Sua organização pode utilizar o SAML (Security Assertion Markup Language) para autenticar seus usuários do computador e autorizar o acesso aos seus recursos habilitados para web. Para isto, um único provedor de identidade compatível com SAML (IDP) é configurado para lidar com a autenticação de usuário. Os recursos da web da organização são hospedados em um ou mais provedores de serviço, que lidam com a autorização de acesso aos recursos da web. A organização tem controle total de gerenciamento de seus IDPs e provedores de serviços. Para oferecer suporte à autenticação e autorização com base em SAML, cada um dos provedores de serviços da organização deve estar registrado para trabalhar com seu IDP. Cada provedor de serviços pode ser registrado somente com um único IDP.
Você também pode utilizar o SAML para compartilhar recursos em várias organizações controladas independentemente. Isto é possível por entidades de gerenciamento de federação, que permitem o compartilhamento de recursos com base em SAML entre suas organizações membros. Uma organização membro que deseja compartilhar seus recursos da web com a federação reserva um ou mais dos seus provedores de serviços para trabalhar exclusivamente dentro da federação. Para acessar um recurso protegido compartilhado com a federação, um usuário autentica sua identidade com o IDP da sua organização de origem. Após autenticada com sucesso, esta identidade validada é apresentada ao provedor de serviços que hospeda o recurso protegido. O provedor de serviços, então, concede acesso ao recurso após verificar os privilégios de acesso do usuário.
Na versão 10.6.1, seu portal do ArcGIS Enterprise pode ser configurado com uma federação de IDPs baseada em SAML. O portal acessa o serviço de descoberta hospedado pela federação, que fornece uma lista dos provedores de identidade e provedores de serviços que participam da federação.
Algumas federações do provedor de identidades baseadas em SAML comuns são InCommon, eduGAIN, SWITCHaai, DFN-AAI, e Federação de Gerenciamento do Acesso de UK.
Configurar a federação com seu portal
Siga estas etapas para configurar uma federação dos provedores de identidade baseada em SAML com seu portal.
- Entre no site do portal como administrador e clique em Organização > Configurações > Segurança.
- Na seção Logins Enterprise , selecione a opção Uma federação de provedores de identidade , clique o botão Configurar Login Enterprise , e insira a descrição da sua federação na janela que aparece. Esta descrição é exibida para os usuários que acessam o site do portal como parte da opção de login do SAML.
- Escolha como seus usuários podem participar da organização do portal:
- Automaticamente—Permite que usuários entrem na organização com o login enterprise sem precisar da permissão de um administrador, pois a conta é registrada automaticamente no portal na primeira vez que registram
- A convite de um administrador—Exige que o administrador do portal registre as contas necessárias na organização utilizando um utilitário da linha de comando ou script de Python
Anotação:
A Esri recomendada a você designar pelo menos uma conta enterprise como administrador do seu portal e desabilitar o botão Criar uma conta e página de registro (signup.html) no site do portal para que os usuários não possam criar suas próprias contas. Para mais informações, consulte a seção Designar uma conta enterprise como um administrador abaixo
- Forneça a URL para o serviço de descoberta de IDP centralizado hospedado pela federação, como https://wayf.samplefederation.com/WAYF.
- Forneça a URL para os metadados da federação, que é uma agregação dos metadados de todos os provedores de identidade e provedores de serviços que participam da federação.
- Copie e cole o certificado, codificado no formato Base64, que permite ao portal verificar a validade dos metadados da federação.
- Defina as configurações avançadas se aplicáveis:
- Codificar Asserção—Selecione esta opção para indicar ao provedor de identidade do SAML que o portal suporta respostas de asserção de SAML codificadas. Quando esta opção estiver selecionada, o provedor de identidade codificará a seção de asserção das respostas de SAML. Todo o tráfego de SAML para e do portal já é codificado pelo uso de HTTPS, mas esta opção adiciona outra camada de criptografia.
- Habilitar Pedido Registrado—Selecione esta opção ter o portal registrado no pedido de autenticação do SAML enviado ao IDP. O registro do pedido de login inicial enviado pelo portal permite ao IDP verificar se todos os pedidos de login são originados de um provedor de serviços confiável.
- Propagar Saída para Provedor de Identidade—Selecione esta opção para o portal utilizar uma URL de saída para cancelar o registro do usuário a partir do IDP. Se você selecioná-la, insira a URL para utilizar na configuração da URL de Saída . Se o IDP exigir que a URL de saída seja atribuída, a opção Habilitar Pedido Registrado também precisará ser marcada. Se esta opção não estiver selecionada, ao clicar em Sair no site da web do portal, o usuário sairá do portal, mas não do IDP. Se o cache do navegador da web do usuário não estiver limpo, a tentativa de entrar de novo imediatamente no portal utilizando a opção de login enterprise resultará em um login imediato sem precisar fornecer credenciais ao IDP. Esta é uma vulnerabilidade de segurança que pode ser explorada ao utilizar um computador que é facilmente acessível aos usuários não autorizados ou ao público geral.
- Atualizar perfis ao entrar—Selecione esta opção para que o portal atualize os atributos givenName e email do usuário se eles tiverem sido alterados desde o último login. Isto é selecionado por padrão.
