Skip To Content

Configurar inicios de sesión corporativos

Configurar inicios de sesión corporativos permite a los miembros de la organización iniciar sesión en ArcGIS Online con las mismas credenciales que utilizan para acceder a los sistemas de información corporativos. La ventaja de configurar inicios de sesión corporativos con esta fórmula es que los miembros no necesitan crear inicios de sesión adicionales en el sistema de ArcGIS Online, sino que pueden usar los que ya están configurados en el sistema de su empresa. Cuando los miembros inician sesión en ArcGIS Online, introducen su nombre de usuario y su contraseña corporativos directamente en el administrador de inicio de sesión corporativo, también conocido como proveedor de identidad corporativo (IDP). Después de verificar los datos de inicio de sesión del usuario, el IDP corporativo informa a ArcGIS Online de la identidad verificada del miembro que inicia sesión. Puede configurar la página de inicio de sesión de la organización para mostrar solo la opción de inicio de sesión corporativo o las opciones de inicio de sesión corporativo y de la cuenta de ArcGIS.

ArcGIS Online admite Security Assertion Markup Language 2.0 (SAML) para configurar los inicios de sesión corporativos. SAML es un estándar abierto para intercambiar de forma segura datos de autenticación y autorización entre un IDP (su organización) y un proveedor de servicios (SP) en este caso, ArcGIS Online). ArcGIS Online es compatible con SAML 2.0 y se integra con los IDP que admiten el inicio de sesión único de web SAML 2. Solo se puede registrar un IDP de SAML con su organización de ArcGIS Online.

Experiencia de inicio de sesión con SAML

ArcGIS Online es compatible con los inicios de sesión corporativos iniciados por SP y con los inicios de sesión corporativos iniciados por IDP. La experiencia de inicio de sesión es diferente en cada caso.

Inicios de sesión iniciados por SP

Con los inicios de sesión iniciados por SP, los miembros acceden directamente al sitio web de la organización y ven las opciones para iniciar sesión con su cuenta corporativa de SP o con su cuenta de ArcGIS. Si el miembro selecciona la opción de SP, se le redirige a una página web (conocida como administrador de inicio de sesión corporativo) en la que se le pide que introduzca su nombre de usuario y su contraseña corporativos. Después de verificar el inicio de sesión del miembro, el IDP corporativo informa a ArcGIS Online de la identidad verificada del miembro que inicia sesión y se redirige al miembro al sitio web de su organización.

Si el miembro elige la opción de la cuenta de ArcGIS, se aparece la página de inicio de sesión del sitio web de la organización. A continuación, el miembro puede introducir su nombre de usuario y su contraseña de ArcGIS para acceder al sitio web. La opción de inicio de sesión de la cuenta de ArcGIS no se puede deshabilitar.

Inicios de sesión iniciados por IDP

Con los inicios de sesión de proveedor de identidad (IDP), los miembros acceden directamente al administrador de inicio de sesión corporativo e inician sesión con su cuenta. Cuando el miembro envía la información de su cuenta, el IDP envía la respuesta de SAML directamente a ArcGIS Online. A continuación, el miembro inicia sesión y se le redirige al sitio web de su organización, donde puede acceder inmediatamente a los recursos sin tener que volver a iniciar sesión en la organización.

La opción de iniciar sesión usando una cuenta de ArcGIS directamente desde el administrador de inicio de sesión corporativo no está disponible con los inicios de sesión de proveedor de identidad. Para iniciar sesión en la organización con una cuenta de ArcGIS, los miembros tienen que acceder directamente al sitio web de su organización.

IDP de SAML

En los siguientes tutoriales se describe cómo utilizar IDP compatibles con SAML con ArcGIS Online:

Configurar la organización con un IDP corporativo

El proceso para configurar IDP con ArcGIS Online se describe a continuación. Antes de continuar, es recomendable que se ponga en contacto con el administrador de su IDP corporativo para obtener los parámetros necesarios para la configuración. Por ejemplo, si su organización utiliza Microsoft Active Directory, el administrador responsable será la persona de contacto adecuada para configurar o habilitar SAML en el IDP corporativo y obtener los parámetros necesarios para la configuración por parte de ArcGIS Online.

