Security Assertion Markup Language (SAML) es un estándar abierto que se usa para intercambiar de forma segura datos de autenticación y autorización entre un proveedor de identidad específico de la organización y un proveedor de servicios (en este caso, su organización ArcGIS Enterprise). Este enfoque se conoce como inicio de sesión web único SAML.
La organización cumple con SAML 2.0 y se integra con proveedores de identidad que admiten SAML 2 Web Single Sign On. La ventaja de configurar SAML es que no es necesario crear credenciales adicionales para que los usuarios accedan a su organización. En lugar de eso, utilizarán las credenciales que ya estén configuradas en un almacén de identidades corporativo. Este proceso se describe a lo largo de la documentación como configuración de inicios de sesión específicos de la organización.
Si lo desea, puede proporcionar al portal metadatos sobre los grupos de SAML en su almacén de identidades. Le permite crear grupos en el portal que usan los grupos de SAML existentes en su almacén de identidades.
Cuando los miembros inician sesión en el portal, el acceso al contenido, los elementos y los datos se controlan por medio de las reglas de pertenencia definidas en el grupo de SAML. Aunque no proporcione los metadatos del grupo de SAML necesarios, todavía puede crear grupos. Sin embargo, las reglas de pertenencia se controlan por medio del portal de ArcGIS Enterprise, no el almacén de identidades.
Nota:
También puede configurar una federación de proveedores de identidad basados en SAML con su portal.
Hacer coincidir los nombres de usuario de ArcGIS Online en el portal de ArcGIS Enterprise
Si se utiliza el mismo proveedor de identidades compatible como SAML en su organización de ArcGIS Online y su portal, los nombres de usuario específicos de la organización se pueden configurar para que coincidan. Todos los nombres de usuario específicos de la organización de ArcGIS Online tienen incorporado el nombre abreviado de la organización al final. Se pueden usar los mismos nombres de usuario específicos de la organización en su portal definiendo la propiedad defaultIDPUsernameSuffix en la configuración de seguridad del portal de ArcGIS Enterprise y configurándola para que coincida con el nombre abreviado de la organización. Esto es necesario si el rastreo del editor está habilitado en un servicio de entidades que han editado los usuarios específicos de la organización desde ArcGIS Online y desde su portal.
Inicio de sesión con SAML
ArcGIS Enterprise es compatible con los inicios de sesión específicos de la organización iniciados por proveedores de servicios (SP) y con los inicios de sesión específicos de la organización iniciados por proveedores de identidad (IDP). La experiencia de inicio de sesión es diferente en cada caso.
Inicios de sesión iniciados por un proveedor de servicios
Con los inicios de sesión iniciados por proveedores de servicios, los usuarios acceden directamente al portal y se les ofrecen opciones para iniciar sesión con cuentas integradas (administradas por el portal) o con cuentas administradas en un proveedor de identidad compatible con SAML. Si el usuario elige la opción de proveedor de identidad SAML, se le redirige a una página web (conocida como administrador de inicio de sesión) en la que se le pide que introduzca su nombre de usuario y su contraseña de SAML. Después de verificar las credenciales de inicio de sesión del usuario, el proveedor de identidad compatible con SAML informa a ArcGIS Enterprise de la identidad verificada del usuario que inicia sesión y el usuario se redirige otra vez al sitio web de su portal.
Si el usuario elige la opción de la cuenta integrada, se abre la página de inicio de sesión del sitio web del portal de ArcGIS Enterprise. A continuación, el usuario introduce su nombre de usuario y su contraseña integrados para acceder al sitio web. Puede usar la opción de la cuenta integrada como alternativa en caso de que el proveedor de identidad compatible con SAML no esté disponible, siempre que no se haya deshabilitado la opción de iniciar sesión con una cuenta de ArcGIS.
Inicios de sesión iniciados por un proveedor de identidad
Con los inicios de sesión iniciados por un proveedor de identidad, los usuarios acceden directamente al administrador de inicio de sesión e inician sesión con su cuenta. Cuando el usuario envía la información de su cuenta, el proveedor de identidades envía la respuesta de SAML directamente a ArcGIS Enterprise. A continuación, el usuario inicia sesión y se le redirige al sitio web del portal, donde puede acceder inmediatamente a los recursos sin tener que volver a iniciar sesión en la organización.
La opción para iniciar sesión usando las cuentas integradas no está disponible en el administrador de inicios de sesión. Para iniciar sesión en la organización con cuentas integradas, los miembros tienen que acceder directamente al sitio web del portal.
