Skip To Content

Configurar inicios de sesión corporativos

Configurar inicios de sesión corporativos permite a los miembros de la organización iniciar sesión en ArcGIS Online con las mismas credenciales que utilizan para acceder a los sistemas de información corporativos. La ventaja de configurar inicios de sesión corporativos con esta fórmula es que los miembros no necesitan crear inicios de sesión adicionales en el sistema de ArcGIS Online, sino que pueden usar los que ya están configurados en el sistema de su empresa. Cuando los miembros inician sesión en ArcGIS Online, introducen su nombre de usuario y su contraseña corporativos directamente en el administrador de inicio de sesión corporativo, también conocido como proveedor de identidad corporativo (IDP). Después de verificar los datos de inicio de sesión del usuario, el IDP corporativo informa a ArcGIS Online de la identidad verificada del miembro que inicia sesión. Puede configurar la página de inicio de sesión de la organización para mostrar solo la opción de inicio de sesión corporativo o las opciones de inicio de sesión corporativo y de la cuenta de ArcGIS.

ArcGIS Online admite Security Assertion Markup Language 2.0 (SAML) para configurar los inicios de sesión corporativos. SAML es un estándar abierto para intercambiar de forma segura datos de autenticación y autorización entre un IDP (su organización) y un proveedor de servicios (SP) (en este caso, ArcGIS Online). ArcGIS Online es compatible con SAML 2.0 y se integra con los IDP que admiten el inicio de sesión único de web SAML 2.

En la mayoría de situaciones, las organizaciones configuran sus inicios de sesión corporativos basados en SAML usando un solo IDP. Este IDP autentifica a los usuarios que acceden a los recursos protegidos que están alojados en varios proveedores de servicios. El IDP y todos los proveedores de servicios están administrados por la misma organización.

Otra forma de autentificar usuarios con inicios de sesión corporativos consiste en configurar su organización para que utilice una federación de IDP basada en SAML. En una federación basada en SAML entre varias organizaciones, cada organización miembro continúa usando su propio IDP, pero configura uno o varios SP para trabajar exclusivamente dentro de la federación. Para acceder a un recurso protegido compartido dentro de la federación, el usuario autentifica su identidad con el IDP de su organización. Tras la autentificación, esta identidad validada se presenta al SP que aloja el recurso protegido. El SP permite el acceso al recurso después de verificar los privilegios de acceso del usuario.

Experiencia de inicio de sesión con SAML

ArcGIS Online es compatible con los inicios de sesión corporativos iniciados por SP y con los inicios de sesión corporativos iniciados por IDP. La experiencia de inicio de sesión es diferente en cada caso.

Inicios de sesión iniciados por SP

Con los inicios de sesión iniciados por SP, los miembros acceden directamente al sitio web de la organización y ven las opciones para iniciar sesión con su cuenta corporativa de SP o con su cuenta de ArcGIS. Si el miembro selecciona la opción de SP, se le redirige a una página web (conocida como administrador de inicio de sesión corporativo) en la que se le pide que introduzca su nombre de usuario y su contraseña corporativos. Después de verificar el inicio de sesión del miembro, el IDP corporativo informa a ArcGIS Online de la identidad verificada del miembro que inicia sesión y se redirige al miembro al sitio web de su organización.

Si el miembro elige la opción de la cuenta de ArcGIS, se aparece la página de inicio de sesión del sitio web de la organización. A continuación, el miembro puede introducir su nombre de usuario y su contraseña de ArcGIS para acceder al sitio web. La opción de inicio de sesión de la cuenta de ArcGIS no se puede deshabilitar.

Inicios de sesión iniciados por IDP

Con los inicios de sesión iniciados por IDP, los miembros acceden directamente al administrador de inicio de sesión corporativo e inician sesión con su cuenta. Cuando el miembro envía la información de su cuenta, el IDP envía la respuesta de SAML directamente a ArcGIS Online. A continuación, el miembro inicia sesión y se le redirige al sitio web de su organización, donde puede acceder inmediatamente a los recursos sin tener que volver a iniciar sesión en la organización.

La opción de iniciar sesión usando una cuenta de ArcGIS directamente desde el administrador de inicio de sesión corporativo no está disponible con los inicios de sesión de proveedor de identidad. Para iniciar sesión en la organización con una cuenta de ArcGIS, los miembros tienen que acceder directamente al sitio web de su organización.

IDP de SAML

En los siguientes tutoriales se describe cómo utilizar IDP compatibles con SAML con ArcGIS Online:

Configurar inicios de sesión corporativos

El proceso para configurar IDP con ArcGIS Online se describe a continuación. Antes de continuar, es recomendable que se ponga en contacto con el administrador de su IDP corporativo, o su federación de IDP, para obtener los parámetros necesarios para la configuración. Por ejemplo, si su organización utiliza Microsoft Active Directory, el administrador responsable será la persona de contacto adecuada para configurar o habilitar SAML en el IDP corporativo y obtener los parámetros necesarios para la configuración por parte de ArcGIS Online.

