O Security Assertion Markup Language (SAML) é um padrão aberto para trocar a autenticação e dados de autorização seguramente entre um provedor de identidade enterprise e um provedor de serviço (neste caso, Portal for ArcGIS). A abordagem utilizada para alcançar isto é conhecida como Registro Único da Web do SAML. O portal é compatível com SAML 2.0 e integra com provedores de identidade que suportam o Registro Único da Web do SAML 2. A vantagem de instalar o SAML é que você não precisa criar logins adicionais para os usuários acessarem o portal ArcGIS Enterprise; pelo contrário, eles utilizam o login que já está instalado em um armazenamento de identidade enterprise. Este processo é descrito ao longo da documentação como “instalação de logins enterprise.”
Opcionalmente, você pode fornecer metadados para o portal sobre os grupos enterprise no armazenamento de identidade. Isto permite a você criar grupos no portal que alavancam os grupos enterprise existentes no seu armazenamento de identidade. Quando membros entram no portal, o acesso ao conteúdo, itens e dados são controlados pelas regras de associação definidas no grupo enterprise. Se você não fornecer o metadados de grupo enterprise necessários, você pode ainda criar grupos. Porém, as regras de associação serão controladas pelo portal doArcGIS Enterprise , não pelo armazenamento de identidade.
Corresponder nomes de usuários do ArcGIS Online no portal do ArcGIS Enterprise
Se o mesmo provedor de identidade compatível com SAML for utilizado na sua organização do ArcGIS Online e no seu portal, os nomes de usuários enterprise poderão ser configurados para combinarem. Todos os nomes de usuários enterprise no ArcGIS Online têm o nome curto da organização anexado ao final. Os mesmos nomes de usuários enterprise podem ser utilizados no seu portal, definindo a propriedade defaultIDPUsernameSuffix na configuração de segurança de portal do ArcGIS Enterprise e configurá-los para corresponder ao nome curto da organização. Isto é necessário se o rastreamento do editor estiver habilitado em um serviço da feição editado por usuários enterprise do ArcGIS Online e seu portal.
Experiência de registro do SAML
O Portal for ArcGIS suporta logins enterprise iniciados do provedor de serviço (SP) e logins enterprise iniciados do provedor de identidade (IDP). A experiência de login difere entre cada provedor.
Logins iniciados do provedor de serviço
Com logins iniciados do provedor de serviço, os usuários acessam o portal diretamente e são apresentados com opções para entrar com contas embutidas (gerenciadas pelo portal) ou contas gerenciadas em um provedor de identidade compatível com SAML. Se o usuário selecionar a opção do provedor de identidade do SAML, ele será redirecionado para uma página da web (conhecida como o gerenciador de login enterprise) onde ele é avisado para inserir seu nome de usuário e senha enterprise. Na verificação de login do usuário, o provedor de identidade enterprise informa ao Portal for ArcGIS sobre a identidade verificada para o usuário que está entrando e o usuário é redirecionado de volta para seu site da web do portal.
Se o usuário escolher a opção de conta embutida, a página de registro para o site da web do portal ArcGIS Enterprise abre. O usuário pode então inserir seu nome de usuário e senha embutidos para acessar o site da web. Esta opção não pode ser desabilitada. A opção de conta embutida pode ser utilizada como um sistema à prova de falhas no caso do seu provedor de identidade compatível ao SAML estiver indisponível.
Logins iniciados do provedor de identidade
Com logins iniciados do provedor de identidade, os usuários acessam diretamente o gerenciador do login enterprise e entram com sua conta. Quando o usuário envia suas informações de conta, o provedor de identidade envia a resposta de SAML diretamente no Portal for ArcGIS. O usuário é então registrado e redirecionado para seu site da web do portal onde podem imediatamente acessar os recursos sem ter que entrar na organização novamente.
A opção para entrar utilizando contas embutidas não está disponível a partir do gerenciador de login enterprise. Para entrar na organização com contas embutidas, os membros precisam acessar o site da web do portal diretamente.
Anotação:
Se os logins de SAML falharem no funcionamento devido a problemas com seu provedor de identidade do SAML e você desativou a opção de contas embutidas, você não poderá acessar seu portal do ArcGIS Enterprise até que você reative esta opção. Para instruções de como fazer isto, consulte esta pergunta em Problemas e soluções comuns.
