Security Assertion Markup Language (SAML) è uno standard aperto che viene utilizzato per scambiare in modo sicuro i dati di autenticazione e autorizzazione tra un fornitore di identità specifico dell'organizzazione e un fornitore di servizi (in questo caso, la tua organizzazione ArcGIS Enterprise). Tale approccio è noto come Single Sign-On Web SAML.
L'organizzazione è conforme a SAML 2.0 e si integra con i fornitori di identità che supportano SAML 2 Web Single Sign On. Il vantaggio dell'impostazione di SAML è che non hai bisogno di creare ulteriori login per gli utenti per accedere alla tua organizzazione; invece, usano il login che è già impostato in un archivio di identità. Nella documentazione tale processo è descritto come "configurazione di account di accesso specifica dell'organizzazione".
Se si desidera, è possibile specificare nel portale i metadati relativi ai gruppi SAML nell'archivio identità. In questo modo è possibile creare gruppi nel portale che utilizzano i gruppi SAML esistenti nell'archivio identità.
Quando i membri si registrano nel portale, l'accesso a contenuti, elementi e dati è controllato tramite le regole di appartenenza definite nel gruppo SAML. Se non si specificano i metadati necessari del gruppo SAML, è comunque possibile creare gruppi. Tuttavia, le regole di appartenenza sono controllate dal portale ArcGIS Enterprise e non dall'archivio identità.
Nota:
Puoi anche configurare una federazione di fornitori di identità basati su SAML con il tuo portale.
Abbina i nomi utenteArcGIS Online presenti nel portale ArcGIS Enterprise.
Se si utilizza lo stesso provider di identità conforme aSAML nell'organizzazione e nel portale ArcGIS Online, i nomi utente specifici dell'organizzazione possono essere configurati affinché corrispondano. Tutti i nomi utenti specifici dell'organizzazione inArcGIS Online hanno il nome breve dell'organizzazione aggiunto alla fine. Gli stessi nomi utente specifici dell'organizzazione possono essere utilizzati nel portale definendo la proprietàdefaultIDPUsernameSuffix nella configurazione di sicurezza del portale ArcGIS Enterprisee impostandola in modo che corrisponda al nome breve dell'organizzazione. Ciò è necessario se è abilitato il monitoraggio delle modifiche su un Feature Service che viene modificato da utenti specifici dell'organizzazione sia daArcGIS Online che dal portale.
Accesso a SAML
ArcGIS Enterprise supporta gli account di accesso specifici dell'organizzazione avviati dal provider di servizi e gli account di accesso specifici dell'organizzazione avviati dal provider di identità. L'esperienza di accesso tra l'uno e l'altro è differente.
Account di accesso basati su provider di servizi
Con gli account di accesso basati su provider di servizi, gli utenti accedono direttamente al portale e possono scegliere di effettuare l'accesso con account predefiniti(gestiti dal portale) o tramite account gestiti da provider di identità conformi a SAML. Se l'utente sceglie l'opzione del provider di identità SAML, verrà indirizzato ad una pagina Web (nota come gestore di accesso) in cui viene richiesto di immettere il nome utente e la password SAML. In seguito alla verifica delle credenziali di accesso dell'utente, il provider di identità conforme a SAML informerà ArcGIS Enterprise che l'identità dell'utente è stata verificata. L'utente verrà quindi reindirizzato al portale Web.
Se l'utente sceglie l'opzione dell'account predefinito, verrà aperta la pagina di accesso al portale Web di ArcGIS Enterprise. L'utente potrà quindi immettere nome utente e password predefiniti per accedere al sito Web. È possibile utilizzare l'opzione dell'account predefinito come opzione fail-safe nel caso in cui il provider di identità conforme a SAML non sia disponibile, a condizione che l'opzione per accedere con un account ArcGIS non sia stata disabilitata.
Credenziali di accesso basati su provider di identità
Con gli account di accesso basati su provider di identità, gli utenti accedono direttamente alla Gestione accessi ed effettuano l'accesso con il proprio account. Quando l'utente invia le informazioni sul proprio account, il provider di identità invia la risposta SAML direttamente aArcGIS Enterprise. L'utente effettua quindi l'accesso e viene reindirizzato al sito Web del portale in cui può immediatamente accedere alle risorse senza dover nuovamente effettuare l'accesso all'organizzazione.
L'opzione per effettuare l'accesso con account predefiniti non è accessibile da Gestione accessi. Per effettuare l'accesso all'organizzazione con account predefiniti, i membri devono accedere direttamente al Portale Web.
