Você pode configurar o OpenAM 10.1.0 ou versões posteriores como seu provedor de identidade (IDP) para logins enterprise no Portal for ArcGIS. O processo de configuração envolve duas principais etapas: registrando seu IDP enterprise com Portal for ArcGIS e registrando Portal for ArcGIS com IDP enterprise.
Informações exigidas
O Portal for ArcGIS exige determinadas informações de atributo a serem recebidas do IDP quando um usuário entra utilizando logins enterprise. O atributo NameID é obrigatório e deve ser enviado pelo seu IDP na resposta de SAML para criar a federação com o trabalho do Portal for ArcGIS. Já que o Portal for ArcGIS utiliza o valor de NameID para identificar de forma exclusiva um usuário nomeado, é recomendável utilizar um valor constante que identifica de forma exclusiva o usuário. Quando um usuário IDP entrar, um novo usuário com o nome de usuário NameID será criado pelo Portal for ArcGIS no seu armazenamento de usuário. Os caracteres permitidos para o valor enviado por NameID são alfanuméricos, _ (underscore), . (ponto) e @ (arroba). Quaisquer outros caracteres serão liberados para conter underscores no nome de usuário criado pelo Portal for ArcGIS.
O Portal for ArcGIS suporta a entrada dos atributos givenName e email address do login enterprise a partir do IDP enterprise. Quando um usuário entra utilizando um login enterprise e se o Portal for ArcGIS receber atributos com os nomes givenname e email ou mail (em qualquer caso), o Portal for ArcGIS preencherá o nome completo e o endereço de e-mail da conta de usuário com os valores recebidos do IDP. É recomendado que você passe o email address do IDP enterprise de forma que o usuário possa receber notificações.
Registrar OpenAM como o IDP enterprise com Portal for ArcGIS
- Entre no site da web do portal como um administrador da sua organização e clique em Organização > Editar Configurações > Segurança.
- Na seção Logins Enterprise , selecione a opção Abrir Provedor de Identidade , clique no botão Configurar Login Enterprise e insira o nome da sua organização na janela que aparece (por exemplo, Cidade de Redlands). Quando usuários acessam o site da web do portal, este texto aparece como parte da opção de registro do SAML (por exemplo, Utilizando sua conta da Cidade de Redlands).
Anotação:
Você pode registrar somente um IDP enterprise para seu portal.
- Escolha se os seus usuários poderão participar da organização Automaticamente ou Após você adicionar as contas no portal. A seleção da primeira opção permite aos usuários entrarem na organização com seu login enterprise sem qualquer intervenção de um administrador. Sua conta é registrada com a organização automaticamente na primeira vez que eles entram. A segunda opção exige que o administrador registre as contas necessárias com a organização utilizando um utilitário da linha de comando ou script de Python de amostra. Após as contas serem registradas, os usuários poderão entrar na organização.
Dica:
É recomendado que você designe pelo menos uma conta enterprise como um administrador do seu portal e degrade ou exclua a conta inicial de administrador. Também é recomendado que você desabilite o botão Criar uma conta e a página de registro (signup.html) no site da web do portal, de forma que as pessoas não possam criar suas próprias contas. Para instruções completas, consulte Configurando um provedor de identidade compatível ao SAML com seu portal.
- Forneça informações de metadados para o IDP utilizando uma das opções abaixo:
- URL—Escolha esta opção se a URL dos metadados de federação do OpenAM for acessível pelo Portal for ArcGIS. A URL é normalmente http(s)://<host>:<port>/openam/saml2/jsp/exportmetadata.jsp.
Anotação:
Se o seu IDP enterprise incluir um certificado auto assinado, você poderá encontrar um erro ao tentar especificar a URL de HTTPS dos metadados. Este erro ocorre, pois o Portal for ArcGIS não pode verificar o certificado auto assinado do IDP. Alternativamente, utilize HTTP na URL, uma das outras opções abaixo ou configure seu IDP com um certificado confiável.
- Arquivo—Se a URL não for acessível pelo Portal for ArcGIS, salve os metadados obtidos a partir da URL acima como um arquivo XML e carregue o arquivo.
- Parâmetros—Escolha esta opção se a URL ou arquivo do metadados de federação não estiver acessível. Digite os valores manualmente e forneça os parâmetros solicitados: URL de login e certificado, codificados no formato BASE 64. Entre em contato com seu administrador do OpenAM para obtê-los.
- URL—Escolha esta opção se a URL dos metadados de federação do OpenAM for acessível pelo Portal for ArcGIS. A URL é normalmente http(s)://<host>:<port>/openam/saml2/jsp/exportmetadata.jsp.
- Defina as configurações avançadas conforme aplicáveis:
- Codificar Asserção—Selecione esta opção se OpenAM for configurado para codificar respostas da asserção de SAML.
- Habilitar Pedido Registrado—Selecione esta opção para o Portal for ArcGIS registrar o pedido de autenticação do SAML enviado para OpenAM.
- ID de Identidade—Atualize este valor para utilizar um novo ID de identidade exclusivamente para identificar seu portal para OpenAM.