Nota:
Si las credenciales de SAML no funcionan debido a problemas con el proveedor de identidad y la opción de cuentas integradas está deshabilitada, no podrá acceder a su portal de ArcGIS Enterprise hasta que vuelva a habilitar esta opción. Consulte esta pregunta en Problemas y soluciones comunes para obtener instrucciones.
Proveedores de identidad de SAML
ArcGIS Enterprise admite todos los proveedores de identidad compatibles con SAML. Los siguientes tutoriales muestran cómo configurar algunos proveedores de identidad comunes compatibles con SAML con ArcGIS Enterprise:
- Active Directory Federation Services (AD FS)
- Azure Active Directory
- NetIQ Access Manager 3.2 y versiones posteriores
- OpenAM 10.1.0 y versiones posteriores
- Shibboleth 2.3.8 y versiones posteriores
- SimpleSAMLphp 1.10 y versiones posteriores
El proceso de obtener los metadatos necesarios de los proveedores de identidad se describe en cada vínculo. El proceso para configurar proveedores de identidad con ArcGIS Enterprise se describe a continuación. Antes de continuar, es recomendable que se ponga en contacto con el administrador de su proveedor de identidad SAML para obtener los parámetros necesarios para la configuración.
Información requerida
ArcGIS Enterprise requiere recibir cierta información sobre atributos desde el IDP cuando un usuario se conecta con inicios de sesión SAML. El atributo NameID es obligatorio y su IDP debe enviarlo en la respuesta SAML para que la federación funcione. Dado que ArcGIS Enterprise utiliza el valor de NameID para identificar de forma única un usuario nominal, se recomienda utilizar un valor constante que identifique al usuario de forma única. Cuando un usuario de IDP inicia sesión, la organización de ArcGIS Enterprise crea un nuevo usuario con el nombre de usuario NameID en su almacén de usuarios. Los caracteres permitidos para el valor enviado por NameID son alfanuméricos, _ (guion bajo), . (punto) y @ (arroba). Para los demás caracteres del nombre de usuario creado por ArcGIS Enterprise, se agregará un carácter de escape con guion bajo.
ArcGIS Enterprise admite el flujo de entrada de una dirección de correo electrónico, pertenencias a grupos y un nombre y apellidos determinados de un usuario desde el proveedor de identidad SAML.
Asignaciones de perfil de usuario
En la siguiente tabla se muestra qué valores de aserción SAML se asignan a las propiedades de usuarios del portal:
Propiedad de usuario de ArcGIS | Atributo de reclamación definido por IDP |
---|---|
Dirección de correo electrónico | Correo electrónico emailaddress correo urn:oid:0.9.2342.19200300.100.1.3 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress |
Nombre | givenName urn:oid:2.5.4.42 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname |
Apellidos | surname urn:oid:2.5.4.4 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname |
Grupos | Grupo Grupos Rol Roles MemberOf member-of http://wso2.com/claims/role http://schemas.xmlsoap.org/claims/Group urn:oid:1.3.6.1.4.1.5923.1.5.1.1 urn:oid:2.16.840.1.113719.1.1.4.1.25 Nota:Solo se debe especificar un único nombre de atributo para varias reclamaciones de grupo. |
Configurar el portal con un proveedor de identidad SAML
Puede configurar el portal para que los usuarios puedan iniciar sesión utilizando el mismo nombre de usuario y contraseña que utilizan con los sistemas locales existentes. Antes de configurar Inicios de sesión específicos de la organización, debe configurar un tipo de usuario predeterminado para su organización.
- Inicie sesión en el sitio web del portal como administrador de su organización y haga clic en Organización > Configuración > Seguridad.
- En la sección Inicios de sesión, haga clic en el botón Nuevo inicio de sesión de SAML y seleccione la opción Un proveedor de identidad. En la página Especificar propiedades, introduzca el nombre de su organización (por ejemplo, City of Redlands).
Cuando los usuarios acceden al sitio web del portal, este texto aparece como parte de la opción de inicio de sesión SAML (por ejemplo, Usar su cuenta de City of Redlands).
- Elija Automáticamente o Si reciben una invitación de un administrador para especificar si los usuariospueden unirse a la organización automáticamente o por invitación.La primera opción permite a los usuarios iniciar sesión en la organización con su inicio de sesión específico de la organización sin que intervenga ningún administrador. Su cuenta se registra con la organización automáticamente la primera vez que inician sesión. La segunda opción requiere que el administrador registre las cuentas necesarias con la organización utilizando una utilidad de línea de comandos. Una vez que las cuentas se hayan registrado, los usuarios pueden iniciar sesión en la organización.
