O Security Assertion Markup Language (SAML) é um padrão aberto que é utilizado para trocar dados de autenticação e autorização com segurança entre um provedor de identidade específico da organização e um provedor de serviços (neste caso, Portal for ArcGIS). Este método é conhecido como Registro Único da Web SAML.
O portal é compatível com SAML 2.0 e integra com provedores de identidade que suportam o Registro Único da Web do SAML 2. A vantagem de instalar o SAML é que você não precisa criar logins adicionais para os usuários acessarem o portal do ArcGIS Enterprise ; pelo contrário, eles utilizam o login que já está instalado em um armazenamento de identidade. Este processo é descrito ao longo da documentação como configurar logins específicos da organização.
Opcionalmente, você pode fornecer metadados para o portal sobre os grupos enterprise no armazenamento de identidade. Isto permite a você criar grupos no portal que utilizam os grupos enterprise existentes no seu armazenamento de identidade.
Quando membros entram no portal, o acesso ao conteúdo, itens e dados são controlados pelas regras de associação definidas no grupo enterprise. Se você não fornecer o metadados de grupo enterprise necessários, você pode ainda criar grupos. No entanto, as regras de associação são controladas pelo portal do ArcGIS Enterprise, não pelo armazenamento de identidade.
Anotação:
Na versão 10.6.1, você também pode configurar uma federação de provedores de identidade baseados em SAML com seu portal.
Corresponder nomes de usuários do ArcGIS Online no portal do ArcGIS Enterprise
Se o mesmo provedor de identidade compatível com SAML for utilizado na sua organização do ArcGIS Online e no seu portal, os nomes de usuários específicos da organização poderão ser configurados para corresponderem. Todos os nomes de usuários específicos da organização no ArcGIS Online têm o nome curto da organização anexado ao final. Os mesmos nomes de usuários específicos da organização podem ser utilizados no seu portal, definindo a propriedade defaultIDPUsernameSuffix na configuração de segurança de portal do ArcGIS Enterprise e configurá-lo para corresponder ao nome curto da organização. Isto é necessário se o rastreamento do editor estiver habilitado em um serviço da feição editado por usuários específicos da organização do ArcGIS Online e seu portal.
Registro do SAML
O Portal for ArcGIS suporta logins específicos da organização iniciados do provedor de serviço (SP) e logins específicos da organização iniciados do provedor de identidade (IDP). A experiência de registro difere entre cada provedor.
Logins iniciados do provedor de serviço
Com logins iniciados do provedor de serviço, os usuários acessam o portal diretamente e são apresentados com opções para entrar com contas embutidas (gerenciadas pelo portal) ou contas gerenciadas em um provedor de identidade compatível com SAML. Se o usuário selecionar a opção do provedor de identidade do SAML, ele será redirecionado para uma página da web (conhecida como o gerenciador de login) onde ele é avisado para fornecer seu nome de usuário e senha do SAML. Após a verificação das credenciais de login do usuário, o o provedor de identidade compatível doSAML informa Portal for ArcGIS da identidade verificada do usuário que está entrando e o usuário é redirecionado de volta ao site do portal.
Se o usuário escolher a opção de conta embutida, a página de registro para o site da web do portal ArcGIS Enterprise abre. O usuário então insere seu nome de usuário e senha integrados para acessar o site. Você pode usar a opção de conta embutida como segurança contra falhas, caso o provedor de identidade compatível com SAML esteja indisponível, desde que a opção de entrar com uma conta do ArcGIS não tenha sido desativada.
Logins iniciados do provedor de identidade
Com logins iniciados do provedor de identidade, os usuários acessam diretamente o gerenciador de login e entram com sua conta. Quando o usuário envia suas informações de conta, o provedor de identidade envia a resposta de SAML diretamente no Portal for ArcGIS. O usuário é então registrado e redirecionado para seu site da web do portal onde podem imediatamente acessar os recursos sem ter que entrar na organização novamente.
