Security Assertion Markup Language (SAML)es un estándar abierto para intercambiar de forma segura datos de autenticación y autorización entre un proveedor de identidades específico de la organización y un proveedor de servicios (en este caso, Portal for ArcGIS). La fórmula empleada para ello se conoce como SAML Web Single Sign On.
El portal cumple con SAML 2.0 y se integra con proveedores de identidad que admiten SAML 2 Web Single Sign On. La ventaja de configurar SAML es que no es necesario crear credenciales adicionales para que los usuarios accedan a su portal de ArcGIS Enterprise. En lugar de eso, utilizarán las credenciales que ya estén configuradas en un almacén de identidades corporativo. Este proceso se describe a lo largo de la documentación como configuración de inicios de sesión específicos de la organización.
Si lo desea, puede proporcionar al portal metadatos sobre los grupos corporativos de su almacén de identidad. Esto permite crear grupos en el portal aprovechando los grupos corporativos existentes en el almacén de identidad.
Cuando los miembros inician sesión en el portal, el acceso al contenido, los elementos y los datos se controlan por medio de las reglas de pertenencia definidas en el grupo corporativo. Aunque no proporcione los metadatos necesarios para el grupo corporativo, podrá crear grupos. Sin embargo, las reglas de pertenencia se controlarán por medio de su portal de ArcGIS Enterprise, no por su almacén de identidades.
Hacer coincidir los nombres de usuario de ArcGIS Online en el portal de ArcGIS Enterprise
Si se utiliza el mismo proveedor de identidades compatible como SAML en su organización de ArcGIS Online y su portal, los nombres de usuario específicos de la organización se pueden configurar para que coincidan. Todos los nombres de usuario específicos de la organización de ArcGIS Online tienen incorporado el nombre abreviado de la organización al final. Se pueden usar los mismos nombres de usuario específicos de la organización en su portal definiendo la propiedad defaultIDPUsernameSuffix en la configuración de seguridad del portal de ArcGIS Enterprise y configurándola para que coincida con el nombre abreviado de la organización. Esto es necesario si el rastreo del editor está habilitado en un servicio de entidades que han editado los usuarios específicos de la organización desde ArcGIS Online y desde su portal.
Experiencia de inicio de sesión con SAML
Portal for ArcGIS es compatible con los inicios de sesión específicos de la organización iniciados por proveedores de servicios (SP) y con los inicios de sesión específicos de la organización iniciados por proveedores de identidad (IDP). La experiencia de inicio de sesión es diferente en cada caso.
Inicios de sesión iniciados por un proveedor de servicios
Con los inicios de sesión iniciados por proveedores de servicios, los usuarios acceden directamente al portal y se les ofrecen opciones para iniciar sesión con cuentas integradas (administradas por el portal) o con cuentas administradas en un proveedor de identidad compatible con SAML. Si el usuario elige la opción de proveedor de identidad SAML, se le redirige a una página web (conocida como administrador de inicio de sesión) en la que se le pide que introduzca su nombre de usuario y su contraseña de SAML. Después de verificar los datos de inicio de sesión del usuario, el proveedor de identidades específicos de la organización compatible con SAML informa a Portal for ArcGIS de la identidad verificada del usuario que inicia sesión y el usuario se redirige otra vez al sitio web de su portal.
Si el usuario elige la opción de la cuenta integrada, se abre la página de inicio de sesión del sitio web del portal de ArcGIS Enterprise. A continuación, el usuario puede introducir su nombre de usuario y su contraseña integrados para acceder al sitio web. Puede utilizar la opción de la cuenta integrada como alternativa en caso de que el proveedor de identidad compatible con SAML no esté disponible, siempre que no se haya deshabilitado la opción de iniciar sesión con una cuenta de ArcGIS.
Inicios de sesión iniciados por un proveedor de identidad
Con los inicios de sesión iniciados por un proveedor de identidad, los usuarios acceden directamente al administrador de inicio de sesión e inician sesión con su cuenta. Cuando el usuario envía la información de su cuenta, el proveedor de identidades envía la respuesta de SAML directamente a Portal for ArcGIS. A continuación, el usuario inicia sesión y se le redirige al sitio web del portal , donde puede acceder inmediatamente a los recursos sin tener que volver a iniciar sesión en la organización.
