enterprise portale. Quando questa opzione è selezionata,Portal for ArcGIS analizza la risposta all'asserzione SAML per stabilire a quali gruppi appartiene un membro. Puoi quindi specificare uno o più gruppi aziendali forniti dal tuo fornitore di identità per Chi può unirsi a questo gruppo? quando crei un gruppo nel tuo portale. Per impostazione predefinita, questa funzionalità non è selezionata.
- URL di disconnessione: immettere l'URL del provider di identità da utilizzare per disconnettere l'utente attualmente connesso. Se si specifica questa proprietà nel file di metadati del provider di identità, questa viene impostata automaticamente.
- ID entità: aggiornare questo valore per utilizzare un nuovo ID entità per identificare in maniera univoca l'organizzazionePortal for ArcGIS al provider di identità SAML.
Configurare un IDP conforme a SAML per un portale in alta affidabilità
Portal for ArcGIS utilizza un certificato con alias samlcert quando si inviano richieste firmate (login e logout) all'IDP, e quando si decodificano risposte criptate dall'IDP. Se si sta configurando un portale ArcGIS Enterprise ad alta affidabilità e si sta utilizzando un IDP conforme a SAML, è necessario assicurarsi che ogni istanza di Portal for ArcGIS utilizzi lo stesso certificato durante la comunicazione con l'IDP.
Il modo migliore per assicurarsi che tutte le istanze utilizzino un certificato identico per SAML è generare un nuovo certificato con alias samlcert e importarlo in ogni istanza di Portal for ArcGIS nell'installazione ad alta affidabilità.
- Effettuare l'accesso a Portal Administrator Directory su https://example.domain.com:7443/arcgis/portaladmin.
- Sfogliare fino a Sicurezza > sslcertificates e poi cliccate sul certificato samlcert certificato.
- Fare clic su elimina.
- Ripetere i passaggi da 1 a 3 per eliminare i certificati samlcert esistenti in tutte le istanze del portale ad alta affidabilità.
- Generare un nuovo certificato autofirmato da ArcGIS Portal Administrator Directory.
- Quando si configura il certificato, specificare samlcert come alias, e il nome dell'host del bilanciatore di carico della vostra implementazione come Nome comune e alias DNS nel Soggetto Nome Alternativo.
- Quando il certificato è stato generato, esportarlo in un file .pfx:
- Avviare una sessione del terminale e autenticarsi come utente che ha installato Portal for ArcGIS.
- Dalla linea di comando, navigare fino alla cartella <Portal installation location>/etc/ssl.
- Digitare il seguente comando per esportare il samlcert nel formato file .pfx:
..../framework/runtime/jre/bin/keytool.exe -importkeystore -srckeystore portal.ks -destkeystore samlcert.pfx -srcstoretype JKS -deststoretype PKCS12 -srcstorepass portal.secret -deststorepass password -srcalias samlcert -destalias samlcert -destkeypass password
- Importare il nuovo certificato in ogni istanza di Portal for ArcGIS dalla pagina Sicurezza > sslcertificates > Importa Certificato Server Esistente.
- Riavviare Portal for ArcGIS su ogni istanza del portale ad alta affidabilità.
È possibile usare il file dei metadati del provider del servizio nel portale ArcGIS Enterprise per verificare che i certificati in uso per la comunicaznone con l'IDP SAML siano gli stessi nel portale ad alta affidabilità.
- Dalla scheda Organizzazione, vai a Modifica impostazioni > Sicurezza.
- Nell'elemento Accessi Enterprise tramite SAML nella pagina Sicurezza, cliccare Modifica Provider d'Identità. Aprite il menu Mostra impostazioni avanzate e assicuratevi che l'opzione Crittografia asserzione sia selezionata. Se non lo è, selezionarla e cliccare Aggiorna Provider d'Identità per salvare le modifiche.
- Ritornare agli elementi Accessi Enterprise tramite SAML e selezionare Ottieni Provider di Servizio. Ciò esporterà i metadati del provider di servizio come file .xml nel computer.
- Aprire il file .xml scaricato. Assicurarsi che la seguente frase sia presente: <md:KeyDescriptor use="encryption">. Ciò indica che il certificato per la crittografia è presente.
- Notare i valori nella sottosezione <ds:KeyInfo>.
- Ripetere questi passaggi per ogni istanza di Portal for ArcGIS in ogni computer dell'installazione per ottenere i file metadati del provider di servizio di ognuno.
I file metadati esportati devono avere tutti le stesse informazioni nella sottosezione <ds:KeyInfo>, indicando che lo stesso certificato è in uso in ogni istanza di Portal for ArcGIS durante la comunicazione con l'IDP conforme a SAML.