A opção para entrar utilizando contas embutidas não está disponível a partir do gerenciador de login. Para entrar na organização com contas integradas, os membros devem acessar o site do portal diretamente.
Anotação:
Se os logins SAML não funcionarem devido a problemas com o provedor de identidade e a opção de contas integradas estiver desabilitada, você não poderá acessar seu portal do ArcGIS Enterprise até reativar essa opção. Consulte esta pergunta em Problemas comuns e soluções para obter instruções.
Provedores de identidade SAML
O Portal for ArcGIS suporta todos os provedores de identidade compatíveis ao SAML. Você pode encontrar instruções detalhadas sobre como configurar certos provedores de identidade compatíveis com SAML comuns no repositório ArcGIS/idp GitHub.
O processo de configuração dos provedores de identidade com ArcGIS Enterprise está descrito abaixo. Antes de prosseguir, é recomendado que você entre em contato com o administrador do seu provedor de identidade do SAML para obter os parâmetros necessários para configuração. Por exemplo, se sua organização usa o Microsoft Active Directory, o administrador responsável por isso é a pessoa a ser contatada para configurar ou habilitar o SAML no lado do provedor de identidade específico da organização e obter os parâmetros necessários para configuração no portal.
Informações exigidas
O Portal for ArcGIS requer que certas informações de atributo sejam recebidas do IDP quando um usuário entrar usando logins SAML. O atributo NameID é obrigatório e deve ser enviado pelo seu IDP na resposta de SAML para criar a federação com o trabalho do Portal for ArcGIS. Já que o Portal for ArcGIS utiliza o valor de NameID para identificar de forma exclusiva um usuário nomeado, é recomendado a você utilizar um valor constante que identifique de forma exclusiva o usuário. Quando um usuário IDP entrar, um novo usuário com o nome de usuário NameID será criado pelo Portal for ArcGIS em seu armazenamento de usuário. Os caracteres permitidos para o valor enviado por NameID são alfanuméricos, _ (underscore), . (ponto), e @ (arroba). Quaisquer outros caracteres serão liberados para conter underscores no nome de usuário criado pelo Portal for ArcGIS.
O Portal for ArcGIS suporta a entrada de um endereço de e-mail do usuário, associações de grupo, nome e sobrenome fornecidos a partir do provedor de identidade do SAML.
Configure o portal com um provedor de identidade SAML
Você pode configurar seu portal de forma que os usuários possam registrar utilizando mesmo nome de usuário e senha que eles utilizam com seus sistemas locais existentes. Antes de configurar logins específicos da organização, você deve configurar um tipo de usuário padrão para sua organização.
- Entre no site da web do portal como um administrador da sua organização e clique em Organização > Configurações > Segurança.
- Na seção Logins, clique no botão Novo login de SAML e selecione a opção Um provedor de identidade. Na página Especificar propriedades, digite o nome da sua organização (por exemplo, City of Redlands).
Quando usuários acessam o site da web do portal, este texto aparece como parte da opção de registro do SAML (por exemplo, Utilizando sua conta da Cidade de Redlands).
- Escolha Automaticamente ou A convite de um administrador para especificar seos usuários podem participar da organização automaticamente ou mediante convite.A primeira opção permite que os usuários façam login na organização com o login específico da organização sem a intervenção de um administrador. Sua conta é registrada com a organização automaticamente na primeira vez que eles entram. A segunda opção exige que o administrador registre as contas necessárias com a organização utilizando um utilitário da linha de comando ou script de Python de amostra. Após as contas serem registradas, os usuários poderão entrar na organização.
Dica:
É recomendado que você designe pelo menos uma conta de SAML como um administrador do seu portal e degrade ou exclua a conta inicial de administrador. Também é recomendado que você desabilite o botão Criar uma conta e o site da web do portal, de forma que os usuários não possam criar suas próprias contas. Para instruções, consulte a seção Designar uma conta especifica da organização como um administrador abaixo.