- ID de identidade—Atualize este valor para utilizar um novo ID de identidade exclusivamente para identificar sua organização do portal na federação de SAML.
Registrar o portal com a federação de SAML como um provedor de serviços confiável
Para concluir o processo de configuração, estabeleça confiança com o serviço de descoberta da federação e seu IDP organizacional registrando os metadados do provedor de serviços do portal com eles. Há duas maneiras de obter estes metadados:
- Na seção Segurança da página Editar Configurações da sua organização, clique no botão Obter Provedor de Serviço. Este procedimento fornece os metadados para sua organização, os quais você pode salvar como um arquivo XML em seu computador.
- Abra a URL dos metadados e salve como um arquivo XML no seu computador. A URL é https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, por exemplo, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Você pode gerar um token utilizando https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Ao inserir a URL na página Gerar Token especifique o nome de domínio qualificado completo de servidor do provedor de identidade no campo URL do Webapp. A seleção de qualquer outra opção, como Endereço IP ou Endereço IP desta origem do pedido , não é suportada e pode gerar um token inválido.
Após baixar os metadados do provedor de serviços, entre em contato com os administradores da federação de SAML para obter instruções sobre como integrar seus metadados ao arquivo de metadados agregado da federação. Você também precisará de instruções deles para registrar seu IDP com a federação.
Designar uma conta enterprise como um administrador
A forma que você designa uma conta enterprise como um administrador do portal dependerá se usuários poderão participar da organização Automaticamente ou Após você adicionar as contas no portal.
Participar da organização automaticamente
Se você selecionou a opção para permitir aos usuários participarem da organização Automaticamente, abra a página inicial do site da web do portal enquanto registrado com a conta enterprise que você deseja utilizar como o administrador do portal.
Quando uma conta é adicionada pela primeira vez no portal automaticamente, é atribuído o papel de Usuário. Somente um administrador da organização pode alterar o papel em uma conta; então, você deve entrar no portal utilizando a conta inicial de administrador e atribuir uma conta enterprise para o papel de administrador.
- Abra o site da web do portal, clique na opção para entrar utilizando um provedor de identidade do SAML e forneça as credenciais da conta enterprise que você deseja utilizar como um administrador. Se esta conta pertencer a outra pessoa, registre este usuário no portal, então a conta será registrada com o portal.
- Verifique se a conta foi adicionada ao portal e clique em Sair. Limpe os cookies e cache do navegador.
- Ainda no navegador, abra o site da web do portal, clique na opção para entrar utilizando uma conta do portal embutida e forneça as credenciais da conta inicial de administrador que você criou ao instalar o Portal for ArcGIS.
- Localize a conta enterprise que você utilizará para administrar seu portal e altere o papel para Administrador. Clique em Sair.
A conta enterprise que você selecionou é agora um administrador do portal.
Adicionar contas enterprise manualmente no portal
Se você escolheu a opção para somente permitir aos usuários participarem da organização Após você adicionar contas no portal, você precisará registrar as contas necessárias com a organização utilizando um utilitário da linha de comando ou script de Python de amostra. Certifique-se de escolher o papel de Administrador para uma conta enterprise que será utilizada para administrar o portal.
Degradar ou excluir a conta inicial de administrador
Agora que você tem uma conta de administrador do portal alternativa, você pode atribuir a conta inicial de administrador para o papel de Usuário ou excluir a conta. Consulte Sobre a conta inicial de administrador para mais informações.
Previnir usuários de criar suas próprias contas
Após proteger o acesso ao seu portal, é recomendado que você desabilite o botão Criar uma conta e página de registro (signup.html) no site da web do portal de forma que as pessoas não possam criar suas próprias contas. Isto significa que todos os membros entram no portal com suas credenciais e conta enterprise, e contas embutidas desnecessárias não podem ser criadas. Consulte Desabilitando recurso de usuários para criar contas do portal embutidas para instruções completas.
Desativar registro com as contas do ArcGIS
Se deseja evitar que os usuários entrem no portal utilizando uma conta do ArcGIS, é possível desativar o botão Utilizando Sua Conta do ArcGIS na página de registro utilizando as seguintes etapas.
- Entre no site da web do portal como um administrador da sua organização e clique em Organização > Editar Configurações > Segurança.
- Dentro da seção Opções de Registro, escolha o botão de opção para Somente sua conta SAML IDP, onde o IDP irá variar dependendo do que você configurou para seu portal.
- Clique em Salvar.
A página de registro exbirá o botão para entrar no portal utilizando uma conta do provedor de identidade e o botão para entrar Utilizando Sua Conta do ArcGIS não estará disponível. Você pode habilitar novamente os logins de membros com contas do ArcGIS escolhendo Sua conta do IDP de SAML ou a conta do Portal for ArcGIS em Opções de Registro, onde o IDP e nome do seu portal irão variar dependendo do que você configurou.
Modificar ou remover o provedor de identidade do SAML
Você pode atualizar as configurações da sua federação utilizando o botão Editar Login Enterprise , ou remover a federação do seu portal utilizando o botão Remover Login Enterprise . Estes botões aparecem após você configurar a federação com o seu portal. Após removê-la, você poderá configurar um novo provedor de identidade ou federação dos provedores de identidade, se desejar.