Skip To Content

Configurare un provider di identità conforme a SAML con il portale

Security Assertion Markup Language (SAML) è uno standard aperto per scambiare in modo sicuro i dati di autenticazione e autorizzazione tra un fornitore di identità aziendale e un fornitore di servizi (in questo caso, Portal for ArcGIS). A tale scopo viene utilizzato l'approccio Single Sign-On Web SAML.

Il portale è compatibile con SAML 2.0 e si integra con i provider di identità che supportano il Single Sign-On Web SAML 2. Il vantaggio di impostare SAML è che non c'è bisogno di creare ulteriori login per gli utenti per accedere al tuo ArcGIS Enterprise portale; invece, essi usano il login che è già impostato in un negozio di identità aziendale. Nella documentazione tale processo è descritto come "configurazione di account di accesso aziendali."

Se si desidera, è possibile specificare nel portale i metadati relativi ai gruppi aziendali nell'archivio identità. In questo modo è possibile creare gruppi nel portale che sfruttano i gruppi aziendali esistenti nell'archivio identità.

Quando i membri accedono al portale, l'accesso a contenuti, elementi e dati è controllato tramite le regole di appartenenza definite nel gruppo aziendale. Se non si specificano i metadati necessari del gruppo aziendale, è ancora possibile creare gruppi. Tuttavia, le regole di appartenenza verranno controllate dal portaleArcGIS Enterprise e non dall'archivio identità.

Nota:

A partire dalla versione 10.6.1, con il portale è inoltre possibile configurare una federazione di provider di identità basati su SAML.

Abbina i nomi utenteArcGIS Online presenti nel portale ArcGIS Enterprise.

Se lo stesso provider di identità conforme a SAML è usato nella propria ArcGIS Online organizzazione e nel portale, i nomi degli utenti aziendali possono essere configurati per corrispondere. Tutti i nomi degli utenti aziendali in ArcGIS Online hanno il nome breve dell'organizzazione aggiunto alla fine. Gli stessi nomi utente dell'organizzazione possono essere utilizzati nel portale definendo la proprietà defaultIDPUsernameSuffix nella ArcGIS Enterprise configurazione di sicurezza del portale e impostandola in modo che corrisponda al nome breve dell'organizzazione. Questo è necessario se il tracciamento dell'editor è abilitato su un servizio di funzionalità che è modificato da utenti aziendali sia da ArcGIS Online e dal proprio portale.

Esperienza di accesso SAML

Portal for ArcGIS supporta i login aziendali avviati dal service provider (SP) e i login aziendali avviati dall'identity provider (IDP). L'esperienza di accesso tra l'uno e l'altro è differente.

Account di accesso basati su provider di servizi

Con gli account di accesso basati su provider di servizi, gli utenti accedono direttamente al portale e possono scegliere di effettuare l'accesso con account predefiniti (gestiti dal portale) o tramite account gestiti da provider di identità conformi a SAML. Se l'utente sceglie l'opzione del provider di identità SAML, verrà reindirizzato ad una pagina Web (nota come Gestione accessi aziendale) in cui viene richiesto di immettere un nome utente e una password aziendali. Dopo la verifica del login dell'utente, il fornitore di identità aziendale informa Portal for ArcGIS dell'identità verificata per l'utente che sta effettuando il login, e l'utente viene reindirizzato al sito web del portale.

Se l'utente sceglie l'opzione dell'account predefinito, verrà aperta la pagina di accesso al portale Web di ArcGIS Enterprise. L'utente potrà quindi immettere nome utente e password predefiniti per accedere al sito Web. L'opzione dell'account predefinito può essere usata come opzione fail-safe nel caso in cui il provider di identità conforme a SAML non sia disponibile, a condizione che l'opzione per accedere con un account ArcGIS non sia stata disabilitata.

Credenziali di accesso basati su provider di identità

Con gli account di accesso basati su provider di identità, gli utenti accedono direttamente alla Gestione accessi aziendali ed effettuano l'accesso con il proprio account. Quando l'utente invia le informazioni sul proprio account, il provider di identità invia la risposta SAML direttamente aPortal for ArcGIS. L'utente effettua quindi l'accesso e viene reindirizzato al sito Web del portale in cui può immediatamente accedere alle risorse senza dover nuovamente effettuare l'accesso all'organizzazione.

L'opzione per effettuare l'accesso con account predefiniti non è accessibile da Gestione accessi aziendali. Per effettuare l'accesso all'organizzazione con account predefiniti, i membri devono accedere direttamente al Portale Web.