Designare un account aziendale come amministratore
La modalità di designazione di un account aziendale come amministratore del portale varia a seconda che gli utenti possano iscriversi all'organizzazione Automaticamente oppure Dopo aver aggiunto gli account al portale.
Iscriversi all'organizzazione automaticamente
Se è stata selezionata l'opzione che consente agli utenti di iscriversi all'organizzazione Automaticamente, aprire la home page del Portale Web mentre si è connessi con l'account aziendale che si desidera utilizzare come amministratore del portale.
Al momento dell'aggiunta automatica al portale, all'account viene inizialmente assegnato il ruolo Utente. Il ruolo di un account può essere modificato solo da un amministratore dell'organizzazione, pertanto è necessario accedere al portale utilizzando l'account amministratore iniziale e assegnare il ruolo Amministratore ad un account aziendale.
- Aprire il Portale Web, fare clic sull'opzione per effettuare l'accesso tramite un provider di identità SAML, quindi fornire le credenziali dell'account aziendale che si desidera utilizzare come amministratore. Se questo account appartiene ad un altro utente, chiedere a tale utente di effettuare l'accesso al portale per consentire la registrazione dell'account.
- Verificare che l'account sia stato aggiunto al portale e fare clic su Disconnetti. Cancellare la cache del browser ed i cookie.
- Senza chiudere il browser, aprire il sito Web del portale, fare clic sull'opzione per effettuare l'accesso con un account predefinito del portale, quindi fornire le credenziali dell'account iniziale dell'amministratore creato durante la configurazione di Portal for ArcGIS.
- Individuare l'account aziendale che si desidera utilizzare per amministrare il portale aziendale e impostare il ruolo su Amministratore. Fare clic su Disconnetti.
L'account aziendale scelto è ora un amministratore del portale.
Aggiungere manualmente account aziendali al portale
Se è stata selezionata l'opzione che consente agli utenti di iscriversi all'organizzazione solo Dopo aver aggiunto gli account al portale, sarà necessario registrare gli account necessari presso l'organizzazione tramite un'utilità da riga di comando o uno script Python di esempio. Accertarsi di avere scelto il ruolo Amministratore per l'account aziendale che si desidera utilizzare per amministrare il portale.
Abbassare di livello o eliminare l'account amministratore iniziale
Dopo la creazione dell'account alternativo dell'amministratore del portale, è possibile assegnare il ruolo Utente all'account amministratore iniziale o eliminare tale account. Per ulteriori informazioni, vedere Informazioni sull'account amministratore iniziale.
Impedire agli utenti di creare i propri account
Dopo aver assicurato l'accesso al tuo portale, si raccomanda di disabilitare il pulsante Crea un account e la pagina di iscrizione (signup.html) nel sito web del portale in modo che le persone non possano creare i propri account. In questo modo tutti i membri possono accedere al portale con l'account e le credenziali aziendali e non verranno creati account predefiniti non necessari. Per istruzioni complete, vedere Disabilitare la funzionalità per consentire agli utenti di creare account predefiniti del portale.
Disabilitare l'accesso con gli account di ArcGIS
Se si desidera impedire agli utenti di accedere al portale utilizzando un account ArcGIS, è possibile disabilitare il pulsante Utilizzando l'account ArcGIS nella pagina di accesso. A tale scopo, attenersi alla procedura seguente.
- Accedere al Sito Web del portale come amministratore dell'organizzazione e fare clic su Organizzazione > Modifica impostazioni > Sicurezza.
- Nella sezione Opzioni di accesso, scegliere il pulsante di opzione per Solo account IDP SAML, in cui l'IDP varierà in base a ciò che è stato configurato per il portale.
- Fare clic su Salva.
Nella pagina di accesso verrà visualizzato il pulsante per accedere al portale utilizzando un provider di identità e non sarà disponibile il pulsante per accedere Utilizzando l'account ArcGIS. È possibile abilitare nuovamente l'accesso ai membri con account ArcGIS scegliendo Il loro account IDP SAML o account Portal for ArcGIS in Opzioni di accesso, in cui l'IDP e il nome del portale varieranno in base a ciò che è stato configurato.
Modificare il provider di identità SAML
Per modificare o rimuovere il provider di identità attualmente registrato, utilizzare i pulsanti Modificare le credenziali di accesso aziendali e Rimuovi provider di identità. Tali pulsanti verranno abilitati solo dopo aver configurato un provider di identità conforme a SAML. Dopo aver rimosso il provider, se necessario è possibile configurarne uno nuovo.