  1. Compruebe que haya iniciado sesión como administrador de su organización.
  2. Haga clic en Mi organización en la parte superior del sitio y haga clic en Editar ajustes.
  3. Haga clic en Seguridad en el lado izquierdo de la página.
  4. En Inicios de sesión corporativos, haga clic en el botón Definir proveedor de identidad e introduzca el nombre de su organización en la ventana que aparece.
    Nota:

    Solo puede registrar un IDP corporativo para su organización de ArcGIS Online.

  5. Elija cómo se unirán los miembros con inicio de sesión corporativo a la organización de ArcGIS Online: automáticamente o mediante una invitación.

    La opción automática permite a los miembros unirse a la organización iniciando sesión con sus datos de inicio de sesión corporativo. Con la opción de invitación, genera invitaciones de correo electrónico a través de ArcGIS Online que incluyen instrucciones sobre la forma de unirse a la organización. Aunque elija la opción automática, puede invitar a miembros a unirse a la organización.

  6. Si desea invitar miembros automáticamente, haga lo siguiente:
    1. Seleccione el nivel de licencia predeterminado y el rol que se asignará a los miembros. Si es necesario, puede cambiar el nivel y el rol después de que el miembro se haya unido a la organización.
    2. Establezca la asignación de créditos para cada miembro invitado en el número específico de créditos o el límite predeterminado de la organización.
    3. De manera opcional, puede hacer clic en Especificar grupos y seleccionar los grupos de ArcGIS Online a los que se van a agregar los miembros cuando se unan a la organización de ArcGIS Online.
  7. Proporcione a ArcGIS Online la información de metadatos acerca de su IDP corporativo.

    Para ello, especifique el origen al que accederá ArcGIS Online para obtener la información de metadatos acerca del IDP corporativo. Hay tres fuentes posibles de esta información:

    • Una dirección URL: introduzca una dirección URL que devuelva información de metadatos acerca del IDP.
    • Un archivo: cargue un archivo que contenga información de metadatos acerca del IDP.
    • Parámetros especificados aquí: introduzca directamente la información de metadatos sobre el IDP indicando los parámetros siguientes:
      • Dirección URL de inicio de sesión (redireccionamiento): introduzca la dirección URL del IDP (que admita la vinculación de redireccionamiento HTTP) que debe utilizar ArcGIS Online para permitir a un miembro iniciar sesión.
      • Dirección URL de inicio de sesión (POST): introduzca la dirección URL del IDP (que admita la vinculación de HTTP POST) que debe utilizar ArcGIS Online para permitir a un miembro iniciar sesión.
      • Certificado: proporcione el certificado, codificado con el formato BASE 64, del IDP corporativo. Este es el certificado que permite a ArcGIS Online verificar la firma digital en las respuestas SAML que le envía el IDP corporativo.
    Nota:

    Póngase en contacto con el administrador del IDP si necesita ayuda para determinar qué origen de información de metadatos debe proporcionar. También puede acceder a los pasos para obtener los metadatos necesarios de los siguientes IDP: Active Directory Federation Services (AD FS), NetIQ Access Manager, OpenAM, Shibboleth y SimpleSAMLphp.