Nota:
Se gli accessi SAML non funzionano a causa di problemi con il provider di identità e l'opzione degli account predefiniti è disabilitata, non sarà possibile accedere al portale ArcGIS Enterprise fino a quando non si abiliterà nuovamente questa opzione. Per istruzioni, consultare questa domanda in Problemi comuni e relative soluzioni.
Provider di identità SAML
ArcGIS Enterprise supporta tutti i provider di identità conformi a SAML. È possibile trovare istruzioni dettagliate sulla configurazione di alcuni comuni provider di identità conformi a SAML nel repository ArcGIS/idp GitHub.
Il processo di configurazione dei fornitori di identità con ArcGIS Enterprise è descritto di seguito. Prima di procedere, si consiglia di rivolgersi all'amministratore del provider di identità SAML per ottenere i parametri indispensabili per la configurazione. Ad esempio, se l'organizzazione utilizza Microsoft Active Directory, l'amministratore responsabile di questo servizio è la persona da contattare per configurare o abilitare SAML sul lato del provider di identità specifico dell'organizzazione e per ottenere i parametri necessari per la configurazione sul lato del portale.
Informazioni obbligatorie
ArcGIS Enterprise richiede che certe informazioni sugli attributi siano ricevute dall'IDP quando un utente accede usando SAML login. L'attributo NameID è obbligatorio e deve essere inviato dall'IDP nella risposta SAML per far funzionare la federazione. Poiché ArcGIS Enterprise usa il valore di NameID per identificare univocamente un utente con nome, si raccomanda di usare un valore costante che identifichi univocamente l'utente. Quando un utente dell'IDP si registra, un nuovo utente con il nome utente NameID sarà creato dall'ArcGIS Enterpriseorganizzazione nel suo archivio utenti. Per il valore inviato da NameID sono consentiti solo caratteri alfanumerici, _ (carattere di sottolineatura), . (punto) e @ (chiocciola). Qualsiasi altro carattere sarà evaso per contenere dei trattini bassi nel nome utente creato da ArcGIS Enterprise.
ArcGIS Enterprise supporta l'afflusso dell'indirizzo e-mail di un utente, delle appartenenze di gruppo, del nome e del cognome dal SAML fornitore di identità.
Mappature del profilo utente
La seguente tabella elenca quali valori di asserzione SAML corrispondono a quali proprietà dell'utente di Portal:
Proprietà dell'utente ArcGIS | Attributo di rivendicazione definito dall'IDP |
---|---|
Indirizzo e-mail | emailaddress posta urn:oid:0.9.2342.19200300.100.1.3 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Nome | Nome urn:oid:2.5.4.42 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname |
Cognome | Cognome urn:oid:2.5.4.4 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname |
Gruppi | Gruppo Gruppi Ruolo Ruoli MemberOf member-of http://wso2.com/claims/role http://schemas.xmlsoap.org/claims/Group urn:oid:1.3.6.1.4.1.5923.1.5.1.1 urn:oid:2.16.840.1.113719.1.1.4.1.25 Nota:Occorre specificare soltanto un singolo nome di attributo per rivendicazioni di gruppi multipli. |
Configurare il portale con un provider di identità SAML
È possibile configurare il portale in modo che gli utenti possano effettuare l’accesso utilizzando il nome utente e la password utilizzati con sistemi locali esistenti. Prima di impostare gli accessi specifici dell'organizzazione, è necessario configurare un tipo di utente predefinito per l'organizzazione.
- Accedere al portale Web come amministratore dell'organizzazione e fare clic su Organizzazione > Impostazioni > Sicurezza.
- Nella sezione Login, cliccare il pulsante Nuovo login SAML e selezionare l'opzione Un provider di identità. Nella pagina Specificare proprietà, digitare il nome dell'organizzazione (ad esempio, City of Redlands).
Quando gli utenti accedono al Sito Web del portale, questo testo viene visualizzato come parte dell'opzione di accesso SAML, ad esempio con l'account City of Redlands.
- Selezionare Automaticamente o Su invito di un amministratore per specificare se gli utenti possono iscriversi all'organizzazione automaticamente o su invito.Le prima opzione consente agli utenti di accedere all'organizzazione con l'account di accesso specifico dell'organizzazione senza intervento da parte di un amministratore. L'account viene registrato automaticamente con l'organizzazione al primo accesso. La seconda opzione richiede che l'amministratore registri gli account necessari con l'organizzazione utilizzando un'utilità a riga di comando. Una volta registrati gli account, gli utenti potranno accedere all'organizzazione.
