Puede configurar Active Directory Federation Services (AD FS) en el sistema operativo Microsoft Windows Server como su proveedor de identidad (IDP) para los inicios de sesión SAML en ArcGIS Enterprise. El proceso de configuración consta de dos pasos principales: registrar su IDP SAML con ArcGIS Enterprise y registrar ArcGIS Enterprise con el IDP SAML.
Nota:
Para asegurarse de que los inicios de sesión SAML estén configurados de forma segura, revise las prácticas recomendadas de seguridad para SAML.
Información requerida
ArcGIS Enterprise requiere recibir cierta información sobre atributos desde el IDP cuando un usuario se conecta con inicios de sesión SAML. El atributo NameID es obligatorio y su IDP debe enviarlo en la respuesta SAML para que la federación funcione. Dado que ArcGIS Enterprise utiliza el valor de NameID para identificar de forma única un usuario nominal, se recomienda utilizar un valor constante que identifique al usuario de forma única. Cuando un usuario de IDP inicia sesión, la organización de ArcGIS Enterprise crea un nuevo usuario con el nombre de usuario NameID en su almacén de usuarios. Los caracteres permitidos para el valor enviado por NameID son alfanuméricos, _ (guion bajo), . (punto) y @ (arroba). Para los demás caracteres del nombre de usuario creado por ArcGIS Enterprise, se agregará un carácter de escape con guion bajo.
ArcGIS Enterprise admite el flujo de entrada de una dirección de correo electrónico, pertenencias a grupos y un nombre y apellidos determinados de un usuario desde el proveedor de identidad SAML.
Registrar AD FS como IDP SAML con su portal
- Compruebe que haya iniciado sesión como administrador de su organización.
- En la parte superior del sitio, haga clic en Organización y haga clic en la pestaña Configuración.
- Haga clic en Seguridad en el lado izquierdo de la página.
- En la sección Inicios de sesión, haga clic en el botón Nuevo inicio de sesión de SAML y seleccione la opción Un proveedor de identidad. En la página Especificar propiedades, introduzca el nombre de su organización (por ejemplo, City of Redlands). Cuando los usuarios acceden al sitio web del portal, este texto se muestra como parte de la opción de inicio de sesión SAML (por ejemplo, Usar su cuenta de City of Redlands).
Nota:
Solo puede registrar un IDP SAML o una federación de varios IDP para su portal.
- Elija Automáticamente o Después de la invitación de un administrador para especificar cómo pueden unirse los usuarios a la organización. La primera opción permite a los usuarios iniciar sesión en la organización con su inicio de sesión SAML sin que intervenga ningún administrador. Su cuenta se registra con la organización automáticamente la primera vez que inician sesión. La segunda opción requiere que el administrador registre las cuentas necesarias con la organización utilizando una utilidad de línea de comandos. Una vez que las cuentas se hayan registrado, los usuarios pueden iniciar sesión en la organización.
Sugerencia:
Es recomendable designar al menos una cuenta SAML como administrador del portal y degradar o eliminar la cuenta de administrador inicial. También se recomienda deshabilitar el botón Crear una cuenta en el sitio web del portal para que los usuarios no puedan crear sus propias cuentas. Para obtener instrucciones completas, consulte Configurar un proveedor de identidad compatible con SAML con el portal.
- Proporcione la información de metadatos del IDP con una de las opciones siguientes:
- URL: si la URL de los metadatos de federación de AD FS es accesible, seleccione esta opción e introduzca la URL (por ejemplo, https://<adfs-server>/federationmetadata/2007-06/federationmetadata.xml).
Nota:
Si el IDP SAML incluye un certificado autofirmado, puede producirse un error al intentar especificar la dirección URL HTTPS de los metadatos. Este error se produce porque ArcGIS Enterprise no puede verificar el certificado autofirmado del IDP. Como alternativa, use HTTP en la dirección URL, una de las otras opciones que aparecen, o configure el IDP con un certificado de confianza.
- Archivo: elija esta opción si la dirección URL no es accesible. Descargue u obtenga una copia del archivo de metadatos de federación de AD FS y cargue el archivo en el portal de ArcGIS Enterprise con la opción Archivo.
- Parámetros especificados aquí: elija esta opción si no se puede acceder a la URL o al archivo de metadatos de federación. Introduzca manualmente los valores y proporcione los parámetros solicitados: URL de inicio de sesión y certificado, con codificación en formato BASE 64. Póngase en contacto con su administrador de AD FS para obtenerlos.
- URL: si la URL de los metadatos de federación de AD FS es accesible, seleccione esta opción e introduzca la URL (por ejemplo, https://<adfs-server>/federationmetadata/2007-06/federationmetadata.xml).
