Puede configurar OpenAM 10.1.0 y versiones posteriores como su proveedor de identidad (IDP) para los inicios de sesión SAML en Portal for ArcGIS. El proceso de configuración consta de dos pasos principales: registrar su IDP SAML con Portal for ArcGIS y registrar Portal for ArcGIS con el IDP SAML.
Nota:
Para asegurarse de que los inicios de sesión SAML estén configurados de forma segura, revise las prácticas recomendadas de seguridad para SAML.
Información requerida
Portal for ArcGIS requiere recibir cierta información sobre atributos desde el IDP cuando un usuario se conecta con inicios de sesión SAML. El atributo NameID es obligatorio y su IDP debe enviarlo en la respuesta SAML para que la federación con Portal for ArcGIS funcione. Dado que Portal for ArcGIS utiliza el valor de NameID para identificar de forma única un usuario nominal, se recomienda utilizar un valor constante que identifique al usuario de forma única. Cuando un usuario de IDP inicia sesión, Portal for ArcGIS crea un nuevo usuario con el nombre de usuario NameID en su almacén de usuarios. Los caracteres permitidos para el valor enviado por NameID son alfanuméricos, _ (guion bajo), . (punto) y @ (arroba). Para los demás caracteres del nombre de usuario creado por Portal for ArcGIS, se agregará un carácter de escape con guion bajo.
Portal for ArcGIS admite el flujo de entrada de una dirección de correo electrónico, pertenencias a grupos y un nombre y apellidos determinados de un usuario desde el proveedor de identidad SAML.
Registrar OpenAM como IDP SAML con Portal for ArcGIS
- Compruebe que haya iniciado sesión como administrador de su organización.
- En la parte superior del sitio, haga clic en Organización y haga clic en la pestaña Configuración.
- Haga clic en Seguridad en el lado izquierdo de la página.
- En la sección Inicios de sesión, haga clic en el botón Nuevo inicio de sesión de SAML y seleccione la opción Un proveedor de identidad. En la página Especificar propiedades, introduzca el nombre de su organización (por ejemplo, City of Redlands). Cuando los usuarios acceden al sitio web del portal, este texto se muestra como parte de la opción de inicio de sesión SAML (por ejemplo, Usar su cuenta de City of Redlands).
Nota:
Solo puede registrar un IDP SAML o una federación de varios IDP para su portal.
- Elija Automáticamente o Después de la invitación de un administrador para especificar cómo pueden unirse los usuarios a la organización. La primera opción permite a los usuarios iniciar sesión en la organización con su inicio de sesión SAML sin que intervenga ningún administrador. Su cuenta se registra con la organización automáticamente la primera vez que inician sesión. La segunda opción requiere que el administrador registre las cuentas necesarias con la organización utilizando una utilidad de línea de comandos o un script de comandos de Python de ejemplo. Una vez que las cuentas se hayan registrado, los usuarios pueden iniciar sesión en la organización.
Sugerencia:
Se recomienda designar al menos una cuenta corporativa como administrador del portal y degradar o eliminar la cuenta de administrador inicial. También se recomienda deshabilitar el botón Crear una cuenta en el sitio web del portal para que los usuarios no puedan crear sus propias cuentas. Para obtener instrucciones completas, consulte Configurar un proveedor de identidad compatible con SAML con el portal.
- Proporcione la información de metadatos del IDP con una de las tres opciones siguientes:
- URL: elija esta opción si el acceso a la URL de los metadatos de federación de OpenAM es posible a través de Portal for ArcGIS. La URL suele ser https://<host>:<port>/openam/saml2/jsp/exportmetadata.jsp.
Nota:
Si el IDP SAML incluye un certificado autofirmado, puede producirse un error al intentar especificar la dirección URL HTTPS de los metadatos. Este error se produce porque Portal for ArcGIS no puede verificar el certificado autofirmado del IDP. Como alternativa, use HTTP en la dirección URL, una de las otras opciones que aparecen, o configure el IDP con un certificado de confianza.
- Archivo: elija esta opción si ArcGIS Enterprise no puede acceder a la URL. Obtenga los metadatos de la URL anterior, guárdelos como un archivo XML y cargue el archivo.
- Parámetros especificados aquí: elija esta opción si no se puede acceder a la URL o al archivo de metadatos de federación. Introduzca manualmente los valores y proporcione los parámetros solicitados: URL de inicio de sesión y certificado, con codificación en formato BASE 64. Póngase en contacto con su administrador de OpenAM para obtenerlos.
- URL: elija esta opción si el acceso a la URL de los metadatos de federación de OpenAM es posible a través de Portal for ArcGIS. La URL suele ser https://<host>:<port>/openam/saml2/jsp/exportmetadata.jsp.
- Configure los ajustes avanzados cuando proceda:
- Cifrar aserción: habilite esta opción si OpenAM se configurará para cifrar las respuestas de la aserción SAML.
