L’organizzazione può utilizzare Security Assertion Markup Language (SAML) per autenticare i suoi utenti di computer e autorizzare l'accesso alle sue risorse abilitate per il Web. Per fare ciò, un provider di identità conforme a SAML (IDP) è configurato per gestire l'autenticazione dell'utente. Le risorse Web dell'organizzazione sono ospitate su uno o più fornitori di servizi, che gestiscono l'autorizzazione di accesso alle risorse Web. L'organizzazione ha il pieno controllo della gestione del suo IDP e dei fornitori di servizi. Per supportare l'autenticazione e l'autorizzazione basate su SAML, è necessario che tutti i fornitori di servizi dell'organizzazione siano registrati per lavorare con l’IDP. Ogni fornitore di servizi può essere registrato solo con un IDP.
È inoltre possibile utilizzare SAML per condividere le risorse tra più organizzazioni governate in modo indipendente. Ciò è reso possibile dalle entità di gestione della federazione, che abilitano la condivisione di risorse basata su SAML tra le relative organizzazioni membro. Un'organizzazione membro che desidera condividere le proprie risorse Web con la federazione riserva a uno o più fornitori di servizi di lavorare esclusivamente all'interno della federazione. Per accedere a una risorsa protetta condivisa con la federazione, un utente autentica l’identità con l'IDP dell’organizzazione. Una volta autenticata correttamente, questa identità convalidata viene presentata al provider di servizi che ospita la risorsa protetta. Il provider di servizi concede quindi l'accesso alla risorsa dopo aver verificato i privilegi di accesso dell'utente.
A partire dalla versione 10.6.1, il portale ArcGIS Enterprise può essere configurato con una federazione di IDP basata su SAML. Il portale accede al servizio di ricerca ospitato dalla federazione, che fornisce un elenco dei provider di identità e dei provider di servizi che partecipano alla federazione.
Alcune federazioni comuni di provider di identità basato su SAML sono InCommon, eduGAIN, SWITCHaai, DFN-AAI e UK Access Management Federation.
Configurare la federazione con il portale
Per configurare una federazione di provider di identità (IDP) basata su SAML con il portale, attenersi alla procedura seguente:
- Accedere al Sito Web del portale come amministratore e fare clic su Organizzazione > Impostazioni > Sicurezza.
- Nella sezione Accessi, in Aziendale, fare clic sul pulsante Impostare accesso aziendale e selezionare l'opzione Una federazione di provider di identità. Nella pagina Specificare proprietà, immettere il nome della federazione. La descrizione viene visualizzata dagli utenti che accedono al sito Web del portale come parte dell'opzione di accesso SAML.
- Scegliere il modo in cui gli utenti possono iscriversi all’organizzazione del portale:
- Automaticamente: consente agli utenti di accedere all'organizzazione con accesso enterprise senza alcuna autorizzazione da parte di un amministratore, in quanto l'account viene registrato automaticamente con il portale al primo accesso
- Su invito di un amministratore: richiede che l'amministratore del portale registri gli account necessari con l'organizzazione usando un’utilità da riga di comando o lo script Python
Nota:
Esri consiglia di designare almeno un account aziendale come amministratore del portale e di disabilitare il pulsante Crea account nel sito Web del portale per impedire agli utenti di creare i propri account. Per ulteriori informazioni, vedere la sezione Designare un account aziendale come amministratore riportata di seguito.
- Fornire l'URL al servizio di ricerca IDP centralizzato ospitato dalla federazione, ad esempio https://wayf.samplefederation.com/WAYF.
- Fornire l'URL ai metadati di federazione, un'aggregazione dei metadati di tutti i provider di identità e dei provider di servizi che partecipano alla federazione.
- Copiare e incollare il certificato, codificato in formato Base64, che consente al portale di verificare la validità dei metadati di federazione.
- Configurare le impostazioni avanzate, laddove applicabile:
- Crittografare asserzione: abilitare questa opzione per indicare al provider di identità SAML che il portale supporta risposte all'asserzione SAML crittografate. Quando questa opzione è selezionata, il provider di identità eseguirà la crittografia della sezione di asserzione della risposta SAML. Tutto il traffico SAML verso e dal portale è già crittografato dall'utilizzo di HTTPS, ma questa opzione aggiunge un altro layer di crittografia.
- Abilita richiesta firmata: abilitare questa opzione per consentire al portale di firmare la richiesta di autenticazione SAML inviata all'IDP. La firma della richiesta di accesso iniziale inviata dal portale consente all'IDP di verificare tutte le richieste di accesso originate da un provider di servizi attendibile.
- Propaga logout a provider di identità: abilitare questa opzione per consentire al portale di utilizzare un URL di disconnessione per disconnettere l'utente dall'IDP. Se la si seleziona, immettere l'URL da utilizzare nell'impostazione URL di disconnessione. Se l'IDP richiede che l'URL di disconnessione sia firmato, anche l'opzione Abilita richiesta firmata deve essere selezionata. Se questa opzione non è selezionata, facendo clic su Disconnetti nel sito Web del portale, si eseguirà la disconnessione dell'utente dal portale, ma non dall’IDP. Se la cache del browser Web dell'utente non viene cancellata, il tentativo di eseguire immediatamente l'accesso al portale utilizzando l'opzione di accesso enterprise causa un accesso immediato senza necessità di fornire credenziali all'IDP. Questa è una vulnerabilità di protezione che può essere sfruttata quando si utilizza un computer facilmente accessibile ad utenti non autorizzati o al pubblico.
- Aggiorna profilo all'accesso: abilitare questa opzione perché il portale aggiorni gli attributi givenName e indirizzo e-mail degli utenti se sono cambiati rispetto all'ultimo accesso. Per impostazione predefinita, questa opzione è selezionata.