Suggerimento:
Si consiglia di designare almeno un account SAML come amministratore del portale e di abbassare o eliminare l'account amministratore iniziale. Si consiglia inoltre di disabilitare il pulsante Crea account nel sito Web del portale per impedire agli utenti di creare i propri account. Per istruzioni, consultare la sezione Designare un account specifico dell'organizzazione come un amministratore riportata di seguito.
- Specificare l'origine a cui il portale accederà per ottenere le informazioni dei metadati. Questo fornirà le informazioni dei metadati necessarie sul provider di identità conforme a SAML. È possibile trovare istruzioni per ottenere i metadati da provider certificati nel repository ArcGIS/idp GitHub. Sono tre le possibili origini delle informazioni sui metadati:
- Un URL: specificare un URL che restituisce le informazioni dei metadati sul provider di identità.
Nota:
Se il provider di identità include un certificato autofirmato, potrebbe verificarsi un errore quando si specifica l'URL HTTPS dei metadati. Questo errore si verifica perché ArcGIS Enterprise non è in grado di verificare il certificato autofirmato del provider di identità. In alternativa, utilizzare HTTP nell'URL, una delle opzioni seguenti oppure configurare il provider di identità con un certificato attendibile.
- Un file: caricare un file che contiene le informazioni dei metadati sul provider di identità.
- Parametri specificati qui: immettere direttamente le informazioni dei metadati sul provider di identità specificando quanto segue:
- URL di accesso (reindirizzamento): fornire l'URL del provider di identità (che supporta l'associazione reindirizzamento HTTP) che verrà utilizzato da ArcGIS Enterprise per consentire ad un membro di effettuare l'accesso.
- URL di accesso (POST): fornire l'URL del provider di identità (che supporta l'associazione HTTP POST) che verrà usato da ArcGIS Enterprise per consentire a un membro di effettuare l'accesso.
- Certificato: specificare il certificato del provider di identità, codificato in formato BASE 64. Questo è il certificato che permette ArcGIS Enterprise di verificare la firma digitale nelle risposte SAML inviategli dal fornitore di identità.
Nota:
Per informazioni sull'origine delle informazioni dei metadati da specificare, contattare l'amministratore del provider di identità.
- Un URL: specificare un URL che restituisce le informazioni dei metadati sul provider di identità.
- Registrare i metadati del fornitore di servizi del portale con il provider di identità per completare il processo di configurazione e stabilire una relazione di attendibilità con il provider di identità. Per ottenere i metadati dal portale, attenersi alla seguente procedura:
- Nella sezione Sicurezza nella scheda Impostazioni dell'organizzazione, fare clic sul pulsante Scarica metadati del provider di servizi per scaricare il file di metadati del provider di servizi per l'organizzazione.
- Aprire l'URL dei metadati e salvarlo in formato .xml sul proprio computer. L'URL è https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, ad esempio, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Per generare un token, è possibile utilizzare https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Quando si immette l'URL nella pagina Genera token, specificare il nome di dominio completo del server del provider di identità nella casella di testo URL applicazione Web. Nessun'altra opzione, ad esempio Indirizzo IP o Indirizzo IP dell'origine di questa richiesta è supportata e può comportare la generazione di un token non valido.
È possibile trovare istruzioni per la registrazione dei metadati del provider di servizi del portale con provider certificati nel repository ArcGIS/idp GitHub.
- Configurare le impostazioni avanzate, laddove applicabile:
- Crittografare asserzione: indica al provider di identità SAML che ArcGIS Enterprise supporta risposte all'asserzione SAML crittografate. Quando questa opzione è selezionata, il provider di identità eseguirà la crittografia della sezione di asserzione delle risposte SAML. Tutto il traffico SAML verso e daArcGIS Enterprise è già crittografato dall'utilizzo di HTTPS, ma questa opzione aggiunge un altro layer di crittografia.
- Abilita richiesta firmata: consente a ArcGIS Enterprise di firmare la richiesta di autenticazione SAML inviata al provider di identità. La firma della richiesta di accesso iniziale inviata daArcGIS Enterprise consente al provider di identità di verificare tutte le richieste di accesso originate da un provider di servizi attendibile.
Suggerimento:
Abilitare questa impostazione per garantire l'integrità delle richieste SAML. È possibile abilitare questa opzione in qualsiasi momento nelle impostazioni avanzate, anche se è stata saltata durante la configurazione iniziale del portale.
