Security Assertion Markup Language (SAML) é um padrão aberto usado para trocar dados de autenticação e autorização com segurança entre um provedor de identidade específico da organização e um provedor de serviços (neste caso, sua organização do ArcGIS Enterprise). Este método é conhecido como Registro Único da Web SAML.
A organização é compatível com SAML 2.0 e integra com provedores de identidade que suportam o Registro Único da Web do 2 SAML. A vantagem da configuração do SAML é que você não precisa criar logins adicionais para os usuários acessarem sua organização; em vez disso, eles usam o login que já está configurado em um armazenamento de identidade. Este processo é descrito ao longo da documentação como configurar logins específicos da organização.
Opcionalmente, você pode fornecer metadados para o portal sobre os grupos de SAML no armazenamento de identidade. Isto permite a você criar grupos no portal que utilizam os grupos de SAML existentes no seu armazenamento de identidade.
Quando membros entram no portal, o acesso ao conteúdo, itens e dados são controlados pelas regras de associação definidas no grupo de SAML. Se você não fornecer o metadados do grupo de SAML necessários, você poderá ainda criar grupos. No entanto, as regras de associação são controladas pelo portal do ArcGIS Enterprise, não pelo armazenamento de identidade.
Corresponder nomes de usuários do ArcGIS Online no portal do ArcGIS Enterprise
Se o mesmo provedor de identidade compatível com SAML for utilizado na sua organização do ArcGIS Online e no seu portal, os nomes de usuários específicos da organização poderão ser configurados para corresponderem. Todos os nomes de usuários específicos da organização no ArcGIS Online têm o nome curto da organização anexado ao final. Os mesmos nomes de usuários específicos da organização podem ser utilizados no seu portal, definindo a propriedade defaultIDPUsernameSuffix na configuração de segurança de portal do ArcGIS Enterprise e configurá-lo para corresponder ao nome curto da organização. Isto é necessário se o rastreamento do editor estiver habilitado em um serviço da feição editado por usuários específicos da organização do ArcGIS Online e seu portal.
Registro do SAML
O ArcGIS Enterprise suporta logins específicos da organização iniciados do provedor de serviço (SP) e logins específicos da organização iniciados do provedor de identidade (IDP). A experiência de registro difere entre cada provedor.
Logins iniciados do provedor de serviço
Com logins iniciados do provedor de serviço, os usuários acessam o portal diretamente e são apresentados com opções para entrar com contas embutidas (gerenciadas pelo portal) ou contas gerenciadas em um provedor de identidade compatível com SAML. Se o usuário selecionar a opção do provedor de identidade do SAML, ele será redirecionado para uma página da web (conhecida como o gerenciador de login) onde ele é avisado para fornecer seu nome de usuário e senha do SAML. Após a verificação das credenciais de login do usuário, o o provedor de identidade compatível doSAML informa ArcGIS Enterprise da identidade verificada do usuário que está entrando e o usuário é redirecionado de volta ao site do portal.
Se o usuário escolher a opção de conta embutida, a página de registro para o site da web do portal ArcGIS Enterprise abre. O usuário então insere seu nome de usuário e senha integrados para acessar o site. Você pode usar a opção de conta embutida como segurança contra falhas, caso o provedor de identidade compatível com SAML esteja indisponível, desde que a opção de entrar com uma conta do ArcGIS não tenha sido desativada.
Logins iniciados do provedor de identidade
Com logins iniciados do provedor de identidade, os usuários acessam diretamente o gerenciador de login e entram com sua conta. Quando o usuário envia suas informações de conta, o provedor de identidade envia a resposta de SAML diretamente no ArcGIS Enterprise. O usuário é então registrado e redirecionado para seu site da web do portal onde podem imediatamente acessar os recursos sem ter que entrar na organização novamente.
A opção para entrar utilizando contas embutidas não está disponível a partir do gerenciador de login. Para entrar na organização com contas integradas, os membros devem acessar o site do portal diretamente.