- Atualizar perfis ao entrar—Selecione esta opção para ter Portal for ArcGIS givenNamee email address dos usuários atualizados, se tiverem mudado desde a última vez que registraram.
- Habilitar associação de grupo baseado em SAML—Selecione esta opção para permitir que os membros da organização vinculem-se a grupos enterprise específicos baseados em SAML para grupos do Portal for ArcGIS durante o processo de criação do grupo .
As configurações Codificar Asserção e Habilitar Pedido Registrado utilizam o certificado samlcert no keystore do portal. Para utilizar um novo certificado, exclua o certificado samlcert, crie um novo certificado com o mesmo nome alternativo (samlcert) seguindo as etapas em Importar um certificado no portal e reinicie o portal.
Anotação:
Atualmente, Propagar saída para Provedor de Identidade e URL de Saída não são suportados.
Registrar o Portal for ArcGIS como o provedor de serviço confiável com OpenAM
- Configure um IDP hospedado no OpenAM.
- Entre no console de administração do OpenAM. Este normalmente está disponível em http://servername:port/<deploy_uri>/console.
- Na guia Tarefas Comuns, clique em Criar Provedor de Identidade Hospedado.
- Crie um IDP hospedado e adicione-o em um Círculo de Confiança. Você pode adicioná-lo a um círculo de confiança existente caso já o tenha ou criar um novo círculo de confiança.
- Por padrão, o IDP hospedado trabalha com OpenDJ, o armazenamento de usuário embutido que é fornecido com OpenAM. Se você deseja conectar o OpenAM em qualquer outro armazenamento de usuário, como Diretório Ativo, você precisará criar uma nova fonte de dados na guia Controle de Acesso do principal console administrativo do OpenAM.
- Configure o Portal for ArcGIS como um provedor de serviço confiável com OpenAM.
- Obtenha o arquivo de metadados do seu portal e salve como um arquivo XML.
Para obter o arquivo de metadados, entre na sua organização como um administrador e abra a página da sua organização. Clique no botão Editar Configurações, clique na guia Segurança e na seção Logins Enterprise, clique no botão Obter Provedor de Serviço.
- No console administrativo do OpenAM, em Tarefas Comuns, clique em Registrar Provedor de Serviço Remoto.
- Selecione a opção Arquivo dos metadados e carregue o arquivo XML dos metadados salvo na etapa anterior.
- Adicione este provedor de serviço no mesmo círculo de confiança que você adicionou seu IDP.
- Obtenha o arquivo de metadados do seu portal e salve como um arquivo XML.
- Configure o formato NameID e atributos que o OpenAM precisa enviar ao Portal for ArcGIS após a autenticação do usuário.
- No console de administração do OpenAM, clique na guia Federação. A guia contém o círculo de confiança que você adicionou anteriormente e o serviço e IDP.
- Em Provedores de Entidade, clique no seu IDP.
- Na guia Conteúdo de Asserção, em Formato de ID do Nome, verifique se urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified é listado na parte superior. Este é o formato de NameID que o Portal for ArcGIS solicitará no seu pedido de SAML para OpenAM.
- Em Mapa do Valor de ID do Nome, mapeie um atributo a partir do perfil de usuário, como mail ou upn, que retornará como NameID no Portal for ArcGIS após o usuário ser autenticado.
Exemplo: urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified =upn
- Clique na guia Processamento de Asserção no IDP. Em Mapeador de Atributo, configure os atributos a partir do perfil do usuário que você deseja enviar para Portal for ArcGIS.
O Portal for ArcGIS suporta a entrada dos atributos givenName e email address do login enterprise a partir do IDP enterprise. Quando um usuário entra utilizando um login enterprise e se o Portal for ArcGIS receber atributos com os nomes givenname e email ou mail (em qualquer caso), o Portal for ArcGIS preencherá o nome completo e o endereço de e-mail da conta de usuário com os valores recebidos do IDP.
É recomendado que você passe o endereço de e-mail do IDP enterprise para Portal for ArcGIS. Isto ajuda se o usuário se tornar posteriormente um administrador. Ter um endereço de e-mail na conta intitula o usuário para receber notificações relacionadas com qualquer atividade administrativa e enviar convites para outros usuários participarem da organização.
Clique em Salvar para salvar o formato NameID e as alterações de conteúdo do atributo.
- Na guia Federação do console de administração do OpenAM, procure o provedor de serviço do Portal for ArcGIS em Provedores de Identidade.
- Na guia Conteúdo de Asserção, em Codificar, selecione a opção Asserção se você escolheu a configuração avançada Codificar Asserção ao registrar o OpenAM como o IDP enterprise com Portal for ArcGIS.
- Em Formato de ID do Nome, verifique se urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified está listado na parte superior. Este é o formato de NameID que o Portal for ArcGIS solicitará no seu pedido de SAML para OpenAM..
- Clique na guia Processamento de Asserção no IDP. Em Mapeador de Atributo, configure os atributos a partir do perfil do usuário que você deseja enviar para Portal for ArcGIS.
- Clique em Salvar para salvar o Formato de ID do Nome e as alterações de conteúdo do atributo.
- Reinicie o servidor da web onde o OpenAM está implantado.