Sugerencia:
Es recomendable designar al menos una cuenta SAML como administrador del portal y degradar o eliminar la cuenta de administrador inicial. También se recomienda deshabilitar el botón Crear una cuenta en el sitio web del portal para que los usuarios no puedan crear sus propias cuentas. Para obtener instrucciones, consulte la sección Designar una cuenta específica de la organización como administrador.
- Especifique el origen al que accederá el portal para obtener la información de metadatos. Le proporciona la información de metadatos necesaria acerca del proveedor de identidad compatible con SAML. Los vínculos de las instrucciones para obtener metadatos de proveedores certificados están disponibles en la sección Proveedores de identidad SAML. Hay tres fuentes posibles de información de metadatos:
- Una URL: proporcione una dirección URL que devuelva información de metadatos acerca del proveedor de identidad.
Nota:
Si el proveedor de identidad incluye un certificado autofirmado, puede producirse un error al especificar la dirección URL HTTPS de los metadatos. Este error se produce porque ArcGIS Enterprise no puede verificar el certificado autofirmado del proveedor de identidad. Como alternativa, use HTTP en la dirección URL o una de las otras opciones que aparecen, o configure el proveedor de identidad con un certificado de confianza.
- Un archivo: cargue un archivo que contenga información de metadatos acerca del proveedor de identidad.
- Parámetros especificados aquí: introduzca directamente la información de metadatos sobre el proveedor de identidad indicando lo siguiente:
- URL de inicio de sesión (redireccionamiento): proporcione la URL del proveedor de identidad (que admite la vinculación de redireccionamiento HTTP) que ArcGIS Enterprise usará para permitir que un miembro inicie sesión.
- URL de inicio de sesión (POST): introduzca la dirección URL del proveedor de identidad (que admite la vinculación HTTP POST) que ArcGIS Enterprise debe usar para permitir que un miembro inicie sesión.
- Certificado: proporcione el certificado, codificado con el formato BASE 64, del proveedor de identidad. Este es el certificado que permite a ArcGIS Enterprise verificar la firma digital en las respuestas SAML que le envía el proveedor de identidad.
Nota:
Póngase en contacto con el administrador del proveedor de identidad si necesita ayuda para determinar qué origen de información de metadatos se debe proporcionar.
- Una URL: proporcione una dirección URL que devuelva información de metadatos acerca del proveedor de identidad.
- Registre los metadatos del proveedor de servicios del portal en el proveedor de identidad para completar el proceso de configuración y establecer la confianza con el proveedor de identidad. Para obtener los metadatos de su portal, realice una de las siguientes acciones:
- En la sección Seguridad de la pestaña Configuración de su organización, haga clic en el botón Descargar metadatos de proveedores de servicios para descargar el archivo de metadatos de su organización.
- Abra la URL de los metadatos y guárdelo como un archivo .xml en su equipo. La dirección URL es https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, por ejemplo, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Puede generar un token usando https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Cuando introduzca la dirección URL en la página Generar token, especifique el nombre de dominio totalmente calificado del servidor del proveedor de identidad en el cuadro de texto URL de aplicación web. Ninguna otra opción, como Dirección IP o Dirección IP del origen de esta solicitud, es compatible y puede generar un token no válido.
Los vínculos de las instrucciones para registrar los metadatos del proveedor de servicios del portal en los proveedores certificados están disponibles en la sección Proveedores de identidad SAML.
- Configure los ajustes avanzados según proceda:
- Cifrar aserción: indica al proveedor de identidad SAML que ArcGIS Enterprise admite respuestas de aserción SAML cifradas. Cuando esta opción está seleccionada, el proveedor de identidad cifrará la sección de aserción de las respuestas SAML. Todo el tráfico de SAML de entrada y salida desde ArcGIS Enterprise ya está cifrado mediante el uso de HTTPS, pero esta opción agrega otra capa de cifrado.
- Habilitar solicitud firmada: hacer que ArcGIS Enterprise firme la solicitud de autenticación SAML enviada al proveedor de identidad. Firmar la solicitud de inicio de sesión inicial enviada por ArcGIS Enterprise permite al proveedor de identidades verificar que todas las solicitudes de inicio de sesión proceden de un proveedor de servicios de confianza.
Sugerencia:
Habilite esta configuración para garantizar la integridad de las solicitudes SAML. Puede habilitar esta opción en cualquier momento en la configuración avanzada, incluso si la omitió durante la configuración inicial de su portal.