La opción para iniciar sesión usando las cuentas integradas no está disponible en el administrador de inicios de sesión. Para iniciar sesión en la organización con una cuenta integrada, los miembros tienen que acceder directamente al sitio web del portal.
Nota:
Si las credenciales de SAML no funcionan debido a problemas con su proveedor de identidad, y ha deshabilitado la opción de cuentas integradas, no podrá acceder a su portal de ArcGIS Enterprise hasta que vuelva a habilitar esta opción. Para obtener instrucciones sobre cómo hacerlo, consulte este tema en Problemas y soluciones comunes.
Proveedores de identidad de SAML
Portal for ArcGIS admite todos los proveedores de identidad compatibles con SAML. Los siguientes tutoriales muestran cómo configurar algunos proveedores de identidad comunes compatibles con SAML en Portal for ArcGIS.
- Azure Active Directory
- NetIQ Access Manager 3.2 y versiones posteriores
- OpenAM 10.1.0 y versiones posteriores
- Shibboleth 2.3.8 y versiones posteriores
- SimpleSAMLphp 1.10 y versiones posteriores
El proceso de obtener los metadatos necesarios de los proveedores de identidad antes indicados se describe en cada vínculo. El proceso para configurar proveedores de identidad con Portal for ArcGIS se describe a continuación. Antes de continuar, es recomendable que se ponga en contacto con el administrador de su proveedor de identidad SAML para obtener los parámetros necesarios para la configuración.
Información requerida
Portal for ArcGIS requiere recibir cierta información sobre atributos desde el IDP cuando un usuario se conecta con inicios de sesión SAML. El atributo NameID es obligatorio y su IDP debe enviarlo en la respuesta SAML para que la federación con Portal for ArcGIS funcione. Dado que Portal for ArcGIS utiliza el valor de NameID para identificar de forma única un usuario nominal, se recomienda utilizar un valor constante que identifique al usuario de forma única. Cuando un usuario de IDP inicia sesión, Portal for ArcGIS crea un nuevo usuario con el nombre de usuario NameID en su almacén de usuarios. Los caracteres permitidos para el valor enviado por NameID son alfanuméricos, _ (guion bajo), . (punto) y @ (arroba). Para los demás caracteres del nombre de usuario creado por Portal for ArcGIS, se agregará un carácter de escape con guion bajo.
Portal for ArcGIS admite el flujo de entrada de una dirección de correo electrónico, pertenencias a grupos y un nombre y apellidos determinados de un usuario desde el proveedor de identidad SAML.
Configurar el portal con un proveedor de identidad SAML
Puede configurar el portal para que los usuarios puedan iniciar sesión utilizando el mismo nombre de usuario y contraseña que utilizan con los sistemas locales existentes. Antes de configurar Inicios de sesión específicos de la organización, debe configurar un tipo de usuario predeterminado para su organización.
- Inicie sesión en el sitio web del portal como administrador de su organización y haga clic en Organización > Configuración > Seguridad.
- En la sección Inicios de sesión, en Inicio de sesión SAML, haga clic en el botón Establecer inicio de sesión SAML y seleccione la opción Un proveedor de entidad. En la página Especificar propiedades, introduzca el nombre de su organización (por ejemplo, City of Redlands). Cuando los usuarios acceden al sitio web del portal, este texto aparece como parte de la opción de inicio de sesión SAML (por ejemplo, Usar su cuenta de City of Redlands).
- Indique si los usuarios pueden unirse a la organización automáticamente o con una invitación con la opción Automáticamente o la opción Si reciben una invitación de un administrador. La primera opción permite a los usuarios iniciar sesión en la organización con su inicio de sesión específico de la organización sin ninguna intervención de un administrador. Su cuenta se registra con la organización automáticamente la primera vez que inician sesión. La segunda opción requiere que el administrador registre las cuentas necesarias con la organización utilizando una utilidad de línea de comandos o un script de comandos de Python de ejemplo. Una vez que las cuentas se hayan registrado, los usuarios pueden iniciar sesión en la organización.
Sugerencia:
Es recomendable designar al menos una cuenta SAML como administrador del portal y degradar o eliminar la cuenta de administrador inicial. También se recomienda deshabilitar el botón Crear una cuenta en el sitio web del portal para que los usuarios no puedan crear sus propias cuentas. Para obtener instrucciones completas, consulte la sección Designar una cuenta específica de la organización como administrador.