- Especifique a fonte que o portal acessará para obter as informações de metadados. Isto fornece as informações de metadados necessárias sobre o provedor de identidade compatível ao SAML. Você pode encontrar instruções para obter metadados de provedores certificados no repositório ArcGIS/idp GitHub. Há três fontes possíveis de informações de metadados:
- Uma URL—Forneça uma URL que retorna informações de metadados sobre o provedor de identidade.
Anotação:
Se o seu provedor de identidade inclui um certificado autoassinado, você pode encontrar um erro ao especificar a URL HTTPS dos metadados. Este erro acontece, pois o Portal for ArcGIS não pode verificar o certificado auto assinado do provedor de identidade. Alternativamente, utilize HTTP na URL, ou uma das outras opções abaixo ou configure seu provedor de identidade com um certificado confiável.
- Um Arquivo—Transfira um arquivo que contenha informações de metadados sobre o provedor de identidade.
- Parâmetros especificados aqui—Insira diretamente as informações de metadados sobre o provedor de identidade, fornecendo o seguinte:
- URL de Login (Redirecionar)—Forneça a URL do provedor de identidade (que suporta redirecionar vinculando HTTP) que o Portal for ArcGIS irá utilizar para permitir um membro registrar.
- URL de Login (POST)—Forneça a URL do provedor de identidade (que suporta redirecionar POST HTTP) que o Portal for ArcGIS irá utilizar para permitir um membro registrar.
- Certificado—Forneça o certificado, codificado no formato BASE 64, para o provedor de identidade. Este é o certificado que habilita a Portal for ArcGIS verificar a assinatura digital em respostas do SAML enviada pelo provedor de identidade.
Anotação:
Entre em contato com o administrador do provedor de identidade se você precisar de ajuda para determinar qual a fonte de informações dos metadados você precisa fornecer.
- Uma URL—Forneça uma URL que retorna informações de metadados sobre o provedor de identidade.
- Registre os metadados do provedor de serviços do portal com seu provedor de identidade para concluir o processo de configuração e estabelecer confiança com o provedor de identidade. Para obter os metadados do seu portal, siga um destes procedimentos:
- Na seção Segurança da guia Configurações da sua organização, clique no botão Baixar metadados do provedor de serviços para baixar o arquivo de metadados da sua organização.
- Abra a URL dos metadados e salve-o como um arquivo .xml no seu computador. A URL é https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, por exemplo, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Você pode gerar um token utilizando https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Ao inserir a URL na página Gerar Token, especifique o nome de domínio completamente qualificado de servidor do provedor de identidade na caixa de texto URL do Webapp. Nenhuma outra opção, como Endereço IP ou Endereço IP da origem desta solicitação é suportada e pode gerar um token inválido.
Você pode encontrar instruções para registrar os metadados do provedor de serviços do portal com provedores certificados no repositório ArcGIS/idp GitHub.
- Defina as configurações avançadas se aplicáveis:
- Codificar Asserção—Indique para o provedor de identidade de SAMLque o Portal for ArcGIS suporta respostas de asserção de SAML codificadas. Quando esta opção estiver selecionada, o provedor de identidade codificará a seção de afirmação das respostas de SAML. Todo o tráfego de SAML para e do Portal for ArcGIS já é codificado pelo uso de HTTPS, mas esta opção adiciona outra camada de criptografia.
- Habilitar Pedido Registrad—Faz com que o Portal for ArcGIS registre a solicitação de autenticação SAML enviada ao provedor de identidade. O registro do pedido de login inicial enviado pelo Portal for ArcGIS permite ao provedor de identidade verificar se todos os pedidos de logins são originados de um provedor de serviço confiável.
Dica:
Habilite esta configuração para garantir a integridade das solicitações SAML. Você pode habilitar essa opção a qualquer momento nas configurações avançadas, mesmo que a tenha ignorado durante a configuração inicial do portal.
