L’organizzazione può utilizzare Security Assertion Markup Language (SAML) per autenticare i suoi utenti di computer e autorizzare l'accesso alle sue risorse abilitate per il Web. Per fare ciò, un provider di identità conforme a SAML (IDP) è configurato per gestire l'autenticazione dell'utente. Le risorse Web dell'organizzazione sono ospitate su uno o più fornitori di servizi, che gestiscono l'autorizzazione di accesso alle risorse Web. L'organizzazione ha il pieno controllo della gestione del suo IDP e dei fornitori di servizi. Per supportare l'autenticazione e l'autorizzazione basate su SAML, è necessario che tutti i fornitori di servizi dell'organizzazione siano registrati per lavorare con l’IDP. Ogni fornitore di servizi può essere registrato solo con un IDP.
È inoltre possibile utilizzare SAML per condividere le risorse tra più organizzazioni governate in modo indipendente. Ciò è reso possibile dalle entità di gestione della federazione, che abilitano la condivisione di risorse basata su SAML tra le relative organizzazioni membro. Un'organizzazione membro che desidera condividere le proprie risorse Web con la federazione riserva a uno o più fornitori di servizi di lavorare esclusivamente all'interno della federazione. Per accedere a una risorsa protetta condivisa con la federazione, un utente autentica l’identità con l'IDP dell’organizzazione. Una volta autenticata correttamente, questa identità convalidata viene presentata al provider di servizi che ospita la risorsa protetta. Il provider di servizi concede quindi l'accesso alla risorsa dopo aver verificato i privilegi di accesso dell'utente.
Il tuo portale ArcGIS Enterprise può essere configurato con una federazione di IDP basata su SAML. Il portale accede al servizio di ricerca ospitato dalla federazione, che fornisce un elenco dei provider di identità e dei provider di servizi che partecipano alla federazione.
Alcune federazioni comuni di provider di identità basato su SAML sono InCommon, eduGAIN, SWITCHaai, DFN-AAI e UK Access Management Federation.
Configurare la federazione con il portale
Seguire queste operazioni per configurare una federazione basata su SAML di provider di identità con il portale:
- Accedere al portale con un amministratore e cliccare Organizzazione > Impostazioni > Sicurezza.
- Nella sezione Accesso, clicca sul pulsante Nuovo accesso SAML e seleziona l'opzione Una federazione di fornitori di identità. Nella pagina Specificare proprietà, immettere il nome della federazione.
La descrizione è visualizzata dagli utenti che accedono al portale come parte dell'opzione di accesso SAML.
- Scegliere il modo in cui gli utenti possono iscriversi all’organizzazione del portale:
- Automaticamente: abilita gli utenti ad accedere all'organizzazione con il login specifico dell'organizzazione senza aver bisogno di permesso da un amministratore, in quanto l'account è automaticamente registrato con il portale la prima volta che accedono.
- Su invito da un amministratore: richiede che l'amministratore dell'organizzazione registri gli account necessari con l'organizzazione usando una utility di linea di comando o script Python.
Nota:
Esri consiglia di designare almeno un account SAML come un amministratore del portale e disabilitare il pulsante Crea un account nel portale in modo che gli utenti non possano creare i propri account. Per maggiori informazioni, consultare la sezione Designare un account SAML come un amministratore sotto.
- Fornire l'URL al servizio di ricerca IDP centralizzato ospitato dalla federazione, ad esempio https://wayf.samplefederation.com/WAYF.
- Fornire l'URL ai metadati di federazione, un'aggregazione dei metadati di tutti i provider di identità e dei provider di servizi che partecipano alla federazione.
- Copiare e incollare il certificato, codificato in formato Base64, che consente al portale di verificare la validità dei metadati di federazione.
- Configurare le impostazioni avanzate, laddove applicabile:
- Crittografare asserzione: abilitare questa opzione per indicare al provider di identità SAML che il portale supporta risposte all'asserzione SAML crittografate. Quando questa opzione è selezionata, il provider di identità eseguirà la crittografia della sezione di asserzione della risposta SAML. Tutto il traffico SAML verso e dal portale è già crittografato dall'utilizzo di HTTPS, ma questa opzione aggiunge un altro layer di crittografia.
- Abilita richiesta firmata: abilitare questa opzione per consentire al portale di firmare la richiesta di autenticazione SAML inviata all'IDP. La firma della richiesta di accesso iniziale inviata dal portale consente all'IDP di verificare tutte le richieste di accesso originate da un provider di servizi attendibile.
- Propaga logout a provider di identità: abilitare questa opzione per consentire al portale di utilizzare un URL di disconnessione per disconnettere l'utente dall'IDP. Se la si seleziona, immettere l'URL da utilizzare nell'impostazione URL di disconnessione. Se l'IDP richiede che l'URL di disconnessione sia firmato, anche l'opzione Abilita richiesta firmata deve essere selezionata. Se questa opzione non è selezionata, cliccando Disconnetti nel portale disconnetterà l'utente dal portale, ma non dal IDP. Se la cache del browser web dell'utente non viene cancellata, il tentativo di accedere immediatamente di nuovo al portale utilizzando l'opzione di accesso specifica dell'organizzazione lo farà accedere immediatamente senza bisogno di fornire le credenziali all'IDP. Questa è una vulnerabilità di protezione che può essere sfruttata quando si utilizza un computer facilmente accessibile ad utenti non autorizzati o al pubblico.