- Proporcione la información de metadatos necesaria acerca del proveedor de identidad específico de la organización compatible con SAML. Hágalo especificando el origen al que accederá el portal para obtener la información de metadatos. Los vínculos de las instrucciones para obtener metadatos de proveedores certificados están disponibles en la sección Proveedores de identidad SAML. Hay tres fuentes posibles de información de metadatos:
- Una URL: proporcione una dirección URL que devuelva información de metadatos acerca del proveedor de identidad.
Nota:
Si el proveedor de identidad específico de la organización incluye un certificado autofirmado, puede producirse un error al intentar especificar la dirección URL HTTPS de los metadatos. Este error se produce porque Portal for ArcGIS no puede verificar el certificado autofirmado del proveedor de identidad. Como alternativa, use HTTP en la dirección URL, una de las otras opciones que aparecen, o configure el proveedor de identidad con un certificado de confianza.
- Un archivo: cargue un archivo que contenga información de metadatos acerca del proveedor de identidad.
- Parámetros especificados aquí: introduzca directamente la información de metadatos sobre el proveedor de identidad indicando los parámetros siguientes:
- Dirección URL de inicio de sesión (redireccionamiento): introduzca la dirección URL del proveedor de identidades (que admita la vinculación de redireccionamiento HTTP) que debe utilizar Portal for ArcGIS para permitir a un miembro iniciar sesión.
- Dirección URL de inicio de sesión (POST): introduzca la dirección URL del proveedor de identidades (que admita la vinculación de HTTP POST) que debe utilizar Portal for ArcGIS para permitir a un miembro iniciar sesión.
- Certificado: proporcione el certificado, codificado con el formato BASE 64, del proveedor de identidad. Este es el certificado que permite a Portal for ArcGIS verificar la firma digital en las respuestas SAML que le envía el proveedor de identidad.
Nota:
Póngase en contacto con el administrador del proveedor de identidad si necesita ayuda para determinar qué origen de información de metadatos se debe proporcionar.
- Una URL: proporcione una dirección URL que devuelva información de metadatos acerca del proveedor de identidad.
- Para completar el proceso de configuración y establecer la confianza con el proveedor de identidad, registre los metadatos del proveedor de servicios del portal en el proveedor de identidad. Hay dos formas de obtener los metadatos del portal:
- En la sección Seguridad de la pestaña Configuración de su organización, haga clic en el botón Descargar metadatos de proveedores de servicios para descargar el archivo de metadatos de su organización.
- Abra la dirección URL de los metadatos y guárdelos como un archivo XML en su equipo. La dirección URL es https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, por ejemplo, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Puede generar un token usando https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Al introducir la dirección URL en la página Generar token, especifique el nombre de dominio completo del servidor del proveedor de identidad en el campo URL de aplicación web. Seleccionar cualquier otra opción, como Dirección IP o Dirección IP del origen de esta solicitud, no es compatible y puede generar un token no válido.
Los vínculos de las instrucciones para registrar los metadatos del proveedor de servicios del portal en los proveedores certificados están disponibles en la sección Proveedores de identidad SAML.
- Configure los ajustes avanzados según proceda:
- Cifrar aserción: habilite esta opción para indicar al proveedor de identidad SAML que Portal for ArcGIS admite respuestas de aserción SAML cifradas. Cuando esta opción está seleccionada, el proveedor de identidad cifrará la sección de aserción de las respuestas SAML. Todo el tráfico de SAML de entrada y salida desde Portal for ArcGIS ya está cifrado mediante el uso de HTTPS, pero esta opción agrega otra capa de cifrado.
- Habilitar solicitud firmada: habilite esta opción para que Portal for ArcGIS firme la solicitud de autenticación SAML enviada al proveedor de identidad. Firmar la solicitud de inicio de sesión inicial enviada por Portal for ArcGIS permite al proveedor de identidades verificar que todas las solicitudes de inicio de sesión proceden de un proveedor de servicios de confianza.
