Você pode configurar o NetIQ Access Manager 3.2 e versões posteriores como seu provedor de identidade (IDP) para logins enterprise no Portal for ArcGIS. O processo de configuração envolve duas principais etapas: registrando seu IDP enterprise com Portal for ArcGIS e registrando Portal for ArcGIS com IDP enterprise.
Informações exigidas
O Portal for ArcGIS exige determinadas informações de atributo a serem recebidas do IDP quando um usuário entra utilizando logins enterprise. O atributo NameID é obrigatório e deve ser enviado pelo seu IDP na resposta de SAML para criar a federação com o trabalho do Portal for ArcGIS. Já que o Portal for ArcGIS utiliza o valor de NameID para identificar de forma exclusiva um usuário nomeado, é recomendável utilizar um valor constante que identifica de forma exclusiva o usuário. Quando um usuário IDP entrar, um novo usuário com o nome de usuário NameID será criado pelo Portal for ArcGIS no seu armazenamento de usuário. Os caracteres permitidos para o valor enviado por NameID são alfanuméricos, _ (underscore), . (ponto) e @ (arroba). Quaisquer outros caracteres serão liberados para conter underscores no nome de usuário criado pelo Portal for ArcGIS.
O Portal for ArcGIS suporta a entrada dos atributos givenName e email address do login enterprise a partir do IDP enterprise. Quando um usuário entra utilizando um login enterprise e se o Portal for ArcGIS receber atributos com os nomes givenname e email ou mail (em qualquer caso), o Portal for ArcGIS preencherá o nome completo e o endereço de e-mail da conta de usuário com os valores recebidos do IDP. É recomendado que você passe o email address do IDP enterprise de forma que o usuário possa receber notificações.
Registre o NetIQ Access Manager como o IDP enterprise com Portal for ArcGIS
- Entre no site da web do portal como um administrador da sua organização e clique em Organização > Editar Configurações > Segurança.
- Na seção Logins Enterprise , selecione a opção Abrir Provedor de Identidade , clique no botão Configurar Login Enterprise e insira o nome da sua organização na janela que aparece (por exemplo, Cidade de Redlands). Quando usuários acessam o site da web do portal, este texto aparece como parte da opção de registro do SAML (por exemplo, Utilizando sua conta da Cidade de Redlands).
Anotação:
Você pode registrar somente um IDP enterprise para seu portal.
- Escolha se os seus usuários poderão participar da organização Automaticamente ou Após você adicionar as contas no portal. A seleção da primeira opção permite aos usuários entrarem na organização com seu login enterprise sem qualquer intervenção de um administrador. Sua conta é registrada com a organização automaticamente na primeira vez que eles entram. A segunda opção exige que o administrador registre as contas necessárias com a organização utilizando um utilitário da linha de comando ou script de Python de amostra. Após as contas serem registradas, os usuários poderão entrar na organização.
Dica:
É recomendado que você designe pelo menos uma conta enterprise como um administrador do seu portal e degrade ou exclua a conta inicial de administrador. Também é recomendado que você desabilite o botão Criar uma conta e a página de registro (signup.html) no site da web do portal, de forma que as pessoas não possam criar suas próprias contas. Para instruções completas, consulte Configurando um provedor de identidade compatível ao SAML com seu portal.
- Forneça informações de metadados para o IDP utilizando uma das opções abaixo:
- URL—Escolha esta opção se a URL dos metadados de federação do NetIQ Access Manager for acessível pelo Portal for ArcGIS. A URL é normalmente http(s)://<host>:<port>/nidp/saml2/metadata na máquina onde o NetIQ Access Manager está executando.
Anotação:
Se o seu IDP enterprise incluir um certificado auto assinado, você poderá encontrar um erro ao tentar especificar a URL de HTTPS dos metadados. Este erro ocorre, pois o Portal for ArcGIS não pode verificar o certificado auto assinado do provedor de identidade. Alternativamente, utilize HTTP na URL, uma das outras opções abaixo ou configure seu IDP com um certificado confiável.