Provedores de identidade SAML
O Portal for ArcGIS suporta todos os provedores de identidade compatíveis ao SAML. O seguinte tutorial demonstra como configurar determinados provedores de identidade compatíveis ao SAML comuns com .Portal for ArcGIS.
- Diretório Ativo do Azure
- NetIQ Access Manager 3.2 e versões posteriores
- OpenAM 10.1.0 e versões posteriores
- Shibboleth 2.3.8 e versões posteriores
- SimpleSAMLphp 1.10 e versões posteriores
O processo de obter os metadados necessários a partir dos provedores de identidade anotados acima é descrito em cada link. O processo de configuração dos provedores de identidade com Portal for ArcGIS está descrito abaixo. Antes de prosseguir, é recomendado que você entre em contato com o administrador do seu provedor de identidade enterprise para obter os parâmetros necessários para configuração.
Informações exigidas
O Portal for ArcGIS exige determinadas informações de atributo a serem recebidas do provedor de identidade quando um usuário entra utilizando logins enterprise. O atributo NameID é obrigatório e deve ser enviado por seu provedor de identidade na resposta de SAML para criar a federação com o trabalho do Portal for ArcGIS. Quando um usuário IDP entrar, um novo usuário com o nome de usuário NameID será criado pelo Portal for ArcGIS em seu armazenamento de usuário. Os caracteres permitidos para o valor enviado pelo atributo NameID são alfanuméricos, _ (underscore), . (ponto), e @ (arroba). Quaisquer outros caracteres serão liberados para conter underscores no nome de usuário criado pelo Portal for ArcGIS.
O Portal for ArcGIS suporta a entrada dos atributos givenName e email address do login enterprise a partir do provedor de identidade. Quando um usuário entra utilizando um login enterprise e se o Portal for ArcGIS receber atributos com os nomes givenname e email ou mail (em qualquer caso), o Portal for ArcGIS preenche o nome completo e o endereço de e-mail da conta de usuário com os valores recebidos do provedor de identidade. É recomendado que você passe o email address do provedor de identidade enterprise de forma que o usuário possa receber notificações.
Configurar o portal com um provedor de identidade do SAML
- Entre no site da web do portal como um administrador da sua organização e clique em Organização > Editar Configurações > Segurança.
- Na seção Logins Enterprise , selecione a opção Um Provedor de Identidade , clique no botão Configurar Provedor de Identidade e insira o nome da sua organização na janela que aparece (por exemplo, Cidade de Redlands). Quando usuários acessam o site da web do portal, este texto aparece como parte da opção de registro do SAML (por exemplo, Utilizando sua conta da Cidade de Redlands).
- Escolha se os seus usuários poderão participar da organização Automaticamente ou Após você adicionar as contas no portal. A seleção da primeira opção permite aos usuários entrar na organização com seu login enterprise sem qualquer intervenção de um administrador. Sua conta é registrada com a organização automaticamente na primeira vez que eles entram. A segunda opção exige que o administrador registre as contas necessárias com a organização utilizando um utilitário da linha de comando ou script de Python de amostra. Após as contas serem registradas, os usuários poderão entrar na organização.
Dica:
É recomendado que você designe pelo menos uma conta enterprise como um administrador do seu portal e degrade ou exclua a conta inicial de administrador. Também é recomendado que você desabilite o botão Criar uma conta e a página de registro (signup.html) no site da web do portal, de forma que as pessoas não possam criar suas próprias contas. Para instruções completas, consulte a seção Designar uma conta enterprise como um administrador abaixo.
- Forneça as informações de metadados necessárias sobre o provedor de identidade enterprise compatível do SAML. Você fará isto especificando a fonte que o portal acessará para obter as informações de metadados. Os links de instruções para obter metadados de provedores certificados estão disponíveis na seção provedores de identidade do SAML acima. Há três fontes possíveis de informações de metadados:
- Uma URL—Forneça uma URL que retorna informações de metadados sobre o provedor de identidade.
Anotação:
Se o seu provedor de identidade enterprise incluir um certificado auto assinado, você poderá encontrar um erro ao tentar especificar a URL de HTTPS dos metadados. Este erro acontece, pois o Portal for ArcGIS não pode verificar o certificado auto assinado do provedor de identidade. Alternativamente, utilize HTTP na URL, uma das outras opções abaixo ou configure seu provedor de identidade com um certificado confiável.
