O Security Assertion Markup Language (SAML) é um padrão aberto para trocar a autenticação e dados de autorização seguramente entre um provedor de identidade e um provedor de serviço (neste caso, Portal for ArcGIS). A abordagem utilizada para alcançar isto é conhecida como Registro Único da Web do SAML. O portal é compatível com SAML 2.0 e integra com provedores de identidade que suportam o Registro Único da Web do SAML 2. A vantagem de instalar o SAML é que você não precisa criar logins adicionais para os usuários acessarem o Portal for ArcGIS; pelo contrário, eles utilizam o login que já está instalado dentro de um armazenamento de identidade enterprise. Este processo é descrito ao longo da documentação como instalação de logins enterprise.
Opcionalmente, você pode fornecer metadados para o portal sobre os grupos enterprise no armazenamento de identidade. Isto permite a você criar grupos no portal que alavancam os grupos enterprise existentes no seu armazenamento de identidade. Quando membros entram no portal, o acesso ao conteúdo, itens e dados são controlados pelas regras de associação definidas no grupo enterprise. Se você não fornecer ao grupo enterprise os metadados necessários, você ainda poderá criar grupos. Porém, as regras de associação serão controladas pelo Portal for ArcGIS, não pelo armazenamento de identidade.
Combinar nomes de usuário do ArcGIS Online no Portal for ArcGIS
Se o mesmo provedor de identidade compatível com SAML for utilizado na sua organização do ArcGIS Online e no seu portal, os nomes de usuários enterprise poderão ser configurados para combinarem. Todos os nomes de usuários enterprise no ArcGIS Online tem o nome curto da organização anexado ao final. Os mesmos nomes de usuários enterprise podem ser utilizados no seu portal, definindo a propriedade defaultIDPUsernameSuffix dentro da configuração de segurança e configurá-lo para corresponder ao nome curto da organização. Isto é necessário se o rastreamento do editor estiver habilitado em um serviço da feição editado por usuários enterprise do ArcGIS Online e seu portal.
Experiência de registro do SAML
O Portal for ArcGIS suporta logins enterprise iniciados do provedor de serviço (SP) e logins enterprise iniciados do provedor de identidade (IDP). A experiência de login difere entre cada provedor.
Logins iniciados do provedor de serviço
Com logins iniciados do provedor de serviço, os usuários acessam o portal diretamente e são apresentados com opções para entrar com contas embutidas (gerenciadas pelo portal) ou contas gerenciadas em um provedor de identidade compatível com SAML. Se o usuário selecionar a opção do provedor de identidade do SAML, ele será redirecionado para uma página da web (conhecida como o gerenciador de login enterprise) onde ele é avisado para inserir seu nome de usuário e senha enterprise. Na verificação de login do usuário, o provedor de identidade enterprise informa ao Portal for ArcGIS sobre a identidade verificada para o usuário que está entrando e o usuário é redirecionado de volta para seu site da web do portal.
Se o usuário escolher a opção de conta embutida, a página de registro para o site da web do portal aparece. O usuário pode então inserir seu nome de usuário e senha embutidos para acessar o site da web. Esta opção não pode ser desabilitada. A opção de conta embutida pode ser utilizada como um sistema à prova de falhas no caso do seu provedor de identidade compatível ao SAML estiver indisponível.
Logins iniciados do provedor de identidade
Com logins iniciados do provedor de identidade, os usuários acessam diretamente o gerenciador do login enterprise e entram com sua conta. Quando o membro envia suas informações de conta, o provedor de identidade envia a resposta de SAML diretamente no Portal for ArcGIS. O usuário é então registrado e redirecionado para seu site da web do portal onde pode imediatamente acessar os recursos sem ter que entrar na organização novamente.
A opção para entrar utilizando contas embutidas não está disponível a partir do gerenciador de login enterprise. Para entrar na organização com contas embutidas, os membros precisam acessar o site da web do portal diretamente.
Provedores de identidade do SAML
O seguinte tutorial demonstra o uso de vários provedores de identidade compatíveis ao SAML com Portal for ArcGIS:
- NetIQ Access Manager 3.2 e versões posteriores
- OpenAM 10.1.0 e versões posteriores
- Shibboleth 2.3.8 e versões posteriores
- SimpleSAMLphp 1.10 e versões posteriores
O processo de obter os metadados necessários a partir dos provedores de identidade anotados acima é descrito em cada link. O processo de configuração dos provedores de identidade com Portal for ArcGIS está descrito abaixo. Antes de prosseguir, é recomendado que você entre em contato com o administrador do seu provedor de identidade enterprise para obter os parâmetros necessários para configuração.