- Configure los ajustes avanzados cuando proceda:
- Cifrar aserción: habilite esta opción para cifrar las respuestas de la aserción de AD FS SAML.
- Habilitar solicitud firmada: habilite esta opción para que ArcGIS Enterprise firme la solicitud de autenticación SAML enviada a AD FS.
- Propagar cierre de sesión a proveedor de identidad: habilite esta opción para que ArcGIS Enterprise utilice una URL de cierre de sesión para cerrar la sesión del usuario de AD FS. Introduzca la dirección URL que desee utilizar en la configuración de la Dirección URL de cierre de sesión. Si el IDP requiere que la URL de cierre de sesión esté firmada, Habilitar solicitud firmada debe estar activada.
Nota:
De manera predeterminada, AD FS requiere que las solicitudes de cierre de sesión se firmen mediante SHA-256, por lo que debe habilitar el botón de alternancia Habilitar solicitud firmada y seleccionar Firmar usando SHA256.
- Actualizar perfiles al iniciar sesión: permite que ArcGIS Enterprise actualice los atributos givenName y email address del usuario cuando hayan cambiado desde el último inicio de sesión.
- Habilitar la pertenencia a grupos basada en SAML: habilite esta opción para permitir a los miembros de la organización vincular grupos basados en SAML con grupos de ArcGIS Enterprise durante el proceso de creación de grupos.
- URL de cierre de sesión: la URL del IDP a utilizar para cerrar la sesión del usuario conectado actualmente.
- Id. de entidad: actualice este valor para usar un nuevo Id. de entidad para identificar de forma única su portal en AD FS.
Los ajustes Cifrar aserción y Habilitar solicitud firmada utilizan el certificado samlcert en el almacén de claves del portal. Para utilizar un nuevo certificado, elimine el certificado samlcert, cree un certificado con el mismo alias (samlcert) siguiendo los pasos que se indican en Importar un certificado en el portal y reinicie el portal.
- Haga clic en Guardar.
Registrar su portal como proveedor de servicios de confianza en AD FS
- Abra la consola de administración de AD FS.
- Elija Grupos de partes que confían > Agregar grupo de partes que confían.
- En Asistente para agregar grupo de partes que confían, haga clic en el botón Inicio.
- Para Seleccionar origen de datos, elija una opción para obtener los datos de la parte en que confía: importar desde una dirección URL, importar desde un archivo o introducir manualmente.
Las opciones con dirección URL y archivo requieren que obtenga los metadatos de la organización. Si no tiene acceso a la dirección URL o los archivos de metadatos, puede introducir la información de forma manual. En algunos casos, la introducción manual de los datos puede ser la opción más sencilla.
- Importar datos de la parte que confía publicados online o en una red local
Esta opción utiliza los metadatos de la dirección URL de su organización de ArcGIS Enterprise. La dirección URL es https://organization.example.com/<context>/sharing/rest/portals/self/sp/metadata?token=<token>, por ejemplo, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Puede generar un token usando https://organization.example.com/<context>/sharing/rest/generateToken. Cuando introduzca la dirección URL en la página Generar token, especifique el nombre de dominio totalmente calificado del servidor AD FS en el campo URL de aplicación web. Seleccionar cualquier otra opción, como Dirección IP o Dirección IP del origen de esta solicitud, no es compatible y puede generar un token no válido.
- Importar datos de la parte que confía desde un archivo.
Esta opción usa un archivo metadata.xml de su organización de ArcGIS Enterprise. Hay dos maneras de obtener un archivo .xml de metadatos:
- En la página de la organización, haga clic en la pestaña Configuración y haga clic en Seguridad en el lado izquierdo de la página. En las secciones Inicios de sesión, en Inicio de sesión SAML, haga clic en el botón Descargar metadatos de proveedores de servicios para descargar el archivo de metadatos para su organización.
- Abra la dirección URL de los metadatos de su organización de ArcGIS Enterprise y guárdelos como un archivo .xml en su equipo. La dirección URL es https://organization.example.com/<context>/sharing/rest/portals/self/sp/metadata?token=<token>, por ejemplo, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Puede generar un token usando https://organization.example.com/<context>/sharing/rest/generateToken. Cuando introduzca la dirección URL en la página Generar token, especifique el nombre de dominio totalmente calificado del servidor AD FS en el campo URL de aplicación web. Seleccionar cualquier otra opción, como Dirección IP o Dirección IP del origen de esta solicitud, no es compatible y puede generar un token no válido.