- Propaga logout a provider di identità: consente a ArcGIS Enterprise di utilizzare un URL di disconnessione per disconnettere l'utente dal provider di identità. Immettere l'URL da utilizzare nell'impostazione URL di disconnessione. Se il provider di identità richiede che l'URL di disconnessione sia firmato, anche l'impostazione Abilita richiesta firmata deve essere abilitata. Quando questa impostazione non è selezionata, cliccando su Disconnetti in in ArcGIS Enterprise farà uscire l'utente da ArcGIS Enterprise ma non dal fornitore di identità. Se la cache del browser Web dell'utente non viene cancellata, eseguire immediatamente l'accesso a ArcGIS Enterprise utilizzando l'opzione di accesso specifica dell'organizzazione, che comporterà un accesso senza fornire credenziali utente al provider di identità SAML. Questa è una vulnerabilità di protezione che può essere sfruttata quando si utilizza un computer facilmente accessibile ad utenti non autorizzati o al pubblico.
- Aggiorna profilo all'accesso: consente a ArcGIS Enterprise di aggiornare i givenName degli utenti e attributi email address se sono cambiati rispetto all'ultimo accesso. Questa opzione è abilitata per impostazione predefinita.
- Abilita appartenenza al gruppo basata su SAML: consente agli amministratori del portale di collegare i gruppi nel provider di identità SAML ai gruppi creati nel portale ArcGIS Enterprise. Quando questa opzione è abilitata, ArcGIS Enterprise analizza la risposta all'asserzione SAML per identificare a quali gruppi appartiene un membro. È possibile quindi specificare uno o più gruppi SAML forniti dal provider di identità per Chi può iscriversi al gruppo? quando si crea un nuovo gruppo nel portale.Questa funzionalità è disabilitata per impostazione predefinita.
Nota:
Durante la creazione di un nuovo gruppo nel portale ArcGIS Enterprise, il nome del gruppo che inserisci deve corrispondere al valore esatto del gruppo esterno SAML come viene restituito nel valore dell'attributo dell'asserzione SAML. Se non sei sicuro del valore corretto, contatta l'amministratore che ha configurato il sistema SAML della tua organizzazione.
- URL di disconnessione: immettere l'URL del provider di identità da utilizzare per disconnettere l'utente attualmente connesso. Se si specifica questa proprietà nel file di metadati del provider di identità, questa viene impostata automaticamente.
- ID entità: aggiornare questo valore per utilizzare un nuovo ID entità per identificare in maniera univoca l'organizzazioneArcGIS Enterprise al provider di identità SAML.
Designare un account specifico dell'organizzazione come amministratore
La modalità di designazione di un account specifico dell'organizzazione come amministratore del portale varia a seconda che gli utenti possano iscriversi all'organizzazione Automaticamente oppure Su invito di un amministratore.
Iscriversi all'organizzazione automaticamente
Se è stata selezionata l'opzione Automaticamente che consente agli utenti di iscriversi all'organizzazione automaticamente, aprire la home page del Portale Web mentre si è connessi con l'account specifico dell'organizzazione che si desidera utilizzare come amministratore del portale.
Quando un account viene aggiunto automaticamente al portale per la prima volta, gli viene assegnato il ruolo predefinito configurato per i nuovi membri. Il ruolo di un account può essere modificato solo da un amministratore dell'organizzazione, pertanto è necessario accedere al portale utilizzando l'account amministratore iniziale e assegnare il ruolo Amministratore ad un account specifico dell'organizzazione.
- Aprire il Portale Web, fare clic sull'opzione per effettuare l'accesso tramite un provider di identità SAML, quindi fornire le credenziali dell'account SAML che si desidera utilizzare come amministratore. Se questo account appartiene ad un altro utente, chiedere a tale utente di effettuare l'accesso al portale per consentire la registrazione dell'account.
- Verificare che l'account sia stato aggiunto al portale e fare clic su Disconnetti. Cancellare la cache del browser ed i cookie.
- Nel browser, aprire il sito Web del portale, fare clic sull'opzione per effettuare l'accesso con un account predefinito del portale, quindi fornire le credenziali dell'account iniziale dell'amministratore creato durante la configurazione di ArcGIS Enterprise.
- Individuare l'account SAML che si desidera utilizzare per amministrare il portale e impostare il ruolo su Amministratore. Fare clic su Disconnetti.
L'account SAML scelto è ora un amministratore del portale.
Aggiungere manualmente account specifici dell'organizzazione al portale.
Se è stata selezionata l'opzione Su invito di un amministratore che consente agli utenti di iscriversi all'organizzazione solo con un invito, sarà necessario registrare gli account necessari presso l'organizzazione tramite un'utilità da riga di comando. Scegliere il ruolo Amministratore per un account SAML che si desidera utilizzare per amministrare il portale.