Suporte para múltiplos provedores de identidade do SAML
Utilizando o SAML, você pode permitir o acesso ao seu portal utilizando múltiplos armazenamentos de identidade. Esta é uma boa maneira para gerenciar usuários que podem residir dentro ou fora da sua organização.
Isto é alcançado estabelecendo a confiança entre os armazenamentos de identidade que você deseja tornar disponíveis no portal. Isto é normalmente manipulado por um administrador de segurança; a confiança não é configurada no Portal for ArcGIS. Após a confiança ser estabelecida, você precisa somente configurar um dos armazenamentos de identidade confiáveis com seu portal (como descrito abaixo). Quando usuários acessarem o site da web do portal ou site do provedor de identidade, eles serão apresentados com a opção para entrar com uma conta enterprise gerenciada por quaisquer um dos provedores de identidade confiáveis.
Informações exigidas
O Portal for ArcGIS exige determinadas informações de atributo a serem recebidas do provedor de identidade quando um usuário entra utilizando logins enterprise. NameID é um atributo obrigatório que deve ser enviado por seu provedor de identidade na resposta de SAML para criar a federação com trabalho do Portal for ArcGIS. Quando um usuário IDP entrar, um novo usuário com o nome de usuário NameID será criado pelo Portal for ArcGIS no seu armazenamento de usuário. Os caracteres permitidos para o valor enviado pelo atributo NameID são alfanuméricos, _ (underscore), . (ponto) e @ (arroba). Quaisquer outros caracteres serão liberados para conter underscores no nome de usuário criado pelo Portal for ArcGIS.
O Portal for ArcGIS suporta a entrada dos atributos givenName e email address do login enterprise a partir do provedor de identidade enterprise. Quando um usuário entra utilizando um login enterprise e se o Portal for ArcGIS receber atributos com os nomes givenname e email ou mail (em qualquer caso), o Portal for ArcGIS preenche o nome completo e o endereço de e-mail da conta de usuário com os valores recebidos do provedor de identidade. É recomendado que você passe o email address do provedor de identidade enterprise de forma que o usuário possa receber notificações.
Configurando seu portal com um provedor de identidade do SAML
- Entre no site da web do portal como um administrador da sua organização e clique em Minha Organização > Editar Configurações > Segurança.
- Dentro da seção Logins Enterprise, clique no botão Configurar Provedor de Identidade e insira o nome da sua organização na janela que aparece (por exemplo, Cidade de Redlands). Quando usuários acessam o site da web do portal, este texto aparece como parte da opção de registro do SAML (por exemplo, Utilizando sua conta da Cidade de Redlands).
- Escolha se os seus usuários poderão participar da organização Automaticamente ou Após você adicionar as contas no portal. A seleção da primeira opção permite aos usuários entrar na organização com seu login enterprise sem qualquer intervenção de um administrador. Sua conta é registrada com a organização automaticamente na primeira vez que eles entram. A segunda opção exige que o administrador registre as contas necessárias com a organização utilizando um utilitário da linha de comando ou script de Python de amostra. Após as contas serem registradas, os usuários poderão entrar na organização.
Dica:
É recomendado que você designe pelo menos uma conta enterprise como um administrador do seu portal e degrade ou exclua a conta inicial de administrador. Também é recomendado que você desabilite o botão Criar uma conta e a página de registro (signup.html) no site da web do portal, de forma que as pessoas não possam criar suas próprias contas. Para instruções completas, consulte a seção Designar uma conta enterprise como um administrador abaixo.
- Forneça as informações de metadados necessárias sobre o provedor de identidade enterprise compatível do SAML. Você fará isto especificando a fonte que o portal acessará para obter as informações de metadados. Os links de instruções para obter metadados de provedores certificados estão disponíveis na seção provedores de identidade do SAML acima. Há três possíveis fontes das informações de metadados:
- Uma URL—Forneça uma URL que retorna informações de metadados sobre o provedor de identidade.
Anotação:
Se o seu provedor de identidade enterprise incluir um certificado auto assinado, você poderá encontrar um erro ao tentar especificar a URL de HTTPS dos metadados. Este erro ocorre, pois o Portal for ArcGIS não pode verificar o certificado auto assinado do provedor de identidade. Alternativamente, utilize HTTP na URL, uma das outras opções abaixo ou configure seu provedor de identidade com um certificado confiável.
- Um Arquivo—Transfira um arquivo que contenha informações de metadados sobre o provedor de identidade.
- Parâmetros especificados aqui—Insira diretamente as informações de metadados sobre o provedor de identidade fornecendo os seguintes parâmetros:
- URL de Login (Redirecionar)—Insira a URL do provedor de identidade (que suporta redirecionar vinculando HTTP) que o Portal for ArcGIS deve utilizar para permitir um membro registrar.