  1. Compruebe que haya iniciado sesión como administrador de su organización.
  2. En la parte superior del sitio, haga clic en Organización y haga clic en la pestaña Configuración.
  3. Haga clic en Seguridad en el lado izquierdo de la página.
  4. En Inicios de sesión corporativos, seleccione una de las siguientes opciones:
    • Un proveedor de identidad: permite a los usuarios iniciar sesión con sus credenciales corporativas existentes administradas por su organización. Esta es la configuración más común.
    • Una federación de proveedores de identidad: permite a los usuarios que pertenecen a una federación existente de varias organizaciones, por ejemplo, la federación SWITCHaai, iniciar sesión con credenciales admitidas por la federación.
  5. Haga clic en el botón Establecer inicio de sesión corporativo.
  6. En la ventana que aparece, realice una de las siguientes acciones:
    • Si seleccionó Un proveedor de identidad, introduzca el nombre de su organización.
    • Si seleccionó Una federación de proveedores de identidad, introduzca el nombre de su federación.
  7. Elija cómo se unirán los miembros con inicio de sesión corporativo a la organización de ArcGIS Online: automáticamente o mediante una invitación.

    La opción automática permite a los miembros unirse a la organización iniciando sesión con sus datos de inicio de sesión corporativo. Con la opción de invitación, genera invitaciones de correo electrónico a través de ArcGIS Online que incluyen instrucciones sobre la forma de unirse a la organización. Aunque elija la opción automática, puede invitar a miembros a unirse a la organización.

  8. Si desea invitar miembros automáticamente, haga lo siguiente:
    1. Seleccione el nivel de licencia predeterminado y el rol que se asignará a los miembros. Si es necesario, puede cambiar el nivel y el rol después de que el miembro se haya unido a la organización.
    2. Establezca la asignación de créditos para cada miembro invitado en el número específico de créditos o el límite predeterminado de la organización.
    3. Elija si desea habilitar o deshabilitar el acceso a Esri de forma predeterminada para los miembros que se unen a la organización automáticamente a través de sus credenciales corporativas.

      Un miembro cuya cuenta tiene habilitado el acceso a Esri puede utilizar My Esri y Community and Forums (GeoNet), acceder a e-Learning en el Sitio web de Formación y administrar las comunicaciones por correo electrónico de Esri. Los miembros no podrán habilitar o deshabilitar su propio acceso a estos recursos de Esri.

    4. De manera opcional, puede hacer clic en Especificar grupos y seleccionar los grupos de ArcGIS Online a los que se van a agregar los miembros cuando se unan a la organización de ArcGIS Online.
  9. Si seleccionó Un proveedor de identidad, proporcione a ArcGIS Online la información de metadatos acerca de su IDP corporativo.

    Para ello, especifique el origen al que accederá ArcGIS Online para obtener la información de metadatos acerca del IDP corporativo. Hay tres fuentes posibles de esta información:

    • Una dirección URL: introduzca una dirección URL que devuelva información de metadatos acerca del IDP.
    • Un archivo: cargue un archivo que contenga información de metadatos acerca del IDP.
    • Parámetros especificados aquí: introduzca directamente la información de metadatos sobre el IDP indicando los parámetros siguientes:
      • Dirección URL de inicio de sesión (redireccionamiento): introduzca la dirección URL del IDP (que admita la vinculación de redireccionamiento HTTP) que debe utilizar ArcGIS Online para permitir a un miembro iniciar sesión.
      • Dirección URL de inicio de sesión (POST): introduzca la dirección URL del IDP (que admita la vinculación de HTTP POST) que debe utilizar ArcGIS Online para permitir a un miembro iniciar sesión.
      • Certificado: proporcione el certificado, codificado con el formato BASE 64, del IDP corporativo. Este es el certificado que permite a ArcGIS Online verificar la firma digital en las respuestas SAML que le envía el IDP corporativo.
    Nota:

    Póngase en contacto con el administrador del IDP si necesita ayuda para determinar qué origen de información de metadatos debe proporcionar. También puede acceder a los pasos para obtener los metadatos necesarios de los siguientes IDP: Active Directory Federation Services (AD FS), NetIQ Access Manager, OpenAM, Shibboleth y SimpleSAMLphp.