- Arquivo—Se a URL não for acessível pelo Portal for ArcGIS, salve os metadados obtidos a partir da URL acima como um arquivo XML e carregue o arquivo.
- Parâmetros—Escolha esta opção se a URL ou arquivo do metadados de federação não estiver acessível. Digite os valores manualmente e forneça os parâmetros solicitados: URL de login e certificado, codificados no formato BASE 64. Entre em contato com o administrador do NetIQ Access Manager para obtê-lo.
- URL—Escolha esta opção se a URL dos metadados de federação do NetIQ Access Manager for acessível pelo Portal for ArcGIS. A URL é normalmente http(s)://<host>:<port>/nidp/saml2/metadata na máquina onde o NetIQ Access Manager está executando.
- Defina as configurações avançadas conforme aplicáveis:
- Codificar Asserção—Selecione esta opção se NetIQ Access Manager for configurado para codificar respostas da asserção de SAML.
- Habilitar Pedido Registrado—Selecione esta opção para o Portal for ArcGIS registrar o pedido de autenticação do SAML enviado para NetIQ Access Manager.
- Propagar saída para Provedor de Identidade—Selecione esta opção para o Portal for ArcGIS utilizar uma URL de Saída para o usuário sair do Net IQ Access Manager. Insira a URL para utilizar na configuração da URL de Saída. Se o provedor de identidade exigir que a URL de Saída esteja registrada, Habilitar Pedido Registrado precisa estar selecionado.
- Atualizar perfis ao entrar—Selecione esta opção para ter Portal for ArcGIS givenNamee email address dos usuários atualizados, se tiverem mudado desde a última vez que registraram.
- Habilitar associação de grupo baseado em SAML—Selecione esta opção para permitir que os membros da organização vinculem-se a grupos enterprise específicos baseados em SAML para grupos do Portal for ArcGIS durante o processo de criação do grupo .
- URL de Saída—A URL do IDP ao utilizar para sair do usuário atualmente registrado. Este valor é automaticamente preenchido se definido no arquivo de metadados do IDP. Você pode atualizar esta URL conforme necessário.
- ID de Identidade—Atualize este valor para utilizar um novo ID de identidade exclusivamente para identificar seu portal para NetIQ Access Manager.
As configurações Codificar Asserção e Habilitar Pedido Registrado utilizam o certificado samlcert no keystore do portal. Para utilizar um novo certificado, exclua o certificado samlcert, crie um novo certificado com o mesmo nome alternativo (samlcert) seguindo as etapas em Importar um certificado no portal e reinicie o portal.
Registrar o Portal for ArcGIS como o provedor de serviço confiável com NetIQ Access Manager
- Configure um conjunto de atributos.
Siga as etapas abaixo para criar um novo atributo configurado de forma que os atributos possam ser enviados no Portal for ArcGIS como parte da asserção de SAML após autenticar o usuário. Se você tiver um conjunto de atributos existente já configurado no seu NetIQ Access Manager, também é possível utilizá-lo.
- Entre no console de administração do NetIQ Access Manager. Este normalmente está disponível em http(s)://<host>:<port>/nps.
- Procure seu servidor de identidade no console de admin do NetIQ e clique na guia Configurações Compartilhadas. Em Conjuntos de Atributos , você irá visualizar quaisquer conjuntos de atributos já criados. Clique em Novo e crie um novo conjunto de atributos. Entre no Portal em Definir Nome e clique em Avançar.
- Defina os mapeamentos do atributo e os adicione no conjunto de atributos que você criou na etapa anterior.
O Portal for ArcGIS suporta a entrada dos atributos givenName e email address do login enterprise a partir do IDP enterprise. Quando um usuário entra utilizando um login enterprise e se o Portal for ArcGIS receber atributos com os nomes givenname e email ou mail (em qualquer caso), o Portal for ArcGIS preenche o nome completo e o endereço de e-mail da conta de usuário com os valores recebidos do provedor de identidade.
