Skip To Content

Configurar Okta

Você pode configurar o Okta como seu provedor de identidade (IDP) para logins enterprise no Portal for ArcGIS. O processo de configuração envolve duas principais etapas: registrando seu IDP enterprise com Portal for ArcGIS e registrando Portal for ArcGIS com IDP enterprise.

Informações exigidas

O Portal for ArcGIS exige determinadas informações de atributo a serem recebidas do IDP quando um usuário entra utilizando logins enterprise. O atributo NameID é obrigatório e deve ser enviado pelo seu IDP na resposta de SAML para criar a federação com o trabalho do Portal for ArcGIS. Já que o Portal for ArcGIS utiliza o valor de NameID para identificar de forma exclusiva um usuário nomeado, é recomendável utilizar um valor constante que identifica de forma exclusiva o usuário. Quando um usuário IDP entrar, um novo usuário com o nome de usuário NameID será criado pelo Portal for ArcGIS no seu armazenamento de usuário. Os caracteres permitidos para o valor enviado por NameID são alfanuméricos, _ (underscore), . (ponto) e @ (arroba). Quaisquer outros caracteres serão liberados para conter underscores no nome de usuário criado pelo Portal for ArcGIS.

O Portal for ArcGIS suporta a entrada dos atributos givenName e email address do login enterprise a partir do IDP enterprise. Quando um usuário entra utilizando um login enterprise e se o Portal for ArcGIS receber atributos com os nomes givenname e email ou mail (em qualquer caso), o Portal for ArcGIS preencherá o nome completo e o endereço de e-mail da conta de usuário com os valores recebidos do IDP. É recomendado que você passe o email address do IDP enterprise de forma que o usuário possa receber notificações.

Registrar Okta como o IDP enterprise com Portal for ArcGIS

  1. Entre no site da web do portal como um administrador da sua organização e clique em Organização > Editar Configurações > Segurança.
  2. Na seção Logins Enterprise , selecione a opção Abrir Provedor de Identidade , clique no botão Configurar Login Enterprise e insira o nome da sua organização na janela que aparece (por exemplo, Cidade de Redlands). Quando usuários acessam o site da web do portal, este texto aparece como parte da opção de registro do SAML (por exemplo, Utilizando sua conta da Cidade de Redlands).
    Anotação:

    Você pode registrar somente um IDP enterprise para seu portal.

  3. Escolha se os seus usuários poderão participar da organização Automaticamente ou Após você adicionar as contas no portal. A seleção da primeira opção permite aos usuários entrarem na organização com seu login enterprise sem qualquer intervenção de um administrador. Sua conta é registrada com a organização automaticamente na primeira vez que eles entram. A segunda opção exige que o administrador registre as contas necessárias com a organização utilizando um utilitário da linha de comando ou script de Python de amostra. Após as contas serem registradas, os usuários poderão entrar na organização.
    Dica:

    É recomendado que você designe pelo menos uma conta enterprise como um administrador do seu portal e degrade ou exclua a conta inicial de administrador. Também é recomendado que você desabilite o botão Criar uma conta e a página de registro (signup.html) no site da web do portal, de forma que as pessoas não possam criar suas próprias contas. Para instruções completas, consulte Configurando um provedor de identidade compatível ao SAML com seu portal.

  4. Forneça informações de metadados para o IDP utilizando uma das opções abaixo:
    • Arquivo—Baixe ou obtenha uma cópia do arquivo de metadados da federação a partir do Okta e carregue o arquivo no Portal for ArcGIS utilizando a opção Arquivo.
      Anotação:
      Se esta for a primeira vez que você estiver registrando um provedor de serviços com Okta, você precisará obter o arquivo de metadados após o registro do Portal for ArcGIS com Okta.
    • Parâmetros—Escolha esta opção se a URL ou arquivo do metadados de federação não estiver acessível. Digite os valores manualmente e forneça os parâmetros solicitados: URL de login e certificado, codificados no formato BASE 64. Entre em contato com seu administrador do Okta para obtê-los.
  5. Defina as configurações avançadas conforme aplicáveis:
    • Codificar Asserção—Selecione esta opção para codificar respostas da asserção de SAML do Okta.
    • Habilitar Pedido Registrado—Selecione esta opção para o Portal for ArcGIS registrar o pedido de autenticação do SAML enviado para Okta.
    • Propagar saída do Provedor de Identidade—Selecione esta opção para o Portal for ArcGIS utilizar uma URL de saída para sair do Okta. Insira a URL para utilizar na configuração da URL de Saída. Se o provedor de identidade exigir que a URL de saída seja registrada, Habilitar Pedido Registrado precisará ser marcado.
    • Atualizar perfis ao entrar—Selecione esta opção para ter Portal for ArcGIS givenNamee email address dos usuários atualizados, se tiverem mudado desde a última vez que registraram.
    • Habilitar associação de grupo baseado em SAML—Selecione esta opção para permitir que os membros da organização vinculem-se a grupos enterprise específicos baseados em SAML para grupos do Portal for ArcGIS durante o processo de criação do grupo .
    • URL de Saída—A URL do IDP ao utilizar para sair do usuário atualmente registrado.
    • ID de Identidade—Atualize este valor para utilizar um novo ID de identidade exclusivamente para identificar seu portal para Okta.

    As configurações Codificar Asserção e Habilitar Pedido Registrado utilizam o certificado samlcert no keystore do portal. Para utilizar um novo certificado, exclua o certificado samlcert, crie um novo certificado com o mesmo nome alternativo (samlcert) seguindo as etapas em Importar um certificado no portal e reinicie o portal.

  6. Ao finalizar, clique em Atualizar Provedor de Identidade.
  7. Clique em Obter Provedor de Serviço para baixar o arquivo de metadados do portal. As informações neste arquivo serão utilizadas para registrar o portal como o provedor de serviço confiável com Okta.

Registrar Portal for ArcGIS como o provedor de serviço confiável com Okta

  1. Entre na organização do Okta como um membro com privilégios administrativos.
  2. Na guia Aplicativos, clique no botão Adicionar Aplicativo.
  3. Clique em Criar Novo Aplicativo e selecione a opção SAML 2.0. Clique em Criar.
  4. Em Configurações Gerais, digite um Nome de Aplicativo para sua implantação do portal e clique em Avançar.
  5. Na guia Configurar SAML, faça o seguinte:
    1. Insira o valor para URL de Registro Único, por exemplo, https://portalhostname.domain.com/portalcontext/sharing/rest/oauth2/saml/signin. Este valor pode ser copiado do arquivo de metadados do provedor de serviço baixado do seu portal.
    2. Insira o valor para o URI do Público. O valor padrão é configurado para portalhostname.domain.com.portalcontext. Este valor pode ser copiado do arquivo de metadados do provedor de serviço baixado do seu portal.
    3. Deixe o Formato de ID do Nome como Não Especificado.
    4. Em Configurações Avançadas, altere a opção Assinatura de Asserção para Não Especificado.
    5. Na seção Declarações do Atributo, adicione estas declarações do atributo:

      givenName configure para user.firstName + " " + user.lastName

      email configure para user.email

  6. Clique em Avançar e clique em Finalizar.
  7. Agora você visualizará a seção Registrar do seu aplicativo SAML recentemente criado. Para obter metadados de IDP do Okta, clique na guia Registrar e clique no link Metadados do Provedor de Identidade.
  8. Clique com o botão direito na guia Usuários e configure quais usuários autenticados de Okta terão acesso no seu portal.