- Introducir manualmente los datos de la parte que confía
Con esta opción, Asistente para agregar grupo de partes que confían abre ventanas adicionales para que introduzca manualmente los datos. Estas se explican en los pasos 6 a 8 a continuación.
- Importar datos de la parte que confía publicados online o en una red local
- Para Especificar nombre de la visualización, introduzca el nombre de la visualización.
El nombre de visualización se utiliza para identificar la parte que confía en AD FS. No tiene ningún otro propósito. Defínalo como ArcGIS u otro nombre de la organización en ArcGIS, como ArcGIS-SamlTest, por ejemplo.
Sugerencia:
Si eligió importar la fuente de datos de una URL o un archivo, continúe en el paso 9.
- (Solo fuente de datos manual) En Elegir perfil, elija el perfil de AD FS que sea adecuado para su entorno.
- (Solo fuente de datos manual) En Configurar URL, active la casilla Habilitar compatibilidad con el protocolo SAML 2.0 WebSSO e introduzca la URL del servicio SAML 2.0 SSO de la parte que confía.
La dirección URL de la parte en que confía debe ser la URL donde AD FS envía la respuesta SAML después de autenticar al usuario. Debe ser una URL HTTPS: https://organization.example.com/<context>/sharing/rest/oauth2/saml/signin.
- (Solo fuente de datos manual) En Configurar identificadores, introduzca la URL del identificador del grupo de la parte que confía.
Debe ser portal.domain.com.arcgis.
- Para Elegir reglas de autorización de emisión, elige Permitir que todos los usuarios accedan a esta parte que confía.
- En Listo para agregar grupo, revise toda la configuración de la parte en que confía.
La dirección URL de los metadatos solo se rellena si opta por importar el origen de datos desde una dirección URL.
Sugerencia:
Si se ha habilitado la opción Supervisar parte que confía, AD FS comprueba periódicamente la URL de metadatos de federación y la compara con el estado actual del grupo de la parte en que confía. Sin embargo, la supervisión genera un error una vez que el token de la dirección URL de metadatos de federación caduque. Los errores se registran en el registro de eventos de AD FS. Para desactivar estos mensajes, es aconsejable deshabilitar la supervisión o actualizar el token.
- Haga clic en Siguiente.
- Para Finalizar, active la casilla para abrir automáticamente el cuadro de diálogo Editar reglas de reclamación después de hacer clic en el botón Cerrar.
- Para definir las reglas de reclamación, abra el asistente Editar reglas de reclamación y haga clic en Agregar regla.
- En el paso Seleccionar plantilla de regla, seleccione la plantilla Enviar atributos LDAP como reclamaciones para la regla de reclamación que desea crear. Haga clic en Siguiente.
- En el paso Configurar regla de reclamación, siga las instrucciones siguientes para editar las reglas de reclamación.
- En Nombre de regla de reclamación, indique un nombre para la regla, como Reclamaciones por defecto.
- Para Almacén de atributos, seleccione Active Directory.
- En Asignación de atributos LDAP a los tipos de reclamación de salida, seleccione valores de los menús desplegables para especificar cómo se asignan los atributos LDAP a los tipos de reclamación de salida que se emiten desde la regla.
Utilice la siguiente tabla como guía:
Atributo LDAP Tipo de reclamación de salida El atributo LDAP que contiene los nombres de usuario únicos (por ejemplo, Nombre principal de usuario o Nombre de cuenta SAM)
Id. de nombre Nombre
Nombre Apellido
Apellido
Direcciones de correo electrónico
Dirección de correo electrónico Grupos de token - Nombres no calificados
Grupo
Precaución:
Introducir valores manualmente en lugar de seleccionarlos en los menús desplegables crea atributos definidos por el usuario y puede dar lugar a errores. Para obtener los mejores resultados, utilice los menús desplegables para especificar los valores.
Con esta reclamación, AD FS envía atributos con los nombres givenname, surname, email y group membership a ArcGIS Enterprise tras autenticar al usuario. ArcGIS Enterprise utiliza los valores recibidos en los atributos givenname, surname y email y rellena el nombre, el apellido y la dirección de correo electrónico de la cuenta de usuario. Los valores del atributo de grupo se utilizan para actualizar la pertenencia del usuario al grupo.
Nota:
Si seleccionó la opción Habilitar pertenencia a grupos basada en SAML al registrar AD FS como IDP SAML, la pertenencia de cada usuario se obtiene de la respuesta de la aserción SAML recibida del proveedor de identidad cada vez que el usuario inicia sesión correctamente. Para obtener más información sobre cómo vincular grupos SAML, consulte Crear grupos.
- Haga clic en Finalizar para finalizar la configuración del IDP AD FS para incluir ArcGIS Enterprise como parte que confía.