Configurar una federación de proveedores de identidad con su portal

Su organización puede utilizar SAML (Security Assertion Markup Language) para autentificar sus usuarios de equipo y autorizar el acceso a recursos habilitados para web. Para conseguirlo, se configura un solo proveedor de identidad (IDP) compatible con SAML para gestionar la autenticación de usuarios. Los recursos web de la organización se alojan en uno o varios proveedores de servicios, que gestionan la autorización de acceso a recursos web. La organización dispone de todo el control de administración de sus IDP y proveedores de servicios. Para admitir la autenticación y autorización basadas en SAML, cada proveedor de servicios de la organización debe estar registrado para trabajar con su IDP. Cada proveedor de servicios puede registrarse únicamente con un solo IDP.

También puede utilizar SAML para compartir recursos en varias organizaciones independientes. Es posible gracias a las entidades de administración de federación, que habilitan el uso compartido de recursos basados en SAML entre sus organizaciones miembro. Una organización miembro que desea compartir sus recursos web con la federación reserva uno o varios proveedores de servicios para trabajar exclusivamente en dicha federación. Para acceder a un recurso protegido compartido con la federación, el usuario autentifica su identidad con el IDP de su organización. Tras la autentificación, esta identidad validada se presenta al proveedor de servicios que aloja el recurso protegido. El proveedor de servicios permite el acceso al recurso después de verificar los privilegios de acceso del usuario.

Su portal de ArcGIS Enterprise se puede configurar con una federación de varios IDP basada en SAML. El portal accede al servicio de descubrimiento alojado por la federación, que proporciona una lista de los proveedores de identidad y los proveedores de servicios que participan en la federación.

Algunas federaciones habituales de proveedores de identidad basadas en SAML son: InCommon, eduGAIN, SWITCHaai, DFN-AAI, y UK Access Management Federation.

Configure la federación en su portal

Siga estos pasos para configurar una federación de proveedores de identidad basada en SAML en su portal:

  1. Inicie sesión en el portal como administrador y haga clic en Organización > Ajustes > Seguridad.
  2. En la sección Inicios de sesión, haga clic en el botón Nuevo inicio de sesión de SAML y seleccione la opción Una federación de proveedores de identidad. En la página Especificar propiedades, introduzca el nombre de su federación.

    La descripción se muestra a los usuarios que acceden al portal como parte de la opción de inicio de sesión SAML.

  3. Elija cómo pueden unirse los usuarios a la organización del portal:
    • Automáticamente: permite a los usuarios iniciar sesión en la organización con sus datos de inicio de sesión específicos de la organización sin que necesiten permiso de un administrador, ya que su cuenta se registra automáticamente con el portal la primera vez que inician sesión
    • Si reciben una invitación de un administrador: requiere que el administrador de la organización registre las cuentas necesarias con la organización utilizando una utilidad de línea de comandos o un script de Python.
    Nota:

    Esri recomienda que designe al menos una cuenta SAML como administrador de su portal y que deshabilite el botón Crear una cuenta en el portal para que los usuarios no puedan crear sus propias cuentas. Para obtener más información, consulte la sección Designar una cuenta SAML como administrador que aparece a continuación.

  4. Proporcione la URL al servicio de descubrimiento de IDP centralizado alojado por la federación, como https://wayf.samplefederation.com/WAYF.
  5. Proporcione la URL a los metadatos de la federación, que son una agregación de los metadatos de todos los proveedores de identidad y proveedores de servicios que participan en la federación.
  6. Copie y pegue el certificado, con codificación en formato Base 64, lo que permite al portal verificar la validez de los metadatos de la federación.
  7. Configure los ajustes avanzados según proceda:
    1. Cifrar aserción: habilite esta opción para indicar al proveedor de identidad SAML que su portal admite respuestas de aserción SAML cifradas. Cuando esta opción está seleccionada, el proveedor de identidad cifra la sección de aserción de la respuesta SAML. Todo el tráfico de SAML de entrada y salida desde el portal ya está cifrado mediante el uso de HTTPS, pero esta opción agrega otra capa de cifrado.
    2. Habilitar solicitud firmada: habilite esta opción para que el portal firme la solicitud de autenticación SAML enviada al IDP. Firmar la solicitud de inicio de sesión inicial enviada por el portal permite al IDP verificar que todas las solicitudes de inicio de sesión proceden de un proveedor de servicios de confianza.
    3. Propagar cierre de sesión a proveedor de identidad: habilite esta opción para que el portal utilice una dirección URL de cierre de sesión para cerrar la sesión del IDP. Si la selecciona, introduzca la URL que desee utilizar en la configuración de la URL de cierre de sesión. Si el IDP requiere que la dirección URL de cierre de sesión esté firmada, también deberá activar la opción Habilitar solicitud firmada. Si esta opción no está activada, al hacer clic en Cerrar sesión en el portal se cerrará la sesión del usuario del portal, pero no del IDP. Si la caché del navegador web del usuario no se ha borrado, al tratar de volver a iniciar sesión inmediatamente en el portal usando la opción de inicio de sesión específico de la organización, se iniciará sesión inmediatamente sin necesidad de proporcionar credenciales al IDP. Esta es una vulnerabilidad de seguridad que se puede explotar cuando se utiliza un equipo que es fácilmente accesible a usuarios no autorizados o al público en general.
    4. Actualizar perfiles al iniciar sesión: habilite esta opción para que el portal actualice los atributos givenName e email address de los usuarios si se modificaron desde su último inicio de sesión. Está seleccionada de forma predeterminada.
    5. Id. de entidad: actualice este valor para usar un nuevo Id. de entidad para identificar exclusivamente a su organización del portal ante la federación SAML.