É recomendado que você passe o endereço de e-mail do IDP enterprise para Portal for ArcGIS. Isto ajuda se o usuário se tornar posteriormente um administrador. Ter um endereço de e-mail na conta intitula o usuário para receber notificações relacionadas com qualquer atividade administrativa e enviar convites para outros usuários participarem da organização.
Clique no link Novo e adicione quaisquer novos mapeamentos do atributo. A captura de tela abaixo mostra a adição de mapeamento do atributo para givenName, email address e uid. Você pode escolher todos os atributos de sua fonte de autenticação, ao invés destes exemplos.
Clique em Finalizar no assistente Criar Conjunto de Atributos. Isto cria um novo conjunto de atributos denominado Portal.
- Siga as etapas abaixo para adicionar o Portal for ArcGIS como um provedor confiável do NetIQ Access Manager.
- Entre no console de admin do NetIQ, escolha seu servidor de identidade e clique no link Editar .
A guia Geral aparece.
- Clique na guia SAML 2.0 e clique em Novo > Provedor de Serviço.
A janela Provedor de Serviço é onde você adiciona o Portal for ArcGIS como um provedor de serviço confiável do NetIQ Access Manager.
- No assistente Provedor de Serviço Confiável, clique em Texto dos Metadados com a Fonte e cole os metadados da sua organização do Portal for ArcGIS na caixa Texto.
Para obter os metadados de sua organização do Portal for ArcGIS, registre na sua organização como um administrador, clique no botão Editar Configurações, clique na guia Segurançae clique no botão Obter Provedor de Serviço. Salve os metadados como um arquivo XML.
Clique em Avançar e clique em Finalizar para finalizar a adição do provedor de serviço confiável.
- Entre no console de admin do NetIQ, escolha seu servidor de identidade e clique no link Editar .
- Siga as etapas abaixo para configurar as propriedades de federação do Portal for ArcGIS e NetIQ Access Manager.
- Na guia SAML 2.0, clique no link do provedor de serviço em Provedores de Serviço. A guia Configuração aparece. Clique na guia Metadados e verifique se os metadados da sua organização do Portal for ArcGIS estão corretos.
- Clique na guia Configuração e volte para a seção Confiável da configuração. Selecione a opção Codificar asserções se você escolheu a configuração avançada Codificar Asserção ao registrar o NetIQ Access Manager como o IDP enterprise com Portal for ArcGIS.
- Clique na guia Atributos.
Nesta etapa, você adiciona o mapeamento do atributo a partir do conjunto que você criou na etapa 2.1, assim o NetIQ Access Manager pode enviar os atributos no Portal for ArcGIS na asserção de SAML.
Selecione o conjunto de atributos que você definiu na etapa 2.1 acima. Após selecionar o conjunto de atributos, os atributos que você definiu no conjunto aparecem na caixa Disponível. Mova seus atributos givenName e email para a caixa Enviar com autenticação.
- Clique na guia Resposta da Autenticação da guia Configuração do provedor de serviço e configure a resposta da autenticação.
Clique em Postar no menu suspenso Vincular.
Na coluna Identificador de Nome, selecione a caixa próxima à Não Especificado.
Na coluna Padrão, selecione o botão de opção próximo à Não Especificado.
Na coluna Valor, escolha Uid de Atributo do Ldap.
Anotação:
Você pode configurar qualquer outro atributo único no conjunto de atributos da sua fonte de autenticação para ser enviado como NameID. O valor deste parâmetro será utilizado como o nome de usuário na organização.
Clique em Aplicar.
- Em Configuração, clique na guia Opções e escolha seu contrato de autenticação de usuário, por exemplo, Formulário - Nome/Senha e clique em Aplicar.
- Reinicie o NetIQ Access Manager procurando seu servidor de identidade e clicando no link Atualizar Todos.