Nota:

Se i login SAML non funzionano a causa di problemi con il tuo provider di identità SAML e hai disabilitato l'opzione degli account integrati, non sarai in grado di accedere al tuo ArcGIS Enterprise portale finché non si riabilita questa opzione. Per maggiori informazioni su come riabilitarla, consultare questa domanda in Problemi comuni e relative soluzioni.

Provider di identità SAML

Portal for ArcGIS supporta tutti i provider di identità conformi a SAML. È possibile trovare istruzioni dettagliate sulla configurazione di alcuni comuni provider di identità conformi a SAML nel repository ArcGIS/idp GitHub.

Il processo di configurazione dei fornitori di identità con ArcGIS Enterprise è descritto di seguito. Prima di procedere, si consiglia di rivolgersi all'amministratore del provider di identità SAML per ottenere i parametri indispensabili per la configurazione. Ad esempio, se l'organizzazione utilizza Microsoft Active Directory, l'amministratore responsabile di questo servizio è la persona da contattare per configurare o abilitare SAML sul lato del provider di identità specifico dell'organizzazione e per ottenere i parametri necessari per la configurazione sul lato del portale.

Informazioni obbligatorie

Portal for ArcGIS richiede che informazioni specifiche sugli attributi siano ricevute dall'IDP quando un utente esegue l'accesso utilizzando gli account SAML. L'attributo NameID è obbligatorio e deve essere inviato dall'IDP nella risposta SAML affinché la federazione con Portal for ArcGIS funzioni. Dal momento che Portal for ArcGIS usa il valore di NameID per identificare in modo univoco un utente con nome, si consiglia di usare un valore costante che identifica l'utente in modo univoco. Quando un utente di IDP effettua l'accesso, NameID crea un nuovo utente con il nome utente Portal for ArcGIS nel proprio archivio utenti. Per il valore inviato da NameID sono consentiti solo caratteri alfanumerici, _ (carattere di sottolineatura), . (punto) e @ (chiocciola). Qualsiasi altro carattere verrà sostituito da caratteri di sottolineatura nel nome utente creato da Portal for ArcGIS.

Portal for ArcGIS supporta l'afflusso dell'indirizzo e-mail di un utente, l'appartenenza al gruppo, un nome fornito e il cognome provenienti dal provider di identità SAML.

Configurare un portale con un provider di identità SAML

È possibile configurare il portale in modo che gli utenti possano effettuare l’accesso utilizzando il nome utente e la password utilizzati con sistemi locali esistenti. Prima di impostare gli accessi aziendali, è necessario configurare un tipo di utente predefinito per l’organizzazione.

  1. Accedere al portale Web come amministratore dell'organizzazione e fare clic su Organizzazione > Impostazioni > Sicurezza.
  2. Nella sezione Accessi, in Enterprise, fare clic sul pulsante Impostare accesso aziendale e selezionare l'opzione Un provider di identità. Nella pagina Specificare proprietà, digitare il nome dell'organizzazione (ad esempio, City of Redlands). Quando gli utenti accedono al sito web del portale, questo testo viene visualizzato come parte dell'opzione di accesso SAML (per esempio, Using your City of Redlands account).
  3. Scegli se i tuoi utenti potranno unirsi all'organizzazione automaticamente o su invito di un amministratore. Se si sceglie la prima opzione, gli utenti potranno accedere all'organizzazione con l'account di accesso aziendale senza alcun intervento da parte di un amministratore. L'account viene registrato automaticamente con l'organizzazione al primo accesso. Con la seconda opzione è invece necessario che l'amministratore registri gli account necessari con l'organizzazione usando un'utilità da riga di comando o lo script Python di esempio. Una volta registrati gli account, gli utenti potranno accedere all'organizzazione.
    Suggerimento:

    Si consiglia di designare almeno un account aziendale come amministratore del portale e di abbassare di livello o eliminare l'account amministratore iniziale. Si consiglia inoltre di disabilitare il pulsante Crea account nel sito Web del portale per impedire agli utenti di creare i propri account. Per istruzioni complete, vedere la sezione Designare un account aziendale come amministratore riportata di seguito.

  4. Fornire le informazioni dei metadati necessarie sul provider di identità aziendale conforme a SAML. A tale scopo, specificare l'origine a cui il portale dovrà accedere per ottenere le informazioni dei metadati. È possibile trovare istruzioni per ottenere i metadati da provider certificati nel repository ArcGIS/idp GitHub. Sono tre le possibili origini delle informazioni sui metadati:
    • Un URL: specificare un URL che restituisce le informazioni dei metadati sul provider di identità.
      Nota:

      Se il provider di identità aziendale include un certificato autofirmato, potrebbe verificarsi un errore quando si prova a specificare l'URL HTTPS dei metadati. Questo errore si verifica perchéPortal for ArcGIS non è in grado di verificare il certificato autofirmato del provider di identità. In alternativa, utilizzare HTTP nell'URL, una delle opzioni seguenti oppure configurare il provider di identità con un certificato attendibile.