Anotação:
Se os logins SAML não funcionarem devido a problemas com o provedor de identidade e a opção de contas integradas estiver desabilitada, você não poderá acessar seu portal do ArcGIS Enterprise até reativar essa opção. Consulte esta pergunta em Problemas comuns e soluções para obter instruções.
Provedores de identidade SAML
O ArcGIS Enterprise suporta todos os provedores de identidade compatíveis ao SAML. Você pode encontrar instruções detalhadas sobre como configurar certos provedores de identidade compatíveis com SAML comuns no repositório ArcGIS/idp GitHub.
O processo de configuração dos provedores de identidade com ArcGIS Enterprise está descrito abaixo. Antes de prosseguir, é recomendado que você entre em contato com o administrador do seu provedor de identidade do SAML para obter os parâmetros necessários para configuração.
Informações exigidas
O ArcGIS Enterprise requer que certas informações de atributo sejam recebidas do IDP quando um usuário entrar usando logins SAML. O atributo NameID é obrigatório e deve ser enviado pelo seu IDP na resposta de SAML para criar a federação funcionar. Já que o ArcGIS Enterprise utiliza o valor de NameID para identificar de forma exclusiva um usuário nomeado, é recomendado a você utilizar um valor constante que identifique de forma exclusiva o usuário. Quando um usuário do IDP faz login, um novo usuário com o nome de usuário NameID será criado pela organização do ArcGIS Enterprise em sua loja de usuários. Os caracteres permitidos para o valor enviado por NameID são alfanuméricos, _ (underscore), . (ponto), e @ (arroba). Quaisquer outros caracteres serão liberados para conter underscores no nome de usuário criado pelo ArcGIS Enterprise.
O ArcGIS Enterprise suporta a entrada de um endereço de e-mail do usuário, associações de grupo, nome e sobrenome fornecidos a partir do provedor de identidade do SAML.
Configure o portal com um provedor de identidade SAML
Você pode configurar seu portal de forma que os usuários possam registrar utilizando mesmo nome de usuário e senha que eles utilizam com seus sistemas locais existentes. Antes de configurar logins específicos da organização, você deve configurar um tipo de usuário padrão para sua organização.
- Entre no site da web do portal como um administrador da sua organização e clique em Organização > Configurações > Segurança.
- Na seção Logins, clique no botão Novo login de SAML e selecione a opção Um provedor de identidade. Na página Especificar propriedades, digite o nome da sua organização (por exemplo, City of Redlands).
Quando usuários acessam o site da web do portal, este texto aparece como parte da opção de registro do SAML (por exemplo, Utilizando sua conta da Cidade de Redlands).
- Escolha Automaticamente ou A convite de um administrador para especificar seos usuários podem participar da organização automaticamente ou mediante convite.A primeira opção permite que os usuários façam login na organização com o login específico da organização sem a intervenção de um administrador. Sua conta é registrada com a organização automaticamente na primeira vez que eles entram. A segunda opção exige que o administrador registre as contas necessárias com a organização usando um utilitário da linha de comando. Após as contas serem registradas, os usuários poderão entrar na organização.
Dica:
É recomendado que você designe pelo menos uma conta de SAML como um administrador do seu portal e degrade ou exclua a conta inicial de administrador. Também é recomendado que você desabilite o botão Criar uma conta e o site da web do portal, de forma que os usuários não possam criar suas próprias contas. Para instruções, consulte a seção Designar uma conta especifica da organização como um administrador abaixo.
- Especifique a fonte que o portal acessará para obter informações de metadados. Isso fornece as informações de metadados necessárias sobre seu provedor de identidade compatível com SAML. Você pode encontrar instruções para obter metadados de provedores certificados no repositório ArcGIS/idp GitHub. Há três fontes possíveis de informações de metadados:
- Uma URL—Forneça uma URL que retorna informações de metadados sobre o provedor de identidade.