- Um Arquivo—Transfira um arquivo que contenha informações de metadados sobre o provedor de identidade.
- Parâmetros especificados aqui—Insira diretamente as informações de metadados sobre o provedor de identidade fornecendo os seguintes parâmetros:
- URL de Login (Redirecionar)—Insira a URL do provedor de identidade (que suporta redirecionar vinculando HTTP) que o Portal for ArcGIS deve utilizar para permitir um membro registrar.
- URL de Login (POST)—Insira a URL do provedor de identidade (que suporta redirecionar POST HTTP) que o Portal for ArcGIS deve utilizar para permitir um membro registrar.
- Certificado—Forneça o certificado, codificado no formato BASE 64, para o provedor de identidade enterprise. Este é o certificado que permite ao Portal for ArcGIS verificar a assinatura digital em respostas do SAML enviadas pelo provedor de identidade enterprise.
Anotação:
Entre em contato com o administrador do provedor de identidade se você precisar de ajuda para determinar qual a fonte de informações dos metadados você precisa fornecer.
- Uma URL—Forneça uma URL que retorna informações de metadados sobre o provedor de identidade.
- Para completar o processo de configuração e estabelecer a confiança com o provedor de identidade, registre os metadados do provedor de serviço do portal com seu provedor de identidade enterprise. Há duas maneiras para obter os metadados do seu portal:
- Na seção Segurança da página Editar Configurações da sua organização, clique no botão Obter Provedor de Serviço. Este procedimento fornece os metadados para sua organização, os quais você pode salvar como um arquivo .xml em seu computador.
- Abra a URL dos metadados e salve como um arquivo .xml no seu computador. A URL é https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, por exemplo, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Você pode gerar um token utilizando https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Ao inserir a URL na página Gerar Token , especifique o nome de domínio completamente qualificado de servidor do provedor de identidade no campo URL do Webapp. A seleção de qualquer outra opção, como Endereço IP ou Endereço IP desta origem do pedido , não é suportada e pode gerar um token inválido.
Links para instruções sobre registrar os metadados do provedor de serviço do portal com provedores certificados estão disponíveis na seção provedores de identidade do SAML acima.
- Defina as configurações avançadas se aplicáveis:
- Codificar Asserção—Selecione esta opção para indicar ao provedor de identidade do SAML que o Portal for ArcGIS suporta respostas de asserção do SAML codificadas. Quando esta opção estiver selecionada, o provedor de identidade codificará a seção de afirmação das respostas de SAML. Todo o tráfego de SAML para e do Portal for ArcGIS já é codificado pelo uso de HTTPS, mas esta opção adiciona outra camada de criptografia.
- Habilitar Pedido Registrado—Selecione esta opção para o Portal for ArcGIS registrar o pedido de autenticação do SAML enviado para provedor de identidade. O registro do pedido de login inicial enviado pelo Portal for ArcGIS permite ao provedor de identidade verificar se todos os pedidos de logins são originados de um provedor de serviço confiável.
- Propagar saída para Provedor de Identidade—Selecione esta opção para o Portal for ArcGIS utilizar uma URL de saída para cancelar o registro do usuário a partir do provedor de identidade. Insira a URL para utilizar na configuração da URL de Saída. Se o provedor de identidade exigir que a URL de saída seja assinada, a opção Habilitar Pedido Registrado também precisa ser marcada. Quando esta opção não estiver selecionada, clicar em Sair no Portal for ArcGIS cancelará o registro de usuário do Portal for ArcGIS mas não do provedor de identidade. Se o cache do navegador da web do usuário não for apagado, a tentativa de entrar novamente imediatamente no Portal for ArcGIS utilizando a opção de login enterprise resultará em um login imediato sem a necessidade de fornecer credenciais de usuário ao provedor de identidade do SAML. Esta é uma vulnerabilidade de segurança que pode ser explorada ao utilizar um computador que é facilmente acessível aos usuários sem autorizações ou ao público.
- Atualizar perfis ao registrar—Selecione esta opção para o Portal for ArcGIS atualizar os atributos givenName e email address de usuários se eles mudaram desde o último registro. Isto é selecionado por padrão.