- URL de Login (POST)—Insira a URL do provedor de identidade (que suporta redirecionar POST HTTP) que o Portal for ArcGIS deve utilizar para permitir um membro registrar.
- Certificado—Fornece o certificado para o provedor de identidade enteprise. Este é o certificado que permite ao Portal for ArcGIS verificar a assinatura digital nas respostas de SAML enviadas para ele do provedor de identidade enterprise.
Anotação:
Entre em contato com o administrador do provedor de identidade se você precisar de ajuda para determinar qual a fonte de informações dos metadados você precisa fornecer.
- Uma URL—Forneça uma URL que retorna informações de metadados sobre o provedor de identidade.
- Para completar o processo de configuração e estabelecer a confiança com o provedor de identidade, registre os metadados do provedor de serviço do portal com seu provedor de identidade enterprise. Há duas maneiras para obter os metadados do seu portal:
- Dentro da seção Segurança da página Configurações de Edição para sua organização, clique no botão Obter Provedor de Serviço. Este procedimento fornece os metadados para sua organização, os quais você pode salvar como um arquivo XML em seu computador.
- Abra a URL dos metadados e salve como um arquivo XML no seu computador. A URL é https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, por exemplo, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Você pode gerar um token utilizando https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Ao inserir a URL na página Gerar Token especifique o nome de domínio qualificado completo de servidor do provedor de identidade no campo URL do Webapp. A seleção de qualquer outra opção, como Endereço IP ou Endereço IP desta origem do pedido , não é suportada e pode gerar um token inválido.
Links para instruções sobre registrar os metadados do provedor de serviço do portal com provedores certificados estão disponíveis na seção provedores de identidade do SAML acima.
- Configure as configurações avançadas se aplicáveis:
- Codificar Asserção—Escolha esta opção para indicar ao provedor de identidade de SAML que o Portal for ArcGIS suporta respostas de Asserção de SAML codificadas. Quando esta opção estiver habilitada, o provedor de identidade codificará a seção de afirmação das respostas de SAML. Embora todo tráfego de SAML para e do Portal for ArcGIS já esteja codificado pelo uso de HTTPS, esta opção adiciona outra camada de criptografia.
- Habilitar Pedido Registrado—Escolha esta opção para o Portal for ArcGIS registrar o pedido de autenticação do SAML enviado para provedor de identidade. O registro do pedido de login inicial enviado pelo Portal for ArcGIS permite ao provedor de identidade verificar se todos os pedidos de logins são originados de um provedor de serviço confiável.
- Propagar saída para Provedor de Identidade—Selecione esta opção para o Portal for ArcGIS utilizar uma URL de logout para cancelar o registro do usuário a partir do provedor de identidade. Insira a URL para utilizar na configuração da URL de Saída. Se o provedor de identidade exigir que a URL de saída seja assinada, a opção Habilitar Pedido Registrado precisa ser marcada. Quando esta opção estiver desativada, clicar em Sair no Portal for ArcGIS cancelará o registro de usuário do Portal for ArcGIS mas não do provedor de identidade. Se o cache do navegador da web do usuário não for limpado, tentar registrar imediatamente novamente no Portal for ArcGIS utilizando a opção de login enterprise resultará em um login imediato sem precisar fornecer credenciais de usuário ao provedor de identidade do SAML. Esta é uma vulnerabilidade de segurança que pode ser explorada ao utilizar um computador que é facilmente acessível aos usuários sem autorizações ou ao público geral.
- URL de Saída—Insira a URL do provedor de identidade ao utilizar para sair do usuário atualmente registrado. Se esta propriedade for especificada no arquivo de metadados do provedor de identidade, ela é configurada automaticamente.
- ID de Identidade—Atualize este valor para utilizar um novo ID de identidade exclusivamente para identificar sua organização do Portal for ArcGIS para o provedor de identidade do SAML.
- Opcionalmente, forneça metadados para o portal sobre os grupos enterprise no armazenamento de identidade:
- Entre no ArcGIS Portal Directory como um Administrador da sua organização. A URL está no formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Clique em Segurança > Configuração > Atualizar Armazenamento de Identidade.
- Posicione o JSON de configuração do grupo na caixa de texto Configuração do armazenamento de grupo (no formato JSON).
Copie o seguinte texto, e altere para conter as informações específicas para seu site:
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com", "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com", "usernameAttribute": "cn", "caseSensitive": "false", "userSearchAttribute": "cn", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
Na maioria dos casos, você somente precisará alterar os valores dos parâmetros user, userPassword, ldapURLForUsers e ldapURLForRoles. A URL para seu LDAP precisará ser fornecida pelo seu administrador de LDAP.