- Propagar saída para Provedor de Identidade—Faz com que o Portal for ArcGIS use uma URL de logout para desconectar o usuário do provedor de identidade. Insira a URL para utilizar na configuração da URL de Saída. Se o provedor de identidade exigir que a URL de logout seja assinado, a configuração Habilitar Solicitação Assinada também precisa ser habilitada. Quando esta opção não estiver selecionada, clicar em Sair no Portal for ArcGIS cancelará o registro de usuário do Portal for ArcGIS mas não do provedor de identidade. Se o cache do navegador da web do usuário não for apagado, o login imediato no Portal for ArcGIS para usar a opção de login específica da organização resultará em um login sem fornecer credenciais de usuário ao provedor de identidade SAML. Esta é uma vulnerabilidade de segurança que pode ser explorada ao utilizar um computador que é facilmente acessível aos usuários não autorizados ou ao público geral.
- Atualizar perfis ao fazer login—Faz com que o Portal for ArcGIS atualize atributos givenName e email address dos usuários se eles mudaram desde o último registro. Isto é habilitado por padrão.
- Habilitar associação de grupo baseado em SAML—Permite que os administradores do portal vinculem grupos no provedor de identidade SAML a grupos criados em seu portal do ArcGIS Enterprise. Quando essa configuração está habilitada, o Portal for ArcGIS analisa a resposta de asserção SAML para identificar os grupos aos quais um membro pertence. Você poderá então especificar um ou mais grupos enterprise fornecidos pelo provedor de identidade para Quem pode participar deste grupo? quando você criar um novo grupo em seu protal. Este recurso está desabilitado por padrão.
- URL de Saída—Insira a URL do provedor de identidade ao utilizar para sair do usuário atualmente registrado. Se esta propriedade for especificada no arquivo de metadados do provedor de identidade, ela é configurada automaticamente.
- ID de Identidade—Atualize este valor para utilizar um novo ID de identidade exclusivamente para identificar sua organização do Portal for ArcGIS para o provedor de identidade do SAML.
Configurar um IDP compatível com SAML para um portal altamente disponível
O Portal for ArcGIS usa um certificado com o nome alternativo samlcert ao enviar solicitações assinadas (para logins e logouts) ao IDP e ao descriptografar respostas criptografadas do IDP. Se estiver configurando um portal ArcGIS Enterprise altamente disponível e usando um IDP compatível com SAML, você deverá garantir que cada instância do Portal for ArcGIS esteja usando o mesmo certificado ao se comunicar com o IDP.
A melhor maneira de garantir que todas as instâncias estejam usando um certificado idêntico para SAML é gerar um novo certificado com o nome alternativo samlcert e importá-lo para cada instância de Portal for ArcGIS em sua implantação altamente disponível.
- Entre no ArcGIS Portal Administrator Directory em https://example.domain.com:7443/arcgis/portaladmin.
- Navegue até Segurança > sslcertificates, e clique no certificado samlcert existente.
- Clique em Excluir.
- Repita as etapas 1 a 3 para excluir os certificados samlcert existentes em todas as instâncias de seu portal altamente disponível.
- Gere um novo certificado auto assinado a partir do ArcGIS Portal Administrator Directory.
- Ao configurar o certificado, especifique samlcert como o nome alternativo e o nome de host do balanceador de carga de sua implantação como o nome para o Nome Comum e o nome alternativo do DNS no campo Nome Alternativo do Assunto.
- Após o certificado ser gerado, exporte-o para um arquivo .pfx:
- Entre na máquina onde o Portal for ArcGIS está instalado.
- Abra uma janela de comando na máquina utilizando a opção Executar como administrador.
- Altere os diretórios para a pasta SSL do portal: cd <Portal installation directory>\etc\ssl.