- ID entità: aggiornare questo valore per utilizzare un nuovo ID entità e identificare in maniera univoca l'organizzazione del portale nella federazione SAML.
Registrare il portale con la federazione SAML come provider di servizi attendibili
Per completare il processo di configurazione, stabilire la relazione di fiducia con il servizio di ricerca della federazione e l'IDP dell’organizzazione registrando i metadati del provider di servizi del portale con essi. I metadati si possono ottenere in due modi:
- Nella sezione Sicurezza della pagina Impostazioni dell'organizzazione, fare clic sul pulsante Scarica metadati del provider di servizi per scaricare il file di metadati del provider di servizi per l'organizzazione.
- Aprire l'URL dei metadati e salvarlo in formato XML sul proprio computer. L'URL è https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, ad esempio https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Per generare un token, è possibile utilizzare https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Quando si immette l'URL nella pagina Genera token, specificare il nome di dominio completo del server del provider di identità nel campo URL applicazione Web. La scelta di una qualsiasi altra opzione, ad esempio Indirizzo IP o Indirizzo IP dell'origine di questa richiesta, non è supportata e può comportare la generazione di un token non valido.
Una volta scaricati i metadati del provider del servizio, contattare gli amministratori della federazione SAML per le istruzioni su come integrare i metadati nel file dei metadati aggregati della federazione. È anche necessario ricevere da loro istruzioni per l'IDP con la federazione.
Designare un account aziendale come amministratore
La modalità di designazione di un account aziendale come amministratore del portale varia a seconda che gli utenti possano iscriversi all'organizzazione Automaticamente oppure Su invito di un amministratore.
Iscriversi all'organizzazione automaticamente
Se è stata selezionata l'opzione che consente agli utenti di iscriversi all'organizzazione Automaticamente, aprire la home page del Portale Web mentre si è connessi con l'account aziendale che si desidera utilizzare come amministratore del portale.
Al momento dell'aggiunta automatica al portale, all'account viene inizialmente assegnato il ruolo Utente. Il ruolo di un account può essere modificato solo da un amministratore dell'organizzazione, pertanto è necessario accedere al portale utilizzando l'account amministratore iniziale e assegnare il ruolo Amministratore ad un account aziendale.
- Aprire il Portale Web, fare clic sull'opzione per effettuare l'accesso tramite un provider di identità SAML, quindi fornire le credenziali dell'account aziendale che si desidera utilizzare come amministratore. Se questo account appartiene ad un altro utente, chiedere a tale utente di effettuare l'accesso al portale per consentire la registrazione dell'account.
- Verificare che l'account sia stato aggiunto al portale e fare clic su Disconnetti. Cancellare la cache del browser ed i cookie.
- Senza chiudere il browser, aprire il sito web del portale, fare clic sull'opzione per effettuare l'accesso con un account predefinito del portale, quindi fornire le credenziali dell'account iniziale dell'amministratore creato durante la configurazione di Portal for ArcGIS.
- Individuare l'account aziendale che si desidera utilizzare per amministrare il portale aziendale e impostare il ruolo su Amministratore. Fare clic su Disconnetti.
L'account aziendale scelto è ora un amministratore del portale.
Aggiungere manualmente account aziendali al portale
Se è stata selezionata l'opzione che consente agli utenti di iscriversi all'organizzazione solo Su invito di un amministratore, sarà necessario registrare gli account necessari presso l'organizzazione tramite un'utilità da riga di comando o uno script Python di esempio. Accertarsi di avere scelto il ruolo Amministratore per l'account aziendale che si desidera utilizzare per amministrare il portale.
Abbassare di livello o eliminare l'account amministratore iniziale
Dopo la creazione dell'account alternativo dell'amministratore del portale, è possibile assegnare il ruolo Utente all'account amministratore iniziale o eliminare tale account. Per ulteriori informazioni, vedere Informazioni sull'account amministratore iniziale.
Impedire agli utenti di creare i propri account
È possibile impedire agli utenti di creare i propri account predefiniti disabilitando la possibilità per gli utenti di creare nuovi account predefiniti nelle impostazioni dell'organizzazione.
Disabilitare l'accesso con gli account di ArcGIS
Se si desidera impedire agli utenti di accedere al portale utilizzando un account ArcGIS, è possibile disabilitare il pulsante Utilizzando l'account ArcGIS nella pagina di accesso completando la procedura che segue.
- Accedere al portale Web come amministratore dell'organizzazione e fare clic su Organizzazione > Impostazioni > Sicurezza.
- Nella sezione Accessi, in Opzioni di accesso, disabilitare il selettore per Accessi <Nome dell'organizzazione>.
Nella pagina di accesso verrà visualizzato il pulsante per accedere al portale utilizzando un provider di identità e non sarà disponibile il pulsante per accedere Utilizzando l'account ArcGIS. È possibile riabilitare gli accessi per i membri con gli account ArcGIS attivando Accessi <Nome dell'organizzazione> in Accessi > Opzioni di accesso.
Modificare o rimuovere il provider di identità SAML
Una volta configurata un federazione, è possibile aggiornare le sue impostazioni facendo clic sul pulsante Altre opzioni accanto ad esso e facendo clic su Modifica. Aggiornare le impostazioni nella finestra Modificare accesso aziendale. Questi pulsanti appaiono dopo aver configurato la federazione con il portale.
Per rimuovere la federazione dal proprio portale, fare clic sul pulsante Altre opzioni accanto ad esso e fare clic su Elimina. Una volta rimosso, se necessario è possibile configurare un nuovo provider di identità o federazione di provider di identità.