Sua organização pode utilizar o SAML (Security Assertion Markup Language) para autenticar seus usuários do computador e autorizar o acesso aos seus recursos habilitados para web. Para isto, um único provedor de identidade compatível com SAML (IDP) é configurado para lidar com a autenticação de usuário. Os recursos da web da organização são hospedados em um ou mais provedores de serviço, que lidam com a autorização de acesso aos recursos da web. A organização tem controle total de gerenciamento de seus IDPs e provedores de serviços. Para oferecer suporte à autenticação e autorização com base em SAML, cada um dos provedores de serviços da organização deve estar registrado para trabalhar com seu IDP. Cada provedor de serviços pode ser registrado somente com um único IDP.
Você também pode utilizar o SAML para compartilhar recursos em várias organizações controladas independentemente. Isto é possível por entidades de gerenciamento de federação, que permitem o compartilhamento de recursos com base em SAML entre suas organizações membros. Uma organização membro que deseja compartilhar seus recursos da web com a federação reserva um ou mais dos seus provedores de serviços para trabalhar exclusivamente dentro da federação. Para acessar um recurso protegido compartilhado com a federação, um usuário autentica sua identidade com o IDP da sua organização de origem. Após autenticada com sucesso, esta identidade validada é apresentada ao provedor de serviços que hospeda o recurso protegido. O provedor de serviços, então, concede acesso ao recurso após verificar os privilégios de acesso do usuário.
Seu portal do ArcGIS Enterprise pode ser configurado com uma federação de IDPs baseada em SAML. O portal acessa o serviço de descoberta hospedado pela federação, que fornece uma lista dos provedores de identidade e provedores de serviços que participam da federação.
Algumas federações do provedor de identidades baseadas em SAML comuns são InCommon, eduGAIN, SWITCHaai, DFN-AAI, e Federação de Gerenciamento do Acesso de UK.
Configurar a federação com seu portal
Siga estas etapas para configurar uma federação baseada em SAML de provedores de identidade com seu portal:
- Faça login no portal como administrador e clique em Organização > Configurações > Segurança.
- Na seção Logins, clique no botão Novo login de SAML e selecione a opção Uma federação dos provedores de identidade. Na página Especificar propriedades, insira o nome da sua federação.
A descrição é exibida para usuários que acessam o portal como parte da opção de entrada SAML.
- Escolha como seus usuários podem participar da organização do portal:
- Automaticamente—Permite que os usuários façam login na organização com o login específico da organização sem precisar da permissão de um administrador, já que sua conta é automaticamente registrada no portal na primeira vez que eles se conectam.
- Mediante convite de um administrador—Requer que o administrador da organização registre as contas necessárias com a organização usando um utilitário de linha de comando ou script Python.
Anotação:
A Esri recomenda que você designe pelo menos uma conta SAML como administrador de seu portal e desative o botão Criar uma conta no portal para que os usuários não possam criar suas próprias contas. Para obter mais informações, consulte a seção Designar uma conta SAML como administrador abaixo.
- Forneça a URL para o serviço de descoberta de IDP centralizado hospedado pela federação, como https://wayf.samplefederation.com/WAYF.
- Forneça a URL para os metadados da federação, que é uma agregação dos metadados de todos os provedores de identidade e provedores de serviços que participam da federação.
- Copie e cole o certificado, codificado no formato Base64, que permite ao portal verificar a validade dos metadados da federação.
- Defina as configurações avançadas se aplicáveis:
- Codificar Asserção—Selecione esta opção para indicar ao provedor de identidade do SAML que o portal suporta respostas de asserção de SAML codificadas. Quando esta opção estiver selecionada, o provedor de identidade codificará a seção de asserção das respostas de SAML. Todo o tráfego de SAML para e do portal já é codificado pelo uso de HTTPS, mas esta opção adiciona outra camada de criptografia.
- Habilitar Pedido Registrado—Selecione esta opção para ter o portal registrado no pedido de autenticação do SAML enviado ao IDP. O registro do pedido de login inicial enviado pelo portal permite ao IDP verificar se todos os pedidos de login são originados de um provedor de serviços confiável.
- Propagar Saída para Provedor de Identidade—Habilite esta opção para o portal utilizar uma URL de saída para cancelar o registro do usuário a partir do IDP. Se você selecioná-la, insira a URL para utilizar na configuração da URL de Saída . Se o IDP exigir que a URL de saída seja atribuída, a opção Habilitar Pedido Registrado também precisará ser marcada. Se esta opção não estiver marcada, clicar em Sair no portal fará com que o usuário saia do portal, mas não do IDP. Se o cache do navegador da web do usuário não for apagado, a tentativa de entrar imediatamente de volta no portal usando a opção de login específica da organização fará o login imediatamente sem a necessidade de fornecer credenciais ao IDP. Esta é uma vulnerabilidade de segurança que pode ser explorada ao utilizar um computador que é facilmente acessível aos usuários não autorizados ou ao público geral.