- Habilitar associação de grupo baseado em SAML—Selecione esta opção para permitir aos administradores do portal vincular os grupos em seu provedor de identidade do SAML aos grupos criados em seu portal do ArcGIS Enterprise. Quando isto for selecionado, o Portal for ArcGIS analisará a resposta de afirmação do SAML para determinar quais grupos um membro pertence. Você pode então especificar um ou mais grupos enterprise fornecidos pelo seu provedor de identidade para Quem pode participar deste grupo? quando você criar um grupo em seu protal. Este recurso está desabilitado por padrão.
- URL de Saída—Insira a URL do provedor de identidade ao utilizar para sair do usuário atualmente registrado. Se esta propriedade for especificada no arquivo de metadados do provedor de identidade, ela é configurada automaticamente.
- ID de Identidade—Atualize este valor para utilizar um novo ID de identidade exclusivamente para identificar sua organização do Portal for ArcGIS para o provedor de identidade do SAML.
Configurar um IDP compatível com SAML para um portal altamente disponível
O Portal for ArcGIS usa um certificado com o nome alternativo samlcert ao enviar solicitações assinadas (para logins e logouts) ao IDP e ao descriptografar respostas criptografadas do IDP. Se estiver configurando um portal ArcGIS Enterprise altamente disponível e usando um IDP compatível com SAML, você deverá garantir que cada instância do Portal for ArcGIS esteja usando o mesmo certificado ao se comunicar com o IDP.
A melhor maneira de garantir que todas as instâncias estejam usando um certificado idêntico para SAML é gerar um novo certificado com o nome alternativo samlcert e importá-lo para cada instância de Portal for ArcGIS em sua implantação altamente disponível.
- Entre no ArcGIS Portal Administrator Directory em https://example.domain.com:7443/arcgis/portaladmin.
- Navegue até Segurança > sslcertificates, então clique no certificado samlcert existente.
- Clique em Excluir.
- Repita as etapas 1 a 3 para excluir os certificados samlcert existentes em todas as instâncias de seu portal altamente disponível.
- Gere um novo certificado auto assinado a partir do ArcGIS Portal Administrator Directory.
- Ao configurar o certificado, especifique samlcert como o nome alternativo e o nome de host do balanceador de carga de sua implantação como o Nome Comum e o nome alternativo do DNS no Nome Alternativo do Assunto.
- Após o certificado ser gerado, exporte-o para um arquivo .pfx:
- Inicie uma sessão de terminal e autentique como o usuário que instalou o Portal for ArcGIS.
- Da linha de comando, navegue até o diretório <Portal installation location>/etc/ssl.
- Digite o seguinte comando para exportar no formato de arquivo: samlcert no formato de arquivo .pfx:
..../framework/runtime/jre/bin/keytool.exe -importkeystore -srckeystore portal.ks -destkeystore samlcert.pfx -srcstoretype JKS -deststoretype PKCS12 -srcstorepass portal.secret -deststorepass password -srcalias samlcert -destalias samlcert -destkeypass password
- Importe o novo certificado para cada instância do Portal for ArcGIS da página Segurança > sslcertificates > Importar Certificados do Servidor Existentes.
- Reinicie o Portal for ArcGIS em cada instância em seu portal altamente disponível.
Você pode usar o arquivo de metadados do provedor de serviços em seu portal ArcGIS Enterprise para verificar se os certificados usados para se comunicar com o IDP de SAML são os mesmos em sua implantação altamente disponível.
- Na guia Organização, navegue até Editar Configuações > Segurança.
- No item Logins Enterprise via SAML na página Segurança, clique em Editar Provedor de Identidade. Abra o menu Mostrar configurações avançadas e certifique-se que a opção Criptografar Asserção esteja selecionada. Caso contrário, selecione-o e clique em Atualizar Provedor de Identidade para salvar a alteração.
- Retorne aos itens de Logins Enterprise via SAML e selecione Obter Provedor de Serviços. Isso exportará os metadados do provedor de serviços como um arquivo XML para sua máquina.
- Abra o arquivo .xml baixado. Certifique-se que a seguinte frase esteja presente: <md:KeyDescriptor use="encryption">. Isso indica que o certificado para criptografia está presente.
- Observe os valores na subseção <ds:KeyInfo>.