Registre el portal con la federación SAML como un proveedor de servicios de confianza

Para completar el proceso de configuración, establezca la confianza con el servicio de descubrimiento de la federación y su IDP de organización registrando con ellos los metadatos del proveedor de servicios del portal. Existen dos formas de obtener estos metadatos:

  • En la sección Seguridad de la página Configuración de su organización, haga clic en el botón Descargar metadatos de proveedores de servicios para descargar el archivo de metadatos de su organización.
  • Abra la dirección URL de los metadatos y guárdelos como un archivo XML en su equipo. La dirección URL es https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, por ejemplo, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Puede generar un token usando https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Al introducir la dirección URL en la página Generar token, especifique el nombre de dominio completo del servidor del proveedor de identidad en el campo URL de aplicación web. Seleccionar cualquier otra opción, como Dirección IP o Dirección IP del origen de esta solicitud, no es compatible y puede generar un token no válido.

Después de descargar los metadatos del proveedor de servicios, póngase en contacto con los administradores de la federación SAML para obtener instrucciones sobre cómo integrar los metadatos en el archivo de metadatos agregados de la federación. Necesitará también que le proporcionen instrucciones para registrar su IDP con la federación.

Designar una cuenta SAML como administrador

La forma de designar una cuenta SAML como administrador del portal dependerá de si los usuarios podrán unirse a la organización Automáticamente o Si reciben una invitación de un administrador.

Unirse a la organización automáticamente

Si ha seleccionado la opción que permite a los usuarios unirse a la organización automáticamente, abra el portal después de iniciar sesión en él con la cuenta SAML que desea usar como administrador del portal.

Cuando una cuenta se agrega por primera vez al portal de forma automática, tiene asignado el rol de Usuario. Solo un administrador de la organización puede cambiar el rol de una cuenta; por tanto, debe iniciar sesión en el portal utilizando la cuenta de administrador inicial y asignar una cuenta SAML al rol de administrador.

  1. Abra el portal, haga clic en la opción para iniciar sesión usando un proveedor de identidad SAML e introduzca las credenciales de la cuenta SAML que desea usar como administrador. Si esta cuenta pertenece a otro usuario, pídale que inicie sesión en el portal para que la cuenta quede registrada en él.
  2. Compruebe que la cuenta se haya agregado al portal y haga clic en Cerrar sesión. Borre la caché y las cookies del navegador.
  3. Abra el portal desde el navegador, haga clic en la opción para iniciar sesión usando una cuenta de portal integrada y proporcione las credenciales de la cuenta de administrador inicial creada al configurar ArcGIS Enterprise.
  4. Busque la cuenta SAML que usará para administrar el portal y cambie el rol a Administrador. Haga clic en Cerrar sesión.

La cuenta SAML que ha seleccionado tiene ahora el rol de administrador en el portal.

Agregar manualmente cuentas SAML al portal

Si ha seleccionado la opción que solo permite a los usuarios unirse a la organización Si reciben una invitación de un administrador, tendrá que registrar las cuentas necesarias en la organización mediante una utilidad de línea de comandos. Asegúrese de elegir el rol de Administrador para la cuenta SAML que se usará para administrar el portal.

Degradar o eliminar la cuenta de administrador inicial

Ahora que tiene una cuenta de administrador de la organización alternativa, puede asignar la cuenta de administrador inicial al rol de Usuario o eliminar la cuenta. Consulte Acerca de la cuenta de administrador inicial para obtener más información.

Impedir que los usuarios creen sus propias cuentas.

Puede impedir que los usuarios creen sus propias cuentas integradas mediante la opción deshabilitar la capacidad de los usuarios de crear nuevas cuentas integradas en la configuración de la organización.

Deshabilitar el inicio de sesión con cuentas de ArcGIS

Si desea impedir que los usuarios inicien sesión en el portal con una cuenta de ArcGIS, puede deshabilitar el botón Inicio de sesión de ArcGIS en la página de inicio de sesión siguiendo los siguientes pasos:

  1. Inicie sesión en el portal como administrador de su organización y haga clic en Organización > Configuración > Seguridad.
  2. En la sección Inicios de sesión, deshabilite el botón de alternancia Inicio de sesión de ArcGIS.

La página de inicio de sesión mostrará el botón para iniciar sesión en el portal con una cuenta de proveedor de identidades y el botón para iniciar sesión utilizando un inicio de sesión de ArcGIS no estará disponible. Puede volver a habilitar los inicios de sesión con cuentas de ArcGIS activando la opción Inicio de sesión de ArcGIS que se encuentra en Inicios de sesión.

Modificar o eliminar el proveedor de identidad SAML

Cuando haya configurado una federación, puede actualizar su configuración haciendo clic en el botón EditarEditar situado junto a ella. Actualice su configuración en la ventana Editar inicio de sesión SAML.

Para eliminar la federación del portal, haga clic en el botón Editar Editar situado junto a ella y haga clic en Eliminar inicio de sesión en la ventana Editar inicio de sesión SAML. Cuando lo haya eliminado, tiene la posibilidad de configurar un nuevo proveedor de identidad o una federación de proveedores de identidad si lo desea.