  8. Configure los siguientes ajustes avanzados cuando proceda:
    • Cifrar aserción: elija esta opción para indicar al IDP de SAML que ArcGIS Online admite respuestas de aserción SAML cifradas. Cuando esta opción está deshabilitada, el IDP cifrará la sección de aserción de las respuestas de SAML. Aunque todo el tráfico de SAML de entrada y salida de ArcGIS Online ya está cifrado mediante el uso de HTTPS, esta opción agrega otra capa de cifrado.
    • Habilitar solicitud firmada: elija esta opción para que ArcGIS Online firme la solicitud de autenticación SAML enviada al IDP. Firmar la solicitud de inicio de sesión inicial enviada por ArcGIS Online permite al IDP verificar que todas las solicitudes de inicio de sesión proceden de un SP de confianza.
    • Propagar cierre de sesión a proveedor de identidad: elija esta opción para que ArcGIS Online utilice una dirección URL de cierre de sesión para cerrar la sesión del IDP. Introduzca la dirección URL que desee utilizar en la configuración de la Dirección URL de cierre de sesión. Si el IDP requiere que la dirección URL de cierre de sesión esté firmada, también será necesario activar la opción Habilitar solicitud firmada. Cuando esta opción no está disponible, al hacer clic en Cerrar sesión en ArcGIS Online se cerrará la sesión del usuario de ArcGIS Online, pero no del IDP. Si la caché del navegador Web del usuario no se ha borrado, al tratar de volver a iniciar sesión inmediatamente en ArcGIS Online usando la opción de inicio de sesión corporativo dará como resultado un inicio de sesión inmediato sin necesidad de proporcionar credenciales de usuario al IDP de SAML. Esta es una vulnerabilidad de seguridad que se puede explotar cuando se utiliza un ordenador que es fácilmente accesible a usuarios no autorizados o al público en general.
    • Actualizar perfiles en el inicio de sesión: active esta casilla para sincronizar automáticamente la información de la cuenta (nombre completo y dirección de correo electrónico) almacenada en los perfiles de usuario de ArcGIS Online con la última información recibida desde el IDP. Al activar esta casilla, cuando un usuario inicia sesión con credenciales corporativas, su organización puede verificar si la información del IDP ha cambiado desde que la cuenta se creó por primera vez y, si es así, actualizar el perfil de la cuenta de ArcGIS Online del usuario en consecuencia.
    • Habilitar pertenencia a grupos basada en SAML: active esta casilla para permitir a los miembros de la organización vincular grupos corporativos basados en SAML especificados con grupos de ArcGIS Online durante el proceso de creación de grupos. Si activa esta casilla, los miembros de la organización con el privilegio de vincularse a grupos corporativos tendrán la opción de crear un grupo de ArcGIS Online cuya pertenencia se controle mediante un grupo corporativo administrado por un IDP de SAML externo. Una vez que un grupo se vincule correctamente a un grupo basado en SAML externo, la pertenencia al grupo de cada usuario se define en la respuesta de aserción SAML recibida desde el IDP cada vez que el usuario inicia sesión. Para asegurarse de que el grupo de ArcGIS Online esté correctamente vinculado al grupo corporativo externo, el creador del grupo debe introducir el nombre exacto del grupo corporativo externo que aparece como el valor de atributo en la aserción SAML. Se admiten los siguientes atributos de SAML: http://schemas.xmlsoap.org/claims/Group, Grupo, Grupos, Roles, MemberOf y member-of.

      Por ejemplo, imagínese que un usuario inicia sesión como un miembro de los grupos corporativos FullTimeEmployees y GIS Faculty. En la aserción SAML que aparece desde el IDP, como se muestra a continuación, el nombre del atributo que contiene la información de grupo es MemberOf. En este ejemplo, para crear un nuevo grupo vinculado al grupo corporativo GIS Faculty, el creador del grupo necesitaría introducir GIS Faculty como nombre de grupo.

      <saml2p:Response>
        ...
        ...
        <saml2:Assertion>
            ...
            ...	  
            <saml2:AttributeStatement>
              ...
              ...	  
              <saml2:Attribute Name="MemberOf">
        	      <saml2:AttributeValue>FullTimeEmployees</saml2:AttributeValue>
      	      <saml2:AttributeValue>GIS Faculty</saml2:AttributeValue>
              </saml2:Attribute>	  
          </saml2:AttributeStatement>
        </saml2:Assertion>
      </saml2p:Response>

    • URL de cierre de sesión: introduzca la dirección URL del IDP a utilizar para cerrar la sesión del usuario conectado actualmente. Si esta propiedad está especificada en el archivo de metadatos del IDP, se establece automáticamente.
    • Id. de entidad: actualice este valor para usar un nuevo Id. de entidad para identificar exclusivamente su organización de ArcGIS Online ante el IDP de SAML.
  9. Para completar el proceso de configuración y establecer la confianza con el IDP, descargue el archivo de metadatos correspondiente al IDP (en este caso, ArcGIS Online) y regístrelo en su IDP corporativo. Este archivo se puede descargar utilizando el botón Obtener proveedor de servicios.

Modificar el IDP corporativo

El IDP registrado actualmente se puede eliminar utilizando el botón Eliminar proveedor de identidad. Este botón solo está disponible cuando ha definido un IDP. Después de eliminar el IDP, si lo desea, puede configurar uno nuevo.