- Digite o seguinte comando para exportar no formato de arquivo: samlcert no formato de arquivo .pfx:
....\framework\runtime\jre\bin\keytool.exe -importkeystore -srckeystore portal.ks -destkeystore samlcert.pfx -srcstoretype JKS -deststoretype PKCS12 -srcstorepass portal.secret -deststorepass password -srcalias samlcert -destalias samlcert -destkeypass password
- Importe o novo certificado para cada instância do Portal for ArcGIS da página Segurança > sslcertificates > Importar Certificados do Servidor Existentes.
- Reinicie o Portal for ArcGIS em cada instância em seu portal altamente disponível.
Você pode usar o arquivo de metadados do provedor de serviços em seu portal ArcGIS Enterprise para verificar se os certificados usados para se comunicar com o IDP de SAML são os mesmos em sua implantação altamente disponível.
- Na guia Organização, navegue até Editar Configuações > Segurança.
- No item Logins Enterprise via SAML na página Segurança, clique em Editar Provedor de Identidade. Abra o menu Mostrar configurações avançadas e certifique-se que a opção Criptografar Asserção esteja selecionada. Caso contrário, selecione-o e clique em Atualizar Provedor de Identidade para salvar a alteração.
- Retorne aos itens de Logins Enterprise via SAML e selecione Obter Provedor de Serviços. Isso exportará os metadados do provedor de serviços como um arquivo .xml para sua máquina.
- Abra o arquivo .xml baixado. Certifique-se que a seguinte frase esteja presente: <md:KeyDescriptor use="encryption">. Isso indica que o certificado para criptografia está presente.
- Observe os valores na subseção <ds:KeyInfo>.
- Repita essas etapas para cada instância doPortal for ArcGIS em sua implantação para obter o arquivo de metadados do provedor de serviços de cada um.
Todos os arquivos de metadados exportados devem ter as mesmas informações na subseção <ds:KeyInfo>, indicando que o mesmo certificado é usado por cada instância do Portal for ArcGIS ao se comunicar com seu IDP compatível com SAML.
Designar uma conta específica da organização como um administrador
A forma que você designa uma conta espcífica da organização como um administrador do portal dependerá se usuários poderão participar da organização automaticamente ou a convite de um administrador.
Participar da organização automaticamente
Se você selecionou a opção Automaticamente para permitir aos usuários participarem da organização automaticamente, abra a página inicial do site da web do portal enquanto registrado com a conta específica da organização que você deseja utilizar como o administrador do portal.
Quando uma conta é adicionada pela primeira vez no portal automaticamente, o papel padrão configurado para novos membros é atribuído. Somente um administrador da organização pode alterar o papel em uma conta; você deve entrar no portal utilizando a conta inicial de administrador e atribuir uma conta específica da organização para o papel de administrador.
- Abra o site da web do portal, clique na opção para entrar utilizando um provedor de identidade do SAML e forneça as credenciais da contade SAML que você deseja utilizar como um administrador. Se esta conta pertencer a outra pessoa, registre este usuário no portal, então a conta será registrada com o portal.
- Verifique se a conta foi adicionada ao portal e clique em Sair. Limpe os cookies e cache do navegador.
- No navegador, abra o site da web do portal, clique na opção para entrar utilizando uma conta do portal embutida e forneça as credenciais da conta inicial de administrador que você criou ao instalar o Portal for ArcGIS.
- Encontre a conta SAML que deseja usar para administrar o portal e altere a função para Administrador. Clique em Sair.
A conta de SAML que você selecionou é agora um administrador do portal.
Adicionar manualmente contas específicas da organização no portal
Se você escolher a opção A convite de um administrador para somente permitir aos usuários participarem da organização com um convite, você precisará registrar as contas necessárias na organização usando um utilitário de linha de comando ou uma amosta de script do Python. Escolha o papel de Administrador para uma conta de SAML que será utilizada para administrar o portal.