Abbassare di livello o eliminare l'account amministratore iniziale
Dopo la creazione dell'account alternativo dell'amministratore del portale, è possibile assegnare l'account di amministratore iniziale a un altro ruolo oppure eliminare tale account. Per ulteriori informazioni, vedere Informazioni sull'account amministratore iniziale.
Impedire agli utenti di creare i propri account
È possibile impedire agli utenti di creare i propri account predefiniti disabilitando la possibilità per gli utenti di creare nuovi account predefiniti nelle impostazioni dell'organizzazione.
Impedire agli utenti di accedere con un account ArcGIS.
Per impedire agli utenti di accedere al portale utilizzando un account ArcGIS, disabilitare il selettore Accesso ad ArcGIS nella pagina di accesso.
- Accedere al portale Web come amministratore dell'organizzazione e fare clic su Organizzazione > Impostazioni > Sicurezza.
- Nella sezione Accessi, disattivare il selettore per l'Accesso ad ArcGIS.
Nella pagina di accesso viene visualizzato il pulsante per accedere al portale utilizzando un account provider di identità e non sarà disponibile il pulsante Accesso ad ArcGIS. Per riabilitare gli accessi per i membri con gli account ArcGIS, attivare il selettore Accesso ad ArcGIS nella sezione Accessi.
Modificare o rimuovere l'IDP di SAML
Una volta configurato un IDP di SAML, è possibile aggiornare le sue impostazioni facendo clic sul pulsante Modifica, accanto all'IDP diSAML attualmente registrato. Aggiornare le impostazioni nella finestra Modificare accesso SAML.
Per rimuovere l'IDP attualmente registrato, fare clic sul pulsante Modifica accanto all'IDP e fare clic su Eliminare accesso nella finestra Modificare accesso a SAML. Dopo aver rimosso un IDP, se lo si desidera è possibile configurare un IDP o una federazione di IDP nuovi.
Procedure consigliate per la sicurezza SAML
Per abilitare gli accessi SAML, è possibile configurare ArcGIS Enterprise come SP per l'IDP SAML. Per assicurare una sicurezza efficace, tenere in considerazione le procedure consigliate descritte di seguito.
Firmare digitalmente le richieste di accesso e disconnessione SAML e firmare la risposta delle asserzioni SAML
Le firme vengono utilizzate per assicurare l'integrità dei messaggi SAML e per agire come protezione contro gli attacchi man-in-the-middle (MITM). La firma digitale della richiesta SAML assicura inoltre che le richieste vengano inviate da un SP attendibile, consentendo all'IDP di offrire una migliore protezione dagli attacchi denial-of-service (DOS). Attivare l'opzione Abilita richiesta firmata nelle impostazioni avanzate durante la configurazione degli accessi SAML.
Nota:
L'abilitazione delle richieste firmate richiede che l'IDP sia aggiornato ogni volta che il certificato di firma usato dall'SP viene rinnovato o sostituito.
Configurare l'IDP SAML per firmare la risposta SAML per evitare che i dati in transito alterino la risposta delle asserzioni SAML.
Nota:
L'abilitazione delle richieste firmate richiede che l'SP (ArcGIS Enterprise) sia aggiornato ogni volta che il certificato di firma usato dall'IDP viene rinnovato o sostituito.
Utilizzare l'endpoint HTTPS dell'IDP
Qualsiasi comunicazione tra l'SP e l'IDP e il browser dell'utente inviata su qualsiasi rete interna o su Internet in un formato non crittografato può essere intercettata da soggetti con intenzioni dolose. Se l'IDP SAML supporta HTTPS, si consiglia di utilizzare l'endpoint HTTPS per assicurare la riservatezza dei dati trasmessi durante gli accessi SAML.
Crittografare la risposta delle asserzioni SAML
L'utilizzo di HTTPS per le comunicazioni SAML mette in sicurezza i messaggi SAML inviati tra IDP e SP. Tuttavia, gli utenti che hanno effettuato l'accesso possono comunque decodificare e visualizzare i messaggi SAML tramite il browser Web. L'abilitazione della crittografia delle risposte di asserzione evita che gli utenti visualizzino informazioni riservate o sensibili comunicate tra IDP e SP.
Nota:
L'abilitazione delle asserzioni crittografate richiede che l'IDP sia aggiornato ogni volta che il certificato di crittografia usato dall'SP (ArcGIS Enterprise) viene rinnovato o sostituito.
Gestione sicura dei certificati di firma e di crittografia
Utilizzare certificati con chiavi crittografiche forti per la firma digitale o per la crittografia di messaggi SAML, ed eseguire il rinnovo o la sostituzione dei certificati in un intervallo che va dai tre ai cinque anni.