- Propagar cierre de sesión a proveedor de identidad: habilite esta opción para que Portal for ArcGIS utilice una URL de cierre de sesión para cerrar la sesión del usuario del proveedor de identidad. Introduzca la dirección URL que desee utilizar en la configuración de la Dirección URL de cierre de sesión. Si el proveedor de identidad requiere que la dirección URL de cierre de sesión esté firmada, también será necesario activar la opción Habilitar solicitud firmada. Cuando esta opción no está activada, al hacer clic en Cerrar sesión en Portal for ArcGIS se cerrará la sesión del usuario de Portal for ArcGIS, pero no del proveedor de identidad. Si no se ha limpiado la caché del navegador web del usuario, al intentar inmediatamente iniciar sesión de nuevo en Portal for ArcGIS utilizando la opción de inicio de sesión específica de la organización se iniciará la sesión de inmediato sin necesidad de proporcionar las credenciales del usuario al proveedor de identidades SAML. Esta es una vulnerabilidad de seguridad que se puede explotar cuando se utiliza un equipo que es fácilmente accesible a usuarios no autorizados o al público en general.
- Actualizar perfiles en el inicio de sesión: habilite esta opción para que Portal for ArcGIS actualice los atributos givenName y email address del usuario si han cambiado desde su último inicio de sesión. Está seleccionada de forma predeterminada.
- Habilitar pertenencia a grupos basada en SAML: habilite esta opción para permitir a los administradores del portal vincular grupos en su proveedor de identidad SAML con grupos creados en su portal de ArcGIS Enterprise. Si está seleccionada, Portal for ArcGIS analizará la respuesta de la aserción SAML para determinar los grupos a los que pertenece un miembro. A continuación, puede especificar uno o varios grupos corporativos proporcionados por su proveedor de identidad en ¿Quién puede unirse a este grupo? al crear un nuevo grupo en su portal. Esta característica no está seleccionada de forma predeterminada.
- URL de cierre de sesión: introduzca la dirección URL del proveedor de identidad a utilizar para cerrar la sesión del usuario conectado. Si esta propiedad está especificada en el archivo de metadatos del proveedor de identidad, se establece automáticamente.
- Id. de entidad: actualice este valor para usar un nuevo Id. de entidad para identificar exclusivamente su organización de Portal for ArcGIS en el proveedor de identidades SAML.
Designar una cuenta específica de la organización como administrador
La forma de designar una cuenta específica de la organización como administrador del portal dependerá de si los usuarios pueden unirse a la organización automáticamente o si deben recibir una invitación de un administrador.
Unirse a la organización automáticamente
Si ha seleccionado la opción Automáticamente que permite a los usuarios unirse a la organización automáticamente, abra la página de inicio del sitio web del portal después de iniciar sesión en él con la cuenta específica de la organización que desea usar como administrador del portal.
Cuando una cuenta se agrega por primera vez al portal de forma automática, se le asigna el rol predeterminado configurado para nuevos miembros. Solo un administrador de la organización puede cambiar el rol de una cuenta; por tanto, debe iniciar sesión en el portal utilizando la cuenta de administrador inicial y asignar una cuenta específica de la organización al rol de administrador.
- En el sitio web del portal, haga clic en la opción para iniciar sesión usando un proveedor de identidad SAML e introduzca las credenciales de la cuenta SAML que desea usar como administrador. Si esta cuenta pertenece a otro usuario, pídale que inicie sesión en el portal para que la cuenta quede registrada en él.
- Compruebe que la cuenta se haya agregado al portal y haga clic en Cerrar sesión. Borre la caché y las cookies del navegador.
- Abra el sitio web del portal desde el navegador, haga clic en la opción para iniciar sesión usando una cuenta de portal integrada y proporcione las credenciales de la cuenta de administrador inicial creada al configurar Portal for ArcGIS.
- Busque la cuenta SAML que usará para administrar el portal y cambie el rol a Administrador. Haga clic en Cerrar sesión.
La cuenta SAML que ha seleccionado tiene ahora el rol de administrador en el portal.
Agregar manualmente cuentas específicas de la organización al portal
Si selecciona la opción Si reciben una invitación de un administrador que solo permite que se unan a la organización los usuarios que reciben una invitación, tendrá que asignar las cuentas necesarias con la organización utilizando una utilidad de línea de comandos o un script de Python de muestra. Seleccione el rol de Administrador para la cuenta SAML que se usará para administrar el portal.
Degradar o eliminar la cuenta de administrador inicial
Ahora que tiene una cuenta de administrador del portal alternativa, puede asignar la cuenta de administrador inicial al otro rol o eliminar la cuenta. Consulte Acerca de la cuenta de administrador inicial para obtener más información.