Degradar ou excluir a conta inicial de administrador
Agora que você tem uma conta de administrador do portal alternativa, você pode atribuir a conta inicial de administrador para o outro papel ou excluir a conta. Consulte Sobre a conta inicial de administrador para mais informações.
Previnir usuários de criar suas próprias contas
Você pode impedir que os usuários criem suas próprias contas internas, desabilitando o recursos para usuários criarem novas contas internas nas configurações da organização.
Evitar que os usuários façam login com uma conta ArcGIS
Para evitar que os usuários façam login no portal usando uma conta ArcGIS, desative o botão de alternar Login do ArcGIS na página de login.
- Entre no site da web do portal como um administrador da organização e clique em Organização > Configurações > Segurança.
- Na seção Logins, desative o botão Login do ArcGIS.
A página de login exibe o botão para fazer login no portal usando uma conta de provedor de identidade e o botão de Login do ArcGIS não está disponível. Para reativar logins de membros com contas ArcGIS, habilite o botão Login do ArcGIS na seção Logins.
Modificar ou remover o IDP de SAML
Ao configurar um IDP de SAML , é possível atualizar as configurações clicando no botão Editar ao lado do IDP de SAML atualmente registrado. Atualize as configurações na janela Editar login de SAML.
Para remover o IDP registrado atualmente, clique no botão Editar ao lado do IDP e clique em Excluir login na janela editar login de SAML. Após remover o IDP, opcionalmente será possível instalar um novo IDP ou federação de IDPs.
Melhores práticas para segurança do SAML
Para habilitar logins SAML, você pode configurar o ArcGIS Enterprise como um SP para seu IDP SAML. Para garantir uma segurança robusta, considere as práticas recomendadas descritas abaixo.
Registre digitalmente oos pedidos de login e logout de SAML e registre a resposta de asserção do SAML
As assinaturas são utilizadas para assegurar a integridade de mensagens do SAML e atuar como uma proteção contra ataques de terceiros (MITM). O registro digital do pedido de SAML também assegura que o pedido seja enviado por um SP confiável, permitindo ao IDP lidar melhor com ataques de negação de serviço (DOS). Ative a opção Habilitar pedido registrado em configurações avançadas ao configurar logins do SAML .
Anotação:
A habilitação de solicitações assinadas exige que o IDP seja atualizado sempre que o certificado de assinatura usado pelo SP for renovado ou substituído.
Configure o IDP do SAML para registrar a resposta de SAML para evitar a alteração em trânsito da resposta de asserção do SAML.
Anotação:
A habilitação de solicitações assinadas exige que o SP (ArcGIS Enterprise) seja atualizado sempre que o certificado de assinatura usado pelo IDP for renovado ou substituído.
Utilize o ponto final de HTTPS do IDP
Qualquer comunicação entre o SP, o IDP e o navegador do usuário que é enviado por uma rede interna ou internet em um formato não codificado pode ser interceptado por um usuário malicioso. Se o seu IDP do SAML suportar HTTPS, é recomendado que você utilize o parâmetro de HTTPS para assegurar a confidencialidade dos dados transmitidos durante logins do SAML.
Codificar uma resposta da asserção de SAML
A utilização de HTTPS para comunicação de SAML garante as mensagens de SAML enviadas entre IDP e SP. Entretanto, usuários registrados podem ainda decodificar e visualizar as mensagens de SAML pelo navegador da web. Habilitar a criptografia da resposta de asserção evita os usuários de visualizar informações sensíveis ou confidenciais transmitidas entre o IDP e SP.
Anotação:
Habilitar asserções codificadas exige que o IDP seja atualizado sempre que o certificado de criptografia utilizado pelo SP (ArcGIS Enterprise) for renovado ou substituído.
Gerenciar o registro e certificados de criptografia com segurança
Use certificados com chaves criptográficas fortes para assinar digitalmente ou criptografar mensagens do SAML e renovar ou substituir os certificados a cada três a cinco anos.