No exemplo acima, a URL LDAP se refere aos usuários dentro de uma OU (ou=users) específico. Se os usuários existem em OUs múltiplos, a URL LDAP pode apontar para um nível mais alto OU ou até o nível de raiz se necessário. Neste caso, a URL seria com esta ao invés:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
A conta que você utiliza para o parâmetro do usuário precisa de permissões para procurar os nomes de grupos na sua organização. Embora você digite a senha em texto claro, ela será codificada quando armazenada no diretório de configuração do portal ou visualizada.
Se o seu LDAP estiver configurado para diferenciar letra maiúscula e letra minúscula, configure o parâmetro caseSensitive para false.
- Ao finalizar a inserção de JSON para a configuração do armazenamento de usuário, clique em Atualizar Configuração para salvar suas alterações e reiniciar o portal.
Designar uma conta enterprise como um administrador
A forma que você designa uma conta enterprise como um administrador do portal dependerá se usuários poderão participar da organização Automaticamente ou Após você adicionar as contas no portal.
Participar da organização automaticamente
Se você selecionou a opção para permitir aos usuários participarem da organização Automaticamente, abra a página inicial do site da web do portal enquanto registrado com a conta enterprise que você deseja utilizar como o administrador do portal.
Quando uma conta é adicionada pela primeira vez no portal automaticamente, é atribuído o papel de Usuário. Somente um administrador da organização pode alterar o papel em uma conta; então, você deve entrar no portal utilizando a conta inicial de administrador e atribuir uma conta enterprise para o papel de administrador.
- Abra o site da web do portal, clique na opção para entrar utilizando um provedor de identidade do SAML e forneça as credenciais da conta enterprise que você deseja utilizar como um administrador. Se esta conta pertencer a outra pessoa, registre este usuário no portal, então a conta será registrada com o portal.
- Verifique se a conta foi adicionada ao portal e clique em Sair. Limpe os cookies e cache do navegador.
- Ainda no navegador, abra o site da web do portal, clique na opção para entrar utilizando uma conta do portal embutida e forneça as credenciais da conta inicial de administrador que você criou ao instalar o Portal for ArcGIS.
- Localize a conta enterprise que você utilizará para administrar seu portal e altere o papel para Administrador. Clique em Sair.
A conta enterprise que você selecionou é agora um administrador do portal.
Adicionar contas enterprise manualmente no portal
Se você escolheu a opção para somente permitir aos usuários participarem da organização Após você adicionar contas no portal, você precisará registrar as contas necessárias com a organização utilizando um utilitário da linha de comando ou script de Python de amostra. Certifique-se de escolher o papel de Administrador para uma conta enterprise que será utilizada para administrar o portal.
Degradar ou excluir a conta inicial de administrador
Agora que você tem uma conta de administrador do portal alternativa, você pode atribuir a conta inicial de administrador para o papel de Usuário ou excluir a conta. Consulte Sobre a conta inicial de administrador para mais informações.
Previnir usuários de criar suas próprias contas
Após proteger o acesso ao seu portal, é recomendado que você desabilite o botão Criar uma conta e página de registro (signup.html) no site da web do portal de forma que as pessoas não possam criar suas próprias contas. Isto significa que todos os membros entram no portal com suas credenciais e conta enterprise, e contas embutidas desnecessárias não podem ser criadas. Consulte Desabilitando recurso de usuários para criar contas do portal embutidas para instruções completas.
Desativar registro com as contas do ArcGIS
Se deseja evitar que os usuários entrem no portal utilizando uma conta do ArcGIS, é possível desativar o botão Utilizando Sua Conta do ArcGIS na página de registro. Para isto, siga as etapas abaixo.
- Entre no site da web do portal como um administrador da sua organização e clique em Minha Organização > Editar Configurações > Segurança.
- Dentro da seção Opções de Registro, escolha o botão de opção para Somente sua conta SAML IDP, onde o IDP irá variar dependendo do que você configurou para seu portal.
- Clique em Salvar.
A página de registro exbirá o botão para entrar no portal utilizando uma conta do provedor de identidade e o botão para entrar Utilizando Sua Conta do ArcGIS não estará disponível. Você pode habilitar novamente os logins de membros com contas do ArcGIS escolhendo o Sua conta SAML IDP ou a conta do Portal for ArcGIS em Opções de Registro, onde o IDP e nome do seu portal variará dependendo do que você configurou.
Modificando o provedor de identidade do SAML
Você pode remover o provedor de identidade atualmente registrado utilizando o botão Remover Provedor de Identidade. Este botão será habilitado somente ao instalar um provedor de identidade compatível com SAML. Após remover o provedor de identidade é possível instalar um novo, se desejado.