O Diretório Ativo do Microsoft Azure (AD) é um provedor de identidade compatível (IDP) ao Security Assertion Markup Language (SAML). Você pode configurá-lo como seu IDP para logins enterprise no Portal for ArcGIS local e na nuvem. O processo de configuração envolve duas etapas principais: registrar o Azure AD em seu portal do ArcGIS Enterprise e registrar o Portal for ArcGIS no seu portal do Azure AD.
Para configurar o Azure AD com ArcGIS Enterprise, você precisa de uma assinatura premium do Azure AD.
Informações exigidas
O Portal for ArcGIS exige determinadas informações de atributo a serem recebidas do IDP quando um usuário entra utilizando logins enterprise. O atributo NameID é obrigatório e deve ser enviado pelo seu IDP na resposta de SAML na federação para trabalhar com Portal for ArcGIS. Já que o Portal for ArcGIS utiliza o valor de NameID para identificar de forma exclusiva um usuário nomeado, é recomendável utilizar um valor constante que identifica de forma exclusiva o usuário. Quando um usuário IDP entrar, um novo usuário com o nome de usuário NameID será criado pelo Portal for ArcGIS em seu armazenamento de usuário. Os caracteres permitidos para o valor enviado por NameID são alfanuméricos, _ (underscore), . (ponto) e @ (arroba). Quaisquer outros caracteres serão alterados para underscores no nome de usuário criado pelo Portal for ArcGIS.
O Portal for ArcGIS suporta a entrada dos atributos givenName e email address do login enterprise a partir do IDP enterprise. Quando um usuário entrar utilizando um login enterprise e se o Portal for ArcGIS receber atributos com os nomes givenname e email ou mail (em qualquer caso), o Portal for ArcGIS preencherá o nome completo e o endereço de e-mail da conta de usuário com os valores recebidos do IDP. É recomendado que você passe o email address do IDP enterprise de forma que o usuário possa receber notificações.
Registrar o Azure AD como o IDP enterprise do seu portal
- Entre no site da web do portal como um membro do papel de administrador padrão na sua organização e clique em Organização > Editar Configurações > Segurança.
- Na seção Logins Enterprise via SAML , selecione a opção Um Provedor de Identidade , clique no botão Configurar Login Enterprise e insira o nome da sua organização na janela que aparece (por exemplo, Cidade de Redlands). Quando usuários acessam o site da web do portal, este texto aparece como parte da opção de registro do SAML (por exemplo, Utilizando sua conta da Cidade de Redlands).
- Escolha se os seus usuários poderão participar da organização automaticamente ou após você adicionar as contas no portal. A seleção da opção Automaticamente permite aos usuários entrarem na organização com seu login enterprise sem qualquer intervenção de um administrador. Sua conta é registrada com a organização automaticamente na primeira vez que eles entram. A opção Após você adicionar as contas no portal exige que o administrador registre as contas necessárias com a organização utilizando um utilitário da linha de comando ou script de Python de amostra. Após as contas serem registradas, os usuários poderão entrar na organização.
Dica:
É recomendado que você designe pelo menos uma conta enterprise como um administrador do seu portal e degrade ou exclua a conta inicial de administrador. Também é recomendado que você desabilite o botão Criar uma conta e a página de registro (signup.html) no portal, de forma que as pessoas não possam criar suas próprias contas. Para instruções completas, consulte Configurando um provedor de identidade compatível ao SAML com seu portal.
- Forneça informações de metadados para o IDP utilizando uma das opções abaixo:
- Arquivo—Baixe o arquivo de metadados do Azure AD e carregue o arquivo Portal for ArcGIS utilizando a opção Arquivo .
Anotação:
Se esta for a primeira vez que você estiver registrando um provedor de serviços com Azure AD, você precisará obter o arquivo de metadados após o registro do Portal for ArcGIS com Azure AD. - Parâmetros—Escolha esta opção se a URL ou arquivo do metadados de federação não estiver acessível. Digite os valores manualmente e forneça os parâmetros solicitados: URL de login e certificado, codificados no formato BASE 64. Entre em contato com seu administrador do Azure AD ara obtê-los.
- Arquivo—Baixe o arquivo de metadados do Azure AD e carregue o arquivo Portal for ArcGIS utilizando a opção Arquivo .
- Defina as seguintes configurações avançadas conforme aplicáveis:
- Codificar Asserção—Selecione esta opção para codificar respostas da asserção de SAML do Azure AD.
- Habilitar Pedido Registrado—Selecione esta opção para o Portal for ArcGIS registrar o pedido de autenticação do SAML enviado para Azure AD.
- Propagar saída do Provedor de Identidade—Selecionar esta opção para o Portal for ArcGIS utilizar a URL de saída para sair do Azure AD. Insira a URL para utilizar na configuração da URL de Saída. Se o IDP exigir que a URL de saída seja registrada, marque Habilitar Pedido Registrado.
- Atualizar perfis ao entrar—Selecione esta opção para o Portal for ArcGISatualizar os atributos givenName e email address dos usuários, se tiverem mudado desde a última vez que registraram.
- URL de Saída—A URL do IDP ao utilizar para sair do usuário atualmente registrado.
- ID de Identidade—Atualize este valor para utilizar um novo ID de identidade exclusivamente para identificar seu portal para Azure AD.
As configurações Codificar Asserção e Habilitar Pedido Registrado utilizam o certificado samlcert no keystore do portal. Para utilizar um novo certificado, exclua o certificado samlcert, crie um novo certificado com o mesmo nome alternativo (samlcert) seguindo as etapas em Importar um certificado no portal e reinicie o portal.
- Ao finalizar, clique em Atualizar Provedor de Identidade.
- Clique em Obter Provedor de Serviço para baixar o arquivo de metadados do portal. As informações neste arquivo serão utilizadas para registrar o portal como o provedor de serviço confiável com Azure AD.
Registrar o Portal for ArcGIS como o provedor de serviço confiável com Azure AD
- Entre no seu portal do Azure como um membro com privilégios administrativos.
- Seguindo as etapas da documentação do Azure, adicione Portal for ArcGIS como um aplicativo sem galeria no seu Azure AD e configure Registro único. Você precisará fornecer o arquivo Metadata.xml baixado do Portal for ArcGIS.
O Portal for ArcGIS aparece na lista Aplicativos Enterprise no Azure AD.
- Adicione e atribua usuários ao aplicativo conforme necessário.
- Opcionalmente configure e personalize as declarações de SAML validadas no ArcGIS Enterprise. Os atributos de interesse na resposta de SAML são givenName e emailaddress.