    • Un file: caricare un file che contiene le informazioni dei metadati sul provider di identità.
    • Parametri specificati: immettere direttamente le informazioni dei metadati sul provider di identità specificando i parametri descritti di seguito.
      • URL di accesso (reindirizzamento): immettere l'URL del provider di identità (che supporta l'associazione reindirizzamento HTTP) che verrà usato daPortal for ArcGIS per consentire a un membro di effettuare l'accesso.
      • URL di accesso (POST): immettere l'URL del provider di identità (che supporta l'associazione HTTP POST) che verrà usato daPortal for ArcGIS per consentire a un membro di effettuare l'accesso.
      • Certificato: specificare il certificato del provider di identità aziendale, codificato in formato BASE 64. Questo è il certificato che permette Portal for ArcGIS di verificare la firma digitale nelle risposte SAML inviate dal fornitore di identità aziendale.
    Nota:

    Per informazioni sull'origine delle informazioni dei metadati da specificare, contattare l'amministratore del provider di identità.

  5. Per completare il processo di configurazione e stabilire la relazione di trust con il provider di identità, registrare i metadati del provider di servizi del portale presso il provider di identità aziendale. Esistono due modi per ottenere i metadati dal portale.
    • Nella sezione Sicurezza della scheda Impostazioni dell'organizzazione, fare clic sul pulsante Scarica metadati del provider di servizi per scaricare il file di metadati del provider di servizi per l'organizzazione.
    • Aprire l'URL dei metadati e salvare come .xml sul tuo computer. L'URL è https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, ad esempio, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Per generare un token, è possibile utilizzare https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Quando si immette l'URL nella pagina Genera token, specificare il nome di dominio completo del server del provider di identità nel campo URL applicazione Web. La scelta di qualsiasi altra opzione, ad esempio Indirizzo IP o Indirizzo IP dell'origine di questa richiesta, non è supportata e può comportare la generazione di un token non valido.

    È possibile trovare istruzioni per la registrazione dei metadati del provider di servizi del portale nel con provider certificati nel repository ArcGIS/idp GitHub.

  6. Configurare le impostazioni avanzate, laddove applicabile:
    • Crittografare asserzione: abilitare questa opzione per indicare al provider di identità SAML chePortal for ArcGIS supporta risposte all'asserzione SAML crittografate. Quando questa opzione è selezionata, il provider di identità eseguirà la crittografia della sezione di asserzione delle risposte SAML. Tutto il traffico SAML verso e daPortal for ArcGIS è già crittografato dall'utilizzo di HTTPS, ma questa opzione aggiunge un altro layer di crittografia.
    • Abilita richiesta firmata: abilitare questa opzione per consentire aPortal for ArcGIS di firmare la richiesta di autenticazione SAML inviata al provider di identità. La firma della richiesta di accesso iniziale inviata daPortal for ArcGIS consente al provider di identità di verificare tutte le richieste di accesso originate da un provider di servizi attendibile.
    • Propaga logout a provider di identità: abilitare questa opzione per consentire aPortal for ArcGIS di utilizzare un URL di disconnessione per disconnettere l'utente dal provider di identità. Immettere l'URL da utilizzare nell'impostazione URL di disconnessione. Se il provider di identità richiede che l'URL di disconnessione sia firmato, anche l'opzione Abilita richiesta firmata deve essere selezionata. Quando questa opzione non è selezionata, facendo clic su Disconnetti in Portal for ArcGIS, si eseguirà la disconnessione dell'utente daPortal for ArcGIS ma non dal provider di identità. Se la cache del browser web dell'utente non viene cancellata, il tentativo di accedere immediatamente di nuovo a Portal for ArcGIS usando l'opzione di login aziendale, si otterrà un login immediato senza bisogno di fornire le credenziali dell'utente al fornitore di identità SAML. Questa è una vulnerabilità di sicurezza che può essere sfruttata quando si usa un computer che è facilmente accessibile a utenti non autorizzati o al pubblico.
    • Aggiorna profilo all'accesso: abilitare questa opzione perchéPortal for ArcGIS aggiorni gligivenName attributi eemail address gli utenti se sono cambiati rispetto all'ultimo accesso. Per impostazione predefinita, questa opzione è selezionata.
    • Abilita appartenenza al gruppo basata su SAML: abilitare questa opzione per consentire agli amministratori del portale di collegare i gruppi nel provider di identità SAML ai gruppi creati nel portale ArcGIS Enterprise. Quando questa opzione è selezionata,Portal for ArcGIS analizza la risposta all'asserzione SAML per stabilire a quali gruppi appartiene un membro. Puoi quindi specificare uno o più gruppi aziendali forniti dal tuo fornitore di identità per Chi può unirsi a questo gruppo? quando crei un gruppo nel tuo portale. Per impostazione predefinita, questa funzionalità non è selezionata.
    • URL di disconnessione: immettere l'URL del provider di identità da utilizzare per disconnettere l'utente attualmente connesso. Se si specifica questa proprietà nel file di metadati del provider di identità, questa viene impostata automaticamente.
    • ID entità: aggiornare questo valore per utilizzare un nuovo ID entità per identificare in maniera univoca l'organizzazionePortal for ArcGIS al provider di identità SAML.

