Microsoft Azure Active Directory (AD) es un proveedor de identidad (IDP) compatible con SAML (Security Assertion Markup Language). Puede configurarlo como su IDP para inicios de sesión corporativos en Portal for ArcGIS local y en la nube. El proceso de configuración conlleva dos pasos principales: registrar Azure AD en su portal de ArcGIS Enterprise y registrar Portal for ArcGIS en su portal de Azure AD.
Para configurar Azure AD con ArcGIS Enterprise necesita una suscripción Premium a Azure AD.
Información requerida
Portal for ArcGIS exige recibir cierta información sobre atributos desde el IDP cuando un usuario se conecta con un inicio de sesión corporativo. El atributo NameID es obligatorio y su IDP debe enviarlo en la respuesta SAML para que la federación funcione con Portal for ArcGIS. Dado que Portal for ArcGIS utiliza el valor de NameID para identificar de forma única a un usuario nominal, se recomienda utilizar un valor constante que identifique al usuario de forma única. Si un usuario de IDP inicia sesión, Portal for ArcGIS crea un usuario nuevo con el nombre de usuario NameID en su almacén de usuarios. Los caracteres permitidos para el valor enviado por NameID son alfanuméricos, _ (guion bajo), . (punto) y @ (arroba). Cualquier otro carácter se cambiará por un guion bajo en el nombre de usuario creado por Portal for ArcGIS.
Portal for ArcGIS admite el flujo de entrada de los atributos givenName y email address del inicio de sesión corporativo desde el IDP corporativo. Cuando un usuario inicia sesión utilizando un inicio de sesión corporativo y si Portal for ArcGIS recibe atributos con los nombres givenname y email o mail (en cualquier caso), Portal for ArcGIS rellena el nombre completo y la dirección de correo electrónico de la cuenta del usuario con los valores recibidos del IDP. Es recomendable proporcionar la email address del IDP corporativo para que el usuario pueda recibir notificaciones.
Registrar Azure AD como IDP corporativo para su portal
- Inicie sesión en el sitio web del portal como miembro del rol de administrador predeterminado de su organización y haga clic en Organización > Configuración > Seguridad.
- En la sección Inicios de sesión corporativos a través de SAML, seleccione la opción Un proveedor de identidad, haga clic en el botón Establecer inicio de sesión corporativo e introduzca el nombre de su organización en la ventana que aparece (por ejemplo, City of Redlands). Cuando los usuarios acceden al sitio web del portal, este texto aparece como parte de la opción de inicio de sesión SAML (por ejemplo, Using your City of Redlands account).
- Elija si los usuarios podrán unirse a la organización Automáticamente o Después de agregar las cuentas al portal. La primera opción permite a los usuarios iniciar sesión en la organización con su inicio de sesión corporativo sin ninguna intervención de un administrador. Su cuenta se registra con la organización automáticamente la primera vez que inician sesión. La segunda opción requiere que el administrador registre las cuentas necesarias con la organización utilizando una utilidad de línea de comandos o un script de comandos de Python de ejemplo. Una vez que las cuentas se hayan registrado, los usuarios podrán iniciar sesión en la organización.
Sugerencia:
Se recomienda designar al menos una cuenta corporativa como administrador del portal y degradar o eliminar la cuenta de administrador inicial. También le recomendamos que deshabilite el botón Crear una cuenta y la página de registro (signup.html) en el portal para que los usuarios no puedan crear sus propias cuentas. Para obtener instrucciones completas, consulte Configurar un proveedor de identidad compatible con SAML con el portal.
- Proporcione la información de metadatos del IDP con una de las opciones siguientes:
- Archivo: descargue el archivo de metadatos de Azure AD y cargue el archivo en Portal for ArcGIS mediante la opción Archivo.
Nota:
Si es la primera vez que registra un proveedor de servicios con Azure AD, tendrá que obtener el archivo de metadatos después de registrar Portal for ArcGIS con Azure AD. - Parámetros: elija esta opción si no se puede acceder a la URL o al archivo de metadatos de federación. Introduzca manualmente los valores y proporcione los parámetros solicitados: URL de inicio de sesión y certificado, con codificación en formato BASE 64. Póngase en contacto con su administrador de Azure AD para obtenerlos.
- Archivo: descargue el archivo de metadatos de Azure AD y cargue el archivo en Portal for ArcGIS mediante la opción Archivo.
- Configure los siguientes ajustes avanzados cuando proceda:
- Cifrar aserción: seleccione esta opción para cifrar las respuestas de la aserción SAML de Azure AD.
- Habilitar solicitud firmada: seleccione esta opción para que Portal for ArcGIS firme la solicitud de autenticación SAML enviada a Azure AD.
- Propagar cierre de sesión a proveedor de identidad: seleccione esta opción para que Portal for ArcGIS utilice una URL de cierre de sesión para cerrar la sesión del usuario de Azure AD. Introduzca la dirección URL que desee utilizar en la configuración de la Dirección URL de cierre de sesión. Si el IDP requiere que la URL de cierre de sesión esté firmada, active Habilitar solicitud firmada.
- Actualizar perfiles al iniciar sesión: seleccione esta opción para que Portal for ArcGIS actualice los atributos givenName y email address de los usuarios si se modificaron desde la última vez que iniciaron sesión.
- Habilitar pertenencia a grupos basada en SAML: seleccione esta opción para permitir a los miembros de la organización vincular grupos corporativos basados en SAML especificados con grupos de Portal for ArcGIS durante el proceso de creación de grupos.
- URL de cierre de sesión: la dirección URL del IDP se usa para cerrar la sesión del usuario conectado.
- Id. de entidad: actualice este valor para usar un nuevo Id. de entidad para identificar de forma única su portal en Azure AD.
Los ajustes de Cifrar aserción y Habilitar solicitud firmada utilizan el certificado samlcert en el almacén de claves del portal. Para utilizar un certificado nuevo, elimine el certificado samlcert, cree un certificado nuevo con el mismo alias (samlcert) siguiendo los pasos que se indican en Importar un certificado en el portal y reinicie el portal.
- Cuando haya terminado, haga clic en Actualizar proveedor de identidad.
- Haga clic en Obtener proveedor de servicios para descargar el archivo de metadatos del portal. La información de este archivo se usará para registrar el portal como proveedor de servicios de confianza con Azure AD.
Registrar Portal for ArcGIS como el proveedor de servicios de confianza con Azure AD
- Inicie sesión en su portal de Azure como miembro con privilegios administrativos.
- Tras seguir los pasos de la documentación de Azure, agregue Portal for ArcGIS como aplicación sin galería a Azure AD y configure el Inicio de sesión único. Deberá proporcionar el archivo Metadata.xml descargado de Portal for ArcGIS.
Portal for ArcGIS aparece en la lista Aplicaciones empresariales en Azure AD.
- Agregue y asigne usuarios a la aplicación según sea necesario.
- Si lo desea, configure y personalice reclamaciones SAML entregadas a ArcGIS Enterprise. Los atributos de interés de la respuesta SAML son givenName y emailaddress.