Anotação:
Se o seu provedor de identidade inclui um certificado autoassinado, você pode encontrar um erro ao especificar a URL HTTPS dos metadados. Este erro acontece, pois o ArcGIS Enterprise não pode verificar o certificado auto assinado do provedor de identidade. Alternativamente, utilize HTTP na URL, ou uma das outras opções abaixo ou configure seu provedor de identidade com um certificado confiável.
- Um Arquivo—Transfira um arquivo que contenha informações de metadados sobre o provedor de identidade.
- Parâmetros especificados aqui—Insira diretamente as informações de metadados sobre o provedor de identidade, fornecendo o seguinte:
- URL de Login (Redirecionar)—Forneça a URL do provedor de identidade (que suporta redirecionar vinculando HTTP) que o ArcGIS Enterprise irá utilizar para permitir um membro registrar.
- URL de Login (POST)—Forneça a URL do provedor de identidade (que suporta redirecionar POST HTTP) que o ArcGIS Enterprise irá utilizar para permitir um membro registrar.
- Certificado—Forneça o certificado, codificado no formato BASE 64, para o provedor de identidade. Este é o certificado que prmite ao ArcGIS Enterprise verificar a assinatura digital em respostas do SAML enviada pelo provedor de identidade.
Anotação:
Entre em contato com o administrador do provedor de identidade se você precisar de ajuda para determinar qual a fonte de informações dos metadados você precisa fornecer.
- Uma URL—Forneça uma URL que retorna informações de metadados sobre o provedor de identidade.
- Registre os metadados do provedor de serviços do portal com seu provedor de identidade para concluir o processo de configuração e estabelecer confiança com o provedor de identidade. Para obter os metadados do seu portal, siga um destes procedimentos:
- Na seção Segurança da guia Configurações da sua organização, clique no botão Baixar metadados do provedor de serviços para baixar o arquivo de metadados da sua organização.
- Abra a URL dos metadados e salve-o como um arquivo .xml no seu computador. A URL é https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, por exemplo, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Você pode gerar um token utilizando https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Ao inserir a URL na página Gerar Token, especifique o nome de domínio completamente qualificado de servidor do provedor de identidade na caixa de texto URL do Webapp. Nenhuma outra opção, como Endereço IP ou Endereço IP da origem desta solicitação, é compatível e pode gerar um token inválido.
Você pode encontrar instruções para registrar os metadados do provedor de serviços do portal com provedores certificados no repositório ArcGIS/idp GitHub.
- Defina as configurações avançadas se aplicáveis:
- Codificar Asserção—Indique para o provedor de identidade de SAMLque o ArcGIS Enterprise suporta respostas de asserção de SAML codificadas. Quando esta opção estiver selecionada, o provedor de identidade codificará a seção de afirmação das respostas de SAML. Todo o tráfego de SAML para e do ArcGIS Enterprise já é codificado pelo uso de HTTPS, mas esta opção adiciona outra camada de criptografia.
- Habilitar Pedido Registrad—Faz com que o ArcGIS Enterprise registre a solicitação de autenticação SAML enviada ao provedor de identidade. O registro do pedido de login inicial enviado pelo ArcGIS Enterprise permite ao provedor de identidade verificar se todos os pedidos de logins são originados de um provedor de serviço confiável.
Dica:
Habilite esta configuração para garantir a integridade das solicitações SAML. Você pode habilitar essa opção a qualquer momento nas configurações avançadas, mesmo que a tenha ignorado durante a configuração inicial do portal.