Configurare un IDP conforme a SAML per un portale in alta affidabilità

Portal for ArcGIS utilizza un certificato con alias samlcert quando si inviano richieste firmate (login e logout) all'IDP, e quando si decodificano risposte criptate dall'IDP. Se si sta configurando un portale ArcGIS Enterprise ad alta affidabilità e si sta utilizzando un IDP conforme a SAML, è necessario assicurarsi che ogni istanza di Portal for ArcGIS utilizzi lo stesso certificato durante la comunicazione con l'IDP.

Il modo migliore per assicurarsi che tutte le istanze utilizzino un certificato identico per SAML è generare un nuovo certificato con alias samlcert e importarlo in ogni istanza di Portal for ArcGIS nell'installazione ad alta affidabilità.

  1. Effettuare l'accesso a Portal Administrator Directory su https://example.domain.com:7443/arcgis/portaladmin.
  2. Naviga fino a Security > sslcertificates, poi clicca sul certificato samlcert esistente.
  3. Fare clic su elimina.
  4. Ripetere i passaggi da 1 a 3 per eliminare i certificati samlcert esistenti in tutte le istanze del portale ad alta affidabilità.
  5. Generare un nuovo certificato autofirmato da ArcGIS Portal Administrator Directory.
  6. Quando si configura il certificato, specificare samlcert come alias, e il nome dell'host del bilanciatore di carico della vostra implementazione come Nome comune e alias DNS nel Soggetto Nome Alternativo.
  7. Quando il certificato è stato generato, esportarlo in un file .pfx:
    1. Accedere al computer in cui è installato Portal for ArcGIS.
    2. Aprite un Prompt dei comandi sulla macchina usando l'opzione Esegui come amministratore.
    3. Cambiare le directory nella cartella dell'SSL del portale: cd <Portal installation directory>\etc\ssl.
    4. Digitare il seguente comando per esportare il samlcert nel formato file .pfx:
      ....\framework\runtime\jre\bin\keytool.exe -importkeystore -srckeystore portal.ks -destkeystore samlcert.pfx -srcstoretype JKS -deststoretype PKCS12 -srcstorepass portal.secret -deststorepass password -srcalias samlcert -destalias samlcert -destkeypass password
  8. Importare il nuovo certificato in ogni istanza di Portal for ArcGIS dalla pagina Sicurezza > sslcertificates > Importa Certificato Server Esistente.
  9. Riavviare Portal for ArcGIS su ogni istanza del portale ad alta affidabilità.

È possibile usare il file dei metadati del provider del servizio nel portale ArcGIS Enterprise per verificare che i certificati in uso per la comunicaznone con l'IDP SAML siano gli stessi nel portale ad alta affidabilità.

  1. Dalla scheda Organizzazione, vai a Modifica impostazioni > Sicurezza.
  2. Nell'elemento Accessi Enterprise tramite SAML nella pagina Sicurezza, cliccare Modifica Provider d'Identità. Aprite il menu Mostra impostazioni avanzate e assicuratevi che l'opzione Crittografia asserzione sia selezionata. Se non lo è, selezionarla e cliccare Aggiorna Provider d'Identità per salvare le modifiche.
  3. Ritornare agli elementi Accessi Enterprise tramite SAML e selezionare Ottieni Provider di Servizio. Ciò esporterà i metadati del provider di servizio come file .xml nel computer.
  4. Aprire il file .xml scaricato. Assicurarsi che la seguente frase sia presente: <md:KeyDescriptor use="encryption">. Ciò indica che il certificato per la crittografia è presente.
  5. Notare i valori nella sottosezione <ds:KeyInfo>.
  6. Ripetere questi passaggi per ogni istanza di Portal for ArcGIS in ogni computer dell'installazione per ottenere i file metadati del provider di servizio di ognuno.