- Habilitar solicitud firmada: habilite esta opción para que Portal for ArcGIS firme la solicitud de autenticación SAML enviada a OpenAM.
- Id. de entidad: actualice este valor para usar un nuevo Id. de entidad para identificar exclusivamente su portal en OpenAM.
- Actualizar perfiles al iniciar sesión: permite que ArcGIS Enterprise actualice los atributos givenName y email address del usuario cuando hayan cambiado desde el último inicio de sesión.
- Habilitar la pertenencia a grupos basada en SAML: habilite esta opción para permitir a los miembros de la organización vincular grupos corporativos basados en SAML con grupos de ArcGIS Enterprise durante el proceso de creación de grupos.
Los ajustes Cifrar aserción y Habilitar solicitud firmada utilizan el certificado samlcert en el almacén de claves del portal. Para utilizar un nuevo certificado, elimine el certificado samlcert, cree un certificado con el mismo alias (samlcert) siguiendo los pasos que se indican en Importar un certificado en el portal y reinicie el portal.
Nota:
Actualmente, las opciones Propagar cierre de sesión a proveedor de identidad y Dirección URL de cierre de sesión no son compatibles.
- Haga clic en Guardar.
Registrar Portal for ArcGIS como proveedor de servicios de confianza en OpenAM
- Configure un IDP alojado en OpenAM.
- Inicie sesión en la consola de administración de OpenAM. Normalmente está disponible en https://servername:port/<deploy_uri>/console.
- En la pestaña Tareas comunes, haga clic en Crear proveedor de identidades alojadas.
- Cree un IDP alojado y agréguelo a un Círculo de confianza. Puede agregarlo a un círculo de confianza existente si ya dispone de uno, o puede crear un círculo de confianza.
- De forma predeterminada, el IDP alojado funciona con OpenDJ, el almacén de usuarios integrado que se suministra con OpenAM. Si desea conectar OpenAM con cualquier otro almacén de usuarios como Active Directory, debe crear una nueva fuente de datos en la pestaña Control de acceso de la consola de administración principal de OpenAM.
- Configure Portal for ArcGIS como proveedor de servicios de confianza en OpenAM.
- Obtén el archivo de metadatos de tu portal y guárdalo como un archivo XML.
Para obtener el archivo de metadatos, inicie sesión como administrador de su organización y abra la página de la organización. Haga clic en la pestaña Configuración y haga clic en Seguridad en el lado izquierdo de la página. En la sección Inicios de sesión, en Inicio de sesión SAML, haga clic en el botón Descargar metadatos de proveedores de servicios.
- En la consola de administración de OpenAM, en Tareas comunes, haga clic en Registrar proveedor de servicios remotos.
- Seleccione la opción Archivo para los metadatos y cargue el archivo XML de metadatos guardado en el paso anterior.
- Agregue este proveedor de servicios al mismo círculo de confianza al que haya agregado el IDP.
- Obtén el archivo de metadatos de tu portal y guárdalo como un archivo XML.
- Configure el formato de NameID y los atributos que OpenAM debe enviar a Portal for ArcGIS después de autenticar al usuario.
- En la consola de administración de OpenAM, haga clic en la pestaña Federación. La pestaña contiene el círculo de confianza que ha agregado previamente, y los proveedores de servicios e IDP.
- En Proveedores de identidades, haga clic en su IDP.
- En la pestaña Contenido de aserción, debajo de Formato de Id. de nombre, compruebe que urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified figura en primer lugar. Este es el formato de NameID que Portal for ArcGIS solicitará en la solicitud de SAML a OpenAM.
- En Mapa de valores de ID de nombres, asigna un atributo del perfil del usuario, como mail o upn, que se devolverá como NameID a Portal for ArcGIS una vez que se autentique el usuario.
Ejemplo: urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified =upn
- Haga clic en la pestaña Procesando aserciones en el IDP. En Asignador de atributos, configure los atributos a partir del perfil de usuario que desee enviar a Portal for ArcGIS.
Haga clic en Guardar para guardar el formato NameID y los cambios de contenido de los atributos.
- En la pestaña Federación de la consola de administración de OpenAM, busque el proveedor de servicios de Portal for ArcGIS en Proveedores de entidades.
- En la pestaña Contenido de aserción, en Cifrado, seleccione la opción Aserción si ha elegido la configuración avanzada Cifrar aserción al registrar OpenAM como IDP SAML en Portal for ArcGIS.
- En Formato de Id. de nombre, verifque que urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified figura en primer lugar. Este es el formato de NameID que Portal for ArcGIS pedirá en su solicitud de SAML a OpenAM.
- Haga clic en la pestaña Procesando aserciones en el IDP. En Asignador de atributos, configure los atributos a partir del perfil de usuario que desea enviar a Portal for ArcGIS.
- Haga clic en Guardar para guardar los cambios de formato de Id. de nombre y de contenido de los atributos.
- Reinicie el servidor web donde se ha implementado OpenAM.