- Propagar cierre de sesión a proveedor de identidad: hacer que ArcGIS Enterprise utilice una URL de cierre de sesión para cerrar la sesión del usuario del proveedor de identidad. Introduzca la dirección URL que desee utilizar en la configuración de la Dirección URL de cierre de sesión. Si el proveedor de identidad requiere que la dirección URL de cierre de sesión esté firmada, también será necesario habilitar el ajuste Habilitar solicitud firmada. Si este ajuste está activado, al hacer clic en Cerrar sesión en ArcGIS Enterprise se cerrará la sesión del usuario de ArcGIS Enterprise, pero no del proveedor de identidad. Si la caché del navegador web del usuario no se ha borrado, al volver a iniciar sesión inmediatamente en ArcGIS Enterprise usando la opción de inicio de sesión específico de la organización dará como resultado un inicio de sesión sin necesidad de proporcionar credenciales de usuario al proveedor de identidad SAML. Esta es una vulnerabilidad de seguridad que se puede explotar cuando se utiliza un equipo que es accesible a usuarios no autorizados o al público en general.
- Actualizar perfiles en el inicio de sesión: hacer que ArcGIS Enterprise actualice los atributos givenName y email address de los usuarios si se modificaron desde su último inicio de sesión. Esta opción está habilitada por defecto.
- Habilitar pertenencia a grupos basada en SAML: permitir a los administradores del portal vincular grupos en el proveedor de identidad SAML con grupos creados en su portal de ArcGIS Enterprise. Si este ajuste está habilitado, ArcGIS Enterprise analiza la respuesta de la aserción SAML para identificar los grupos a los que pertenece un miembro. A continuación, puede especificar uno o varios grupos de SAML proporcionados por el proveedor de identidad para ¿Quién puede unirse a este grupo? al crear un nuevo grupo en su portal.Esta entidad está deshabilitada de manera predeterminada.
Nota:
Al crear un grupo nuevo en el portal de ArcGIS Enterprise, el nombre de grupo que introduzca debe coincidir con el valor exacto del grupo de SAML externo tal y como se devuelve en el valor de atributo de la aserción SAML. Si tiene dudas sobre el valor correcto, contacte con el administrador que configuró el sistema SAML de su organización.
- URL de cierre de sesión: introduzca la dirección URL del proveedor de identidad a utilizar para cerrar la sesión del usuario conectado actualmente. Si esta propiedad está especificada en el archivo de metadatos del proveedor de identidad, se establece automáticamente.
- Id. de entidad: actualice este valor para usar un nuevo Id. de entidad para identificar exclusivamente su organización de ArcGIS Enterprise en el proveedor de identidades SAML.
Designar una cuenta específica de la organización como administrador
La forma de designar una cuenta específica de la organización como administrador del portal depende de si los usuarios pueden unirse a la organización automáticamente o si reciben una invitación de un administrador.
Unirse a la organización automáticamente
Si ha seleccionado la opción Automáticamente que permite a los usuarios unirse a la organización automáticamente, abra la página de inicio del sitio web del portal después de iniciar sesión en él con la cuenta específica de la organización que desea usar como administrador del portal.
Cuando una cuenta se agrega por primera vez al portal de forma automática, se le asigna el rol predeterminado configurado para nuevos miembros. Solo un administrador de la organización puede cambiar el rol de una cuenta; debe iniciar sesión en el portal utilizando la cuenta de administrador inicial y asignar una cuenta específica de la organización al rol de administrador.
- En el sitio web del portal, haga clic en la opción para iniciar sesión usando un proveedor de identidad SAML e introduzca las credenciales de la cuenta SAML que desea usar como administrador. Si esta cuenta pertenece a otro usuario, pídale que inicie sesión en el portal para que la cuenta quede registrada en él.
- Compruebe que la cuenta se haya agregado al portal y haga clic en Cerrar sesión. Borre la caché y las cookies del navegador.
- Desde el navegador, abra el sitio web del portal, haga clic en la opción para iniciar sesión usando una cuenta de portal integrada y proporcione las credenciales de la cuenta de administrador inicial creada al configurar ArcGIS Enterprise.
- Busque la cuenta de SAML que desea usar para administrar el portal y cambie el rol a Administrador. Haga clic en Cerrar sesión.
La cuenta SAML que ha seleccionado tiene ahora el rol de administrador en el portal.
Agregar manualmente cuentas específicas de la organización al portal
Si eligió la opción Si reciben una invitación de un administrador para permitir a los usuarios solo unirse a la organización si reciben una invitación de un administrador, tendrá que registrar las cuentas necesarias en la organización mediante una utilidad de línea de comandos. Seleccione el rol de Administrador para la cuenta SAML que se usará para administrar el portal.