I file metadati esportati devono avere tutti le stesse informazioni nella sottosezione <ds:KeyInfo>, indicando che lo stesso certificato è in uso in ogni istanza di Portal for ArcGIS durante la comunicazione con l'IDP conforme a SAML.

Designare un account aziendale come amministratore

La modalità di designazione di un account aziendale come amministratore del portale varia a seconda che gli utenti possano iscriversi all'organizzazione Automaticamente oppure Su invito di un amministratore.

Iscriversi all'organizzazione automaticamente

Se è stata selezionata l'opzione che consente agli utenti di iscriversi all'organizzazione Automaticamente, aprire la home page del Portale Web mentre si è connessi con l'account aziendale che si desidera utilizzare come amministratore del portale.

Quando un account viene aggiunto automaticamente al portale per la prima volta, gli viene assegnato il ruolo predefinito configurato per i nuovi membri. Il ruolo di un account può essere modificato solo da un amministratore dell'organizzazione, pertanto è necessario accedere al portale utilizzando l'account amministratore iniziale e assegnare il ruolo Amministratore ad un account aziendale.

  1. Aprire il Portale Web, fare clic sull'opzione per effettuare l'accesso tramite un provider di identità SAML, quindi fornire le credenziali dell'account aziendale che si desidera utilizzare come amministratore. Se questo account appartiene ad un altro utente, chiedere a tale utente di effettuare l'accesso al portale per consentire la registrazione dell'account.
  2. Verificare che l'account sia stato aggiunto al portale e fare clic su Disconnetti. Cancellare la cache del browser ed i cookie.
  3. Senza chiudere il browser, aprire il sito Web del portale, fare clic sull'opzione per effettuare l'accesso con un account predefinito del portale, quindi fornire le credenziali dell'account iniziale dell'amministratore creato durante la configurazione di Portal for ArcGIS.
  4. Individuare l'account aziendale che si desidera utilizzare per amministrare il portale aziendale e impostare il ruolo su Amministratore. Fare clic su Disconnetti.

L'account aziendale scelto è ora un amministratore del portale.

Aggiungere manualmente account aziendali al portale

Se è stata selezionata l'opzione che consente agli utenti di iscriversi all'organizzazione solo Su invito di un amministratore, sarà necessario registrare gli account necessari presso l'organizzazione tramite un'utilità da riga di comando o uno script Python di esempio. Accertarsi di avere scelto il ruolo Amministratore per l'account aziendale che si desidera utilizzare per amministrare il portale.

Abbassare di livello o eliminare l'account amministratore iniziale

Dopo la creazione dell'account alternativo dell'amministratore del portale, è possibile assegnare l'account di amministratore iniziale a un altro ruolo oppure eliminare tale account. Per ulteriori informazioni, vedere Informazioni sull'account amministratore iniziale.

Impedire agli utenti di creare i propri account

È possibile impedire agli utenti di creare i propri account predefiniti disabilitando la possibilità per gli utenti di creare nuovi account predefiniti nelle impostazioni dell'organizzazione.

Disabilitare l'accesso con gli account di ArcGIS

Se si desidera impedire agli utenti di accedere al portale utilizzando un account ArcGIS, è possibile disabilitare il pulsante Utilizzando l'account ArcGIS nella pagina di accesso. A tale scopo, attenersi alla procedura seguente.

  1. Accedere al portale Web come amministratore dell'organizzazione e fare clic su Organizzazione > Impostazioni > Sicurezza.
  2. Nella sezione Accessi, in Opzioni di accesso, disabilitare il selettore per Accessi <Nome dell'organizzazione>.

Nella pagina di accesso verrà visualizzato il pulsante per accedere al portale utilizzando un provider di identità e non sarà disponibile il pulsante per accedere Utilizzando l'account ArcGIS. È possibile riabilitare gli accessi per i membri con gli account ArcGIS attivando Accessi <Nome dell'organizzazione> in Accessi > Opzioni di accesso.

Modificare il provider di identità SAML

Una volta configurato un provider di identità, è possibile aggiornare le sue impostazioni facendo clic sul pulsante Altre opzioni Altre opzioni accanto ad esso e facendo clic su Modifica. Aggiornare le impostazioni nella finestra Modificare accesso aziendale. Tali pulsanti verranno abilitati solo dopo aver configurato un provider di identità conforme a SAML.

Per rimuovere il provider di identità attualmente registrato, fare clic sul pulsante Altre opzioni Altre opzioni accanto ad esso e fare clic su Elimina. Dopo aver rimosso il provider, se necessario è possibile configurarne uno nuovo.