- Aggiorna profilo all'accesso: abilitare questa opzione perché il portale aggiorni gli attributi givenName e indirizzo e-mail degli utenti se sono cambiati rispetto all'ultimo accesso. Per impostazione predefinita, questa opzione è selezionata.
- ID entità: aggiornare questo valore per utilizzare un nuovo ID entità e identificare in maniera univoca l'organizzazione del portale nella federazione SAML.
Registrare il portale con la federazione SAML come provider di servizi attendibili
Per completare il processo di configurazione, stabilire la relazione di fiducia con il servizio di ricerca della federazione e l'IDP dell’organizzazione registrando i metadati del provider di servizi del portale con essi. I metadati si possono ottenere in due modi:
- Nella sezione Sicurezza della pagina Impostazioni dell'organizzazione, fare clic sul pulsante Scarica metadati del provider di servizi per scaricare il file di metadati del provider di servizi per l'organizzazione.
- Aprire l'URL dei metadati e salvarlo in formato XML sul proprio computer. L'URL è https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, ad esempio, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Per generare un token, è possibile utilizzare https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Quando si immette l'URL nella pagina Genera token, specificare il nome di dominio completo del server del provider di identità nel campo URL applicazione Web. La scelta di qualsiasi altra opzione, ad esempio Indirizzo IP o Indirizzo IP dell'origine di questa richiesta, non è supportata e può comportare la generazione di un token non valido.
Una volta scaricati i metadati del provider del servizio, contattare gli amministratori della federazione SAML per le istruzioni su come integrare i metadati nel file dei metadati aggregati della federazione. È anche necessario ricevere da loro istruzioni per l'IDP con la federazione.
Designare un account SAML come un amministratore
La modalità di designazione di un account SAML come amministratore del portale varia a seconda che gli utenti possano iscriversi all'organizzazione Automaticamente oppure Su invito di un amministratore.
Iscriversi all'organizzazione automaticamente
Se hai scelto l'opzione per permettere agli utenti di unirsi all'organizzazione Automaticamente, apri il portale mentre sei entrato con l'account SAML che vuoi usare come amministratore dell'organizzazione.
Al momento dell'aggiunta automatica al portale, all'account viene inizialmente assegnato il ruolo Utente. Il ruolo di un account può essere modificato solo da un amministratore dell'organizzazione, pertanto è necessario accedere al portale utilizzando l'account amministratore iniziale e assegnare il ruolo Amministratore ad un account SAML.
- Aprire il portale, fare clic sull'opzione per accedere utilizzando un provider di identità SAML e fornire le credenziali dell'account SAML che si desidera utilizzare come amministratore. Se questo account appartiene ad un altro utente, chiedere a tale utente di effettuare l'accesso al portale per consentire la registrazione dell'account.
- Verificare che l'account sia stato aggiunto al portale e fare clic su Disconnetti. Cancellare la cache del browser ed i cookie.
- Mentre sei nel browser, aprire il portale, fare clic sull'opzione per accedere utilizzando un account integrato nel portale e fornisci le credenziali dell'account amministratore iniziale che hai creato quando hai impostato ArcGIS Enterprise.
- Individuare l'account SAML che si desidera utilizzare per amministrare il portale e impostare il ruolo su Amministratore. Fare clic su Disconnetti.
L'account SAML scelto è ora un amministratore del portale.
Aggiungere manualmente gli account SAML al portale.
Se si sceglie l'opzione per consentire solo agli utenti di iscriversi all'orgganizzazione Su invito da un amministratore, sarà necessario registrare gli account necessari con l'organizzazione usando una utility linea di comando. Assicurarsi di scegliere il ruolo Amministratore per un account SAML che verrà usato con l'amministratore del portale.
Abbassare di livello o eliminare l'account amministratore iniziale
Ora che si dispone di un account di amministratore dell'organizzazione alternativa, è possibile assegnare l'account di amministratore iniziale al ruolo di Utente o eliminare l'account. Per ulteriori informazioni, vedere Informazioni sull'account amministratore iniziale.
Impedire agli utenti di creare i propri account
È possibile impedire agli utenti di creare i propri account predefiniti disabilitando la possibilità per gli utenti di creare nuovi account predefiniti nelle impostazioni dell'organizzazione.
Disabilitare l'accesso con gli account di ArcGIS
Se si desidera prevenire gli utenti dall'accedere al portale usando un account ArcGIS, è possibile disabilitare il pulsante Login ArcGIS sulla pagina di accesso usando le operazioni seguenti:
- Accedere al portale come un amministratore dell'organizzazione e cliccare Organizzazione > Impostazioni > Sicurezza.
- Nella sezione Login disabilitare il pulsante di attivazione per Login ArcGIS.
La pagina di accesso visualizzerà il pulsante per accedere al portale usando un account provider di identità e il pulsante per accedere usando un Login ArcGIS non sarà disponibile. È possibile riabilitare gli accessi per i membri con gli account ArcGIS attivando l'opzione Accesso ad ArcGIS in Accessi.
Modificare o rimuovere il provider di identità SAML
Una volta configurata una federazione, è possibile aggiornare le sue impostazioni cliccando il pulsante accanto ad esso Modifica . Aggiornare le impostazioni nella finestra Modificare accesso SAML.
Per rimuovere la federazione dal portale, cliccare il pulsante Modifica accanto ad esso e cliccare Elimina login nella finestra Modifica login SAML. Una volta rimosso, se necessario è possibile configurare opzionalmente un nuovo provider di identità o federazione di provider di identità.