- Propagar saída para Provedor de Identidade—Faz com que o ArcGIS Enterprise use uma URL de logout para desconectar o usuário do provedor de identidade. Insira a URL para utilizar na configuração da URL de Saída. Se o provedor de identidade exigir que a URL de logout seja assinado, a configuração Habilitar Solicitação Assinada também precisa ser habilitada. Quando esta opção não estiver selecionada, clicar em Sair no ArcGIS Enterprise cancelará o registro de usuário do ArcGIS Enterprise mas não do provedor de identidade. Se o cache do navegador da web do usuário não for apagado, o login imediato no ArcGIS Enterprise para usar a opção de login específica da organização resultará em um login sem fornecer credenciais de usuário ao provedor de identidade SAML. Esta é uma vulnerabilidade de segurança que pode ser explorada ao utilizar um computador que é facilmente acessível aos usuários não autorizados ou ao público geral.
- Atualizar perfis ao fazer login—Faz com que o ArcGIS Enterprise atualize atributos givenName e email address dos usuários se eles mudaram desde o último registro. Isto é habilitado por padrão.
- Habilitar associação de grupo baseado em SAML—Permite que os administradores do portal vinculem grupos no provedor de identidade SAML a grupos criados em seu portal do ArcGIS Enterprise. Quando essa configuração está habilitada, o ArcGIS Enterprise analisa a resposta de asserção SAML para identificar os grupos aos quais um membro pertence. Você pode então especificar um ou mais grupos de SAML fornecidos pelo provedor de identidade para Quem pode participar deste grupo? quando você criar um novo grupo em seu protal.Este recurso está desabilitado por padrão.
Anotação:
Quando você cria um novo grupo no portal do ArcGIS Enterprise, o nome do grupo que você insere deve corresponder ao valor exato do grupo de SAML externo, pois é retornado no valor do atributo da asserção de SAML. Se você não tiver certeza do valor correto, entre em contato com o administrador que configurou o sistema SAML de sua organização.
- URL de Saída—Insira a URL do provedor de identidade ao utilizar para sair do usuário atualmente registrado. Se esta propriedade for especificada no arquivo de metadados do provedor de identidade, ela é configurada automaticamente.
- ID de Identidade—Atualize este valor para utilizar um novo ID de identidade exclusivamente para identificar sua organização do ArcGIS Enterprise para o provedor de identidade do SAML.
Designar uma conta específica da organização como um administrador
A forma que você designa uma conta espcífica da organização como um administrador do portal dependerá se usuários poderão participar da organização automaticamente ou a convite de um administrador.
Participar da organização automaticamente
Se você selecionou a opção Automaticamente para permitir aos usuários participarem da organização automaticamente, abra a página inicial do site da web do portal enquanto registrado com a conta específica da organização que você deseja utilizar como o administrador do portal.
Quando uma conta é adicionada pela primeira vez no portal automaticamente, o papel padrão configurado para novos membros é atribuído. Somente um administrador da organização pode alterar o papel em uma conta; você deve entrar no portal utilizando a conta inicial de administrador e atribuir uma conta específica da organização para o papel de administrador.
- Abra o site da web do portal, clique na opção para entrar utilizando um provedor de identidade do SAML e forneça as credenciais da contade SAML que você deseja utilizar como um administrador. Se esta conta pertencer a outra pessoa, registre este usuário no portal, então a conta será registrada com o portal.
- Verifique se a conta foi adicionada ao portal e clique em Sair. Limpe os cookies e cache do navegador.
- No navegador, abra o site da web do portal, clique na opção para entrar utilizando uma conta do portal embutida e forneça as credenciais da conta inicial de administrador que você criou ao instalar o ArcGIS Enterprise.
- Encontre a conta SAML que deseja usar para administrar o portal e altere a função para Administrador. Clique em Sair.
A conta de SAML que você selecionou é agora um administrador do portal.
Adicionar manualmente contas específicas da organização no portal
Se você escolher a opção A convite de um administrador para somente permitir aos usuários participarem da organização com um convite, você deverá registrar as contas necessárias na organização usando um utilitário de linha de comando. Escolha o papel de Administrador para uma conta de SAML que será utilizada para administrar o portal.