Impedir que los usuarios creen sus propias cuentas.
Puede impedir que los usuarios creen sus propias cuentas integradas mediante la opción deshabilitar la capacidad de los usuarios de crear nuevas cuentas integradas en la configuración de la organización.
Deshabilitar el inicio de sesión con cuentas de ArcGIS
Si desea impedir que los usuarios inicien sesión en el portal con una cuenta de ArcGIS, puede deshabilitar el botón Inicio de sesión de ArcGIS en la página de inicio de sesión. Para ello, siga los siguientes pasos:
- Inicie sesión en el sitio web del portal como administrador de su organización y haga clic en Organización > Configuración > Seguridad.
- En la sección Inicios de sesión, desactive la opción Inicios de sesión de ArcGIS.
La página de inicio de sesión muestra el botón para iniciar sesión en el portal con una cuenta de proveedor de identidad y el botón para iniciar sesión con un inicio de sesión de ArcGIS no está disponible. Puede volver a habilitar los inicios de sesión con cuentas de ArcGIS activando la opción Inicio de sesión de ArcGIS que se encuentra en Inicios de sesión.
Modificar o eliminar el IDP de SAML
Cuando haya configurado un IDP de SAML, puede actualizar su configuración haciendo clic en el botón Editar situado junto al IDP de SAML registrado actualmente. Actualice su configuración en la ventana Editar inicio de sesión SAML.
Para eliminar el IDP registrado actualmente, haga clic en el botón Editar junto al IDP y haga clic en Eliminar inicio de sesión en la ventana Editar inicio de sesión SAML. Después de eliminar un IDP, si lo desea, puede configurar un IDP o una federación de IDP nuevos.
Prácticas recomendadas sobre seguridad SAML
Para habilitar inicios de sesión SAML, puede configurar ArcGIS Enterprise como proveedor de servicios (SP) para su proveedor de identidad (IDP) SAML. Para garantizar una seguridad potente, plantéese estas prácticas recomendadas.
Firma digital de las solicitudes de inicio y cierre de sesión SAML y firma de la respuesta de la aserción SAML.
Las firmas se utilizan para garantizar la integridad de los mensajes SAML y, por lo tanto, actúan como protección frente a ataques de intermediarios (MITM). La firma digital de la solicitud SAMLSAML también garantiza que la solicitud la envíe un SP de confianza, por lo que el IDP puede enfrentarse mejor a ataques de denegación de servicio (DOS). Active la opción Habilitar solicitud firmada en la configuración avanzada al configurar inicios de sesión SAML.
Nota:
Para habilitar solicitudes firmadas es necesario actualizar el IDP siempre que se renueve o sustituya el certificado de firma que utiliza el SP.
Configure el IDP de SAML para que firme la respuesta de SAML a fin de evitar la modificación en tránsito de la respuesta de la aserción SAML.
Nota:
Para habilitar solicitudes firmadas es necesario actualizar el SP (ArcGIS Enterprise) siempre que se renueve o sustituya el certificado de firma que utiliza el IDP.
Usar el extremo HTTPS del IDP
Todas las comunicaciones entre el SP, el IDP y el navegador del usuario que se envían por una red interna o por Internet en un formato sin cifrar corren el riesgo de que un actor malintencionado las intercepte. Si su IDP de SAML admite HTTPS, es recomendable que utilice el extremo HTTPS para garantizar la confidencialidad de los datos que se transmiten durante inicios de sesión SAML.
Cifrar la respuesta de la aserción SAML
Usar HTTPS para la comunicación SAML protege los mensajes SAML que se envían entre el IDP y el SP. No obstante, los usuarios que hayan iniciado sesión todavía pueden decodificar y ver los mensajes SAML mediante el navegador web. Habilitar el cifrado de la respuesta de la aserción evita que los usuarios vean información confidencial que se comunica entre el IDP y el SP.
Nota:
Para habilitar aserciones cifradas es necesario actualizar el IDP siempre que se renueve o sustituya el certificado de cifrado que utiliza el SP (ArcGIS Enterprise).
Administrar de forma segura los certificados de inicio de sesión y cifrado
Se recomienda que utilice certificados con claves criptográficas fuertes para firmar digitalmente o cifrar mensajes SAML, así como renovar o sustituir los certificados cada tres o cinco años.