Degradar o eliminar la cuenta de administrador inicial
Ahora que tiene una cuenta de administrador del portal alternativa, puede asignar la cuenta de administrador inicial al otro rol o eliminar la cuenta. Consulte Acerca de la cuenta de administrador inicial para obtener más información.
Impedir que los usuarios creen sus propias cuentas.
Puede impedir que los usuarios creen sus propias cuentas integradas mediante la opción deshabilitar la capacidad de los usuarios de crear nuevas cuentas integradas en la configuración de la organización.
Impedir que los usuarios inicien sesión con una cuenta de ArcGIS
Para impedir que los usuarios inicien sesión en el portal con una cuenta de ArcGIS, desactive el botón de alternancia Inicio de sesión de ArcGIS en la página de inicio de sesión.
- Inicie sesión en el sitio web del portal como administrador de la organización y haga clic en Organización > Configuración > Seguridad.
- En la sección Inicios de sesión, desactive el botón de alternancia Inicio de sesión de ArcGIS.
La página de inicio de sesión muestra el botón para iniciar sesión en el portal mediante una cuenta de proveedor de identidad y el botón Inicio de sesión en ArcGIS no está disponible. Para volver a habilitar los inicios de sesión de los miembros con cuentas de ArcGIS, active el botón de alternancia Inicio de sesión de ArcGIS en la sección Inicios de sesión.
Modificar o eliminar el IDP de SAML
Cuando haya configurado un IDP de SAML, puede actualizar su configuración haciendo clic en el botón Editar situado junto al IDP de SAML registrado actualmente. Actualice la configuración en la ventana Editar inicio de sesión SAML.
Para eliminar el IDP registrado actualmente, haga clic en el botón Editar junto al IDP y haga clic en Eliminar inicio de sesión en la ventana Editar inicio de sesión SAML. Después de eliminar un IDP, si lo desea, puede configurar un IDP o una federación de IDP nuevos.
Prácticas recomendadas sobre seguridad SAML
Para habilitar los inicios de sesión de SAML, puede configurar ArcGIS Enterprise como un SP para su IDP SAML. Para garantizar una seguridad robusta, plantéese las prácticas recomendadas enumeradas a continuación.
Firma digital de las solicitudes de inicio y cierre de sesión SAML y firma de la respuesta de la aserción SAML.
Las firmas se utilizan para garantizar la integridad de los mensajes SAML y actúan como protección frente a ataques de intermediarios (MITM). La firma digital de la solicitud SAMLSAML también garantiza que la solicitud la envíe un SP de confianza, por lo que el IDP puede enfrentarse mejor a ataques de denegación de servicio (DOS). Active la opción Habilitar solicitud firmada en la configuración avanzada al configurar inicios de sesión SAML.
Nota:
Para habilitar solicitudes firmadas es necesario que el IDP se actualice siempre que se renueve o sustituya el certificado de firma que utiliza el SP.
Configure el IDP de SAML para que firme la respuesta de SAML a fin de evitar la modificación en tránsito de la respuesta de la aserción SAML.
Nota:
Para habilitar solicitudes firmadas es necesario actualizar el SP (ArcGIS Enterprise) siempre que se renueve o sustituya el certificado de firma que utiliza el IDP.
Usar el extremo HTTPS del IDP
Todas las comunicaciones entre el SP, el IDP y el navegador del usuario que se envían por una red interna o por Internet en un formato sin cifrar corren el riesgo de que un actor malintencionado las intercepte. Si su IDP de SAML admite HTTPS, es recomendable que utilice el extremo HTTPS para garantizar la confidencialidad de los datos que se transmiten durante inicios de sesión SAML.
Cifrar la respuesta de la aserción SAML
Usar HTTPS para la comunicación SAML protege los mensajes SAML que se envían entre el IDP y el SP. No obstante, los usuarios que hayan iniciado sesión todavía pueden decodificar y ver los mensajes SAML mediante el navegador web. Habilitar el cifrado de la respuesta de la aserción evita que los usuarios vean información confidencial que se comunica entre el IDP y el SP.
Nota:
Para habilitar aserciones cifradas es necesario que el IDP se actualice siempre que se renueve o sustituya el certificado de cifrado que utiliza el SP (ArcGIS Enterprise).
Administrar de forma segura los certificados de inicio de sesión y cifrado
Utilice certificados con claves criptográficas fuertes para firmar digitalmente o cifrar mensajes SAML, así como renovar o sustituir los certificados cada tres o cinco años.