Degradar ou excluir a conta inicial de administrador
Agora que você tem uma conta de administrador do portal alternativa, você pode atribuir a conta inicial de administrador para o outro papel ou excluir a conta. Consulte Sobre a conta inicial de administrador para mais informações.
Previnir usuários de criar suas próprias contas
Você pode impedir que os usuários criem suas próprias contas internas, desabilitando o recursos para usuários criarem novas contas internas nas configurações da organização.
Evitar que os usuários façam login com uma conta ArcGIS
Para evitar que os usuários façam login no portal usando uma conta ArcGIS, desative o botão de alternar Login do ArcGIS na página de login.
- Entre no site da web do portal como um administrador da organização e clique em Organização > Configurações > Segurança.
- Na seção Logins, desative o botão Login do ArcGIS.
A página de login exibe o botão para fazer login no portal usando uma conta de provedor de identidade e o botão de Login do ArcGIS não está disponível. Para reativar logins de membros com contas ArcGIS, habilite o botão Login do ArcGIS na seção Logins.
Modificar ou remover o IDP de SAML
Ao configurar um IDP de SAML , é possível atualizar as configurações clicando no botão Editar ao lado do IDP de SAML atualmente registrado. Atualize as configurações na janela Editar login de SAML.
Para remover o IDP registrado atualmente, clique no botão Editar ao lado do IDP e clique em Excluir login na janela editar login de SAML. Após remover o IDP, opcionalmente será possível instalar um novo IDP ou federação de IDPs.
Melhores práticas para segurança do SAML
Para habilitar logins SAML, você pode configurar o ArcGIS Enterprise como um SP para seu IDP SAML. Para garantir uma segurança robusta, considere as práticas recomendadas descritas abaixo.
Registre digitalmente oos pedidos de login e logout de SAML e registre a resposta de asserção do SAML
As assinaturas são utilizadas para assegurar a integridade de mensagens do SAML e atuar como uma proteção contra ataques de terceiros (MITM). O registro digital do pedido de SAML também assegura que o pedido seja enviado por um SP confiável, permitindo ao IDP lidar melhor com ataques de negação de serviço (DOS). Ative a opção Habilitar pedido registrado em configurações avançadas ao configurar logins do SAML .
Anotação:
A habilitação de solicitações assinadas exige que o IDP seja atualizado sempre que o certificado de assinatura usado pelo SP for renovado ou substituído.
Configure o IDP do SAML para registrar a resposta de SAML para evitar a alteração em trânsito da resposta de asserção do SAML.
Anotação:
A habilitação de solicitações assinadas exige que o SP (ArcGIS Enterprise) seja atualizado sempre que o certificado de assinatura usado pelo IDP for renovado ou substituído.
Utilize o ponto final de HTTPS do IDP
Qualquer comunicação entre o SP, o IDP e o navegador do usuário que é enviado por uma rede interna ou internet em um formato não codificado pode ser interceptado por um usuário malicioso. Se o seu IDP do SAML suportar HTTPS, é recomendado que você utilize o parâmetro de HTTPS para assegurar a confidencialidade dos dados transmitidos durante logins do SAML.
Codificar uma resposta da asserção de SAML
A utilização de HTTPS para comunicação de SAML garante as mensagens de SAML enviadas entre IDP e SP. Entretanto, usuários registrados podem ainda decodificar e visualizar as mensagens de SAML pelo navegador da web. Habilitar a criptografia da resposta de asserção evita os usuários de visualizar informações sensíveis ou confidenciais transmitidas entre o IDP e SP.
Anotação:
Habilitar asserções codificadas exige que o IDP seja atualizado sempre que o certificado de criptografia utilizado pelo SP (ArcGIS Enterprise) for renovado ou substituído.
Gerenciar o registro e certificados de criptografia com segurança
Use certificados com chaves criptográficas fortes para assinar digitalmente ou criptografar mensagens do SAML e renovar ou substituir os certificados a cada três a cinco anos.