- Repita essas etapas para cada instância doPortal for ArcGIS em sua implantação para obter o arquivo de metadados do provedor de serviços de cada um.
Todos os arquivos de metadados exportados devem ter as mesmas informações na subseção <ds:KeyInfo>, indicando que o mesmo certificado é usado por cada instância do Portal for ArcGIS ao se comunicar com seu IDP compatível com SAML.
Designar uma conta enterprise como um administrador
A forma que você designa uma conta enterprise como um administrador do portal dependerá se usuários poderão participar da organização Automaticamente ou Após você adicionar as contas no portal.
Participar da organização automaticamente
Se você selecionou a opção para permitir aos usuários participarem da organização Automaticamente, abra a página inicial do site da web do portal enquanto registrado com a conta enterprise que você deseja utilizar como o administrador do portal.
Quando uma conta é adicionada pela primeira vez no portal automaticamente, é atribuído o papel de Usuário. Somente um administrador da organização pode alterar o papel em uma conta; então, você deve entrar no portal utilizando a conta inicial de administrador e atribuir uma conta enterprise para o papel de administrador.
- Abra o site da web do portal, clique na opção para entrar utilizando um provedor de identidade do SAML e forneça as credenciais da conta enterprise que você deseja utilizar como um administrador. Se esta conta pertencer a outra pessoa, registre este usuário no portal, então a conta será registrada com o portal.
- Verifique se a conta foi adicionada ao portal e clique em Sair. Limpe os cookies e cache do navegador.
- Ainda no navegador, abra o site da web do portal, clique na opção para entrar utilizando uma conta do portal embutida e forneça as credenciais da conta inicial de administrador que você criou ao instalar o Portal for ArcGIS.
- Localize a conta enterprise que você utilizará para administrar seu portal e altere o papel para Administrador. Clique em Sair.
A conta enterprise que você selecionou é agora um administrador do portal.
Adicionar contas enterprise manualmente no portal
Se você escolheu a opção para somente permitir aos usuários participarem da organização Após você adicionar contas no portal, você precisará registrar as contas necessárias com a organização utilizando um utilitário da linha de comando ou script de Python de amostra. Certifique-se de escolher o papel de Administrador para uma conta enterprise que será utilizada para administrar o portal.
Degradar ou excluir a conta inicial de administrador
Agora que você tem uma conta de administrador do portal alternativa, você pode atribuir a conta inicial de administrador para o papel de Usuário ou excluir a conta. Consulte Sobre a conta inicial de administrador para mais informações.
Previnir usuários de criar suas próprias contas
Após proteger o acesso ao seu portal, é recomendado que você desabilite o botão Criar uma conta e página de registro (signup.html) no site da web do portal de forma que as pessoas não possam criar suas próprias contas. Isto significa que todos os membros entram no portal com suas credenciais e conta enterprise, e contas embutidas desnecessárias não podem ser criadas. Consulte Desabilitando recurso de usuários para criar contas do portal embutidas para instruções completas.
Desativar registro com as contas do ArcGIS
Se deseja evitar que os usuários entrem no portal utilizando uma conta do ArcGIS, é possível desativar o botão Utilizando Sua Conta do ArcGIS na página de registro. Para isto, siga as etapas abaixo.
- Entre no site da web do portal como um administrador da sua organização e clique em Organização > Editar Configurações > Segurança.
- Dentro da seção Opções de Registro, escolha o botão de opção para Somente sua conta SAML IDP, onde o IDP irá variar dependendo do que você configurou para seu portal.
- Clique em Salvar.
A página de registro exibirá o botão para entrar no portal utilizando uma conta do provedor de identidade e o botão para entrar Utilizando Sua Conta do ArcGIS não estará disponível. Você pode habilitar novamente os logins de membros com contas do ArcGIS escolhendo o Sua conta SAML IDP ou a conta do Portal for ArcGIS em Opções de Registro, onde o IDP e nome do seu portal variará dependendo do que você configurou.
Modificar o provedor de identidade do SAML
Você pode editar ou remover o provedor de identidade atualmente registrado utilizando os botões Editar Login Enterprise e Remover Login Enterprise . Estes botões serão habilitados somente ao instalar um provedor de identidade compatível com SAML. Após remover o provedor de identidade é possível instalar um novo, se desejado.