- Atualizar perfis ao entrar—Habilite esta opção para que o portal atualize os atributos givenName e e-mail do usuário se eles tiverem sido alterados desde o último login. Isto é selecionado por padrão.
- ID de identidade—Atualize este valor para utilizar um novo ID de identidade exclusivamente para identificar sua organização do portal na federação de SAML.
Registrar o portal com a federação de SAML como um provedor de serviços confiável
Para concluir o processo de configuração, estabeleça confiança com o serviço de descoberta da federação e seu IDP organizacional registrando os metadados do provedor de serviços do portal com eles. Há duas maneiras de obter estes metadados:
- Na seção Segurança da página Configurações da sua organização, clique no botão Baixar metadados do provedor de serviços para baixar o arquivo de metadados da sua organização.
- Abra a URL dos metadados e salve como um arquivo XML no seu computador. A URL é https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, por exemplo, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Você pode gerar um token utilizando https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Ao inserir a URL na página Gerar Token , especifique o nome de domínio completamente qualificado de servidor do provedor de identidade no campo URL do Webapp. A seleção de qualquer outra opção, como Endereço IP ou Endereço IP desta origem do pedido , não é suportada e pode gerar um token inválido.
Após baixar os metadados do provedor de serviços, entre em contato com os administradores da federação de SAML para obter instruções sobre como integrar seus metadados ao arquivo de metadados agregado da federação. Você também precisará de instruções deles para registrar seu IDP com a federação.
Designar uma conta SAML como administrador
A forma como você designa uma conta SAML como administrador do portal dependerá se os usuários poderão ingressar na organização Automaticamente ou Mediante convite de um administrador.
Participar da organização automaticamente
Se você escolheu a opção de permitir que os usuários ingressem na organização Automaticamente, abra o portal enquanto estiver conectado com a conta SAML que deseja usar como administrador da organização.
Quando uma conta é adicionada pela primeira vez no portal automaticamente, é atribuído o papel de Usuário. Apenas um administrador da organização pode alterar a função em uma conta; portanto, você deve entrar no portal usando a conta de administrador inicial e atribuir uma conta SAML ao papel de Administrador.
- Abra o portal, clique na opção para entrar usando um provedor de identidade SAML e forneça as credenciais da conta SAML que deseja usar como administrador. Se esta conta pertencer a outra pessoa, registre este usuário no portal, então a conta será registrada com o portal.
- Verifique se a conta foi adicionada ao portal e clique em Sair. Limpe os cookies e cache do navegador.
- Enquanto estiver no navegador, abra o portal, clique na opção para entrar usando uma conta do portal integrada e forneça as credenciais da conta de administrador inicial que você criou quando configurou o ArcGIS Enterprise.
- Localize a conta de SAML que você utilizará para administrar seu portal e altere o papel para Administrador. Clique em Sair.
A conta de SAML que você selecionou é agora um administrador do portal.
Adicionar manualmente contas SAML ao portal
Se você escolheu a opção de permitir que apenas usuários participem na organização Mediante convite de um administrador, você precisará registrar as contas necessárias com a organização usando um utilitário da linha de comando. Certifique-se de escolher o papel de Administrador para uma conta SAML que será usada para administrar o portal.
Degradar ou excluir a conta inicial de administrador
Agora que você tem uma conta alternativa de administrador da organização, pode atribuir a conta de administrador inicial ao papel de Usuário ou excluir a conta. Consulte Sobre a conta inicial de administrador para mais informações.
Previnir usuários de criar suas próprias contas
Você pode impedir que os usuários criem suas próprias contas internas, desabilitando o recursos para usuários criarem novas contas internas nas configurações da organização.
Desativar registro com as contas do ArcGIS
Se você deseja evitar que os usuários façam login no portal usando uma conta do ArcGIS, você pode desativar o botão de Login do ArcGIS na página de login usando as seguintes etapas:
- Faça login no portal como administrador de sua organização e clique em Organização > Configurações > Segurança.
- Na seção Logins, desative o botão de alternar do Login do ArcGIS.
A página de login exibirá o botão para entrar no portal usando uma conta de provedor de identidade e o botão para entrar usando um Login do ArcGIS não estará disponível. Você pode habilitar novamente logins do membro com contas do ArcGIS ativando a opção Login do ArcGIS em Logins.
Modificar ou remover o provedor de identidade do SAML
Depois de configurar uma federação, você pode atualizar suas configurações clicando no botão Editar ao lado dela. Atualize suas configurações na janela Editar login de SAML.
Para remover a federação do seu portal, clique no botão Editar próximo a ele e clique em Excluir login na janela Editar login SAML. Depois de removê-lo, você pode configurar opcionalmente um novo provedor de identidade ou federação de provedores de identidade, se desejar.