  10. Si seleccionó Una federación de proveedores de identidad, realice lo siguiente:
    1. Introduzca la URL al servicio de descubrimiento de IDP centralizado alojado por la federación, por ejemplo, https://wayf.samplefederation.com/WAYF.
    2. Introduzca la URL a los metadatos de la federación, que son una agregación de los metadatos de todos los IDP y SP que participan en la federación.
    3. Copie y pegue el certificado, con codificación en formato Base 64, lo que permite a la organización verificar la validez de los metadatos de la federación.
  11. Haga clic en Mostrar configuración avanzada para configurar la siguiente configuración avanzada cuando proceda:
    • Cifrar aserción: elija esta opción para indicar al IDP de SAML que ArcGIS Online admite respuestas de aserción SAML cifradas. Cuando esta opción está seleccionada, el IDP cifra la sección de aserción de la respuesta SAML. Todo el tráfico de SAML de entrada y salida de ArcGIS Online ya está cifrado mediante el uso de HTTPS, pero esta opción agrega otra capa de cifrado.
    • Habilitar solicitud firmada: seleccione esta opción para que ArcGIS Online firme la solicitud de autenticación SAML enviada al IDP. Firmar la solicitud de inicio de sesión inicial enviada por ArcGIS Online permite al IDP verificar que todas las solicitudes de inicio de sesión proceden de un SP de confianza.
    • Propagar cierre de sesión a proveedor de identidad: elija esta opción para que ArcGIS Online utilice una URL de cierre de sesión para cerrar la sesión del usuario del IDP. Introduzca la dirección URL que desee utilizar en la configuración de la Dirección URL de cierre de sesión. Si el IDP requiere que la dirección URL de cierre de sesión esté firmada, también será necesario activar la opción Habilitar solicitud firmada. Cuando esta opción no está disponible, al hacer clic en Cerrar sesión en ArcGIS Online se cerrará la sesión del usuario de ArcGIS Online, pero no del IDP. Si la caché del navegador Web del usuario no se ha borrado, al tratar de volver a iniciar sesión inmediatamente en ArcGIS Online usando la opción de inicio de sesión corporativo dará como resultado un inicio de sesión inmediato sin necesidad de proporcionar credenciales de usuario al IDP de SAML. Esta es una vulnerabilidad de seguridad que se puede explotar cuando se utiliza un ordenador que es fácilmente accesible a usuarios no autorizados o al público en general.
    • Actualizar perfiles en el inicio de sesión: active esta casilla para sincronizar automáticamente la información de la cuenta (nombre completo y dirección de correo electrónico) almacenada en los perfiles de usuario de ArcGIS Online con la última información recibida desde el IDP. Al activar esta casilla, cuando un usuario inicia sesión con credenciales corporativas, su organización puede verificar si la información del IDP ha cambiado desde que la cuenta se creó por primera vez y, si es así, actualizar el perfil de la cuenta de ArcGIS Online del usuario en consecuencia.
    • Habilitar pertenencia a grupos basada en SAML: active esta casilla para permitir a los miembros de la organización vincular grupos corporativos basados en SAML especificados con grupos de ArcGIS Online durante el proceso de creación de grupos. Si activa esta casilla, los miembros de la organización con el privilegio de vincularse a grupos corporativos tendrán la opción de crear un grupo de ArcGIS Online cuya pertenencia se controle mediante un grupo corporativo administrado por un IDP de SAML externo. Una vez que un grupo se vincule correctamente a un grupo basado en SAML externo, la pertenencia al grupo de cada usuario se define en la respuesta de aserción SAML recibida desde el IDP cada vez que el usuario inicia sesión. Para asegurarse de que el grupo de ArcGIS Online esté correctamente vinculado al grupo corporativo externo, el creador del grupo debe introducir el nombre exacto del grupo corporativo externo que aparece como el valor de atributo en la aserción SAML. Los nombres admitidos (sin distinción entre minúsculas y mayúsculas) para el atributo que define la pertenencia de un usuario a un grupo son: Group, Groups, Roles, MemberOf, member-of, http://schemas.xmlsoap.org/claims/Group, urn:oid:1.3.6.1.4.1.5923.1.5.1.1 y urn:oid:2.16.840.1.113719.1.1.4.1.25.

      Por ejemplo, imagínese que un usuario inicia sesión como un miembro de los grupos corporativos FullTimeEmployees y GIS Faculty. En la aserción SAML que aparece desde el IDP, como se muestra a continuación, el nombre del atributo que contiene la información de grupo es MemberOf. En este ejemplo, para crear un nuevo grupo vinculado al grupo corporativo GIS Faculty, el creador del grupo necesitaría introducir GIS Faculty como nombre de grupo.

      <saml2p:Response>
        ...
        ...
        <saml2:Assertion>
            ...
            ...	  
            <saml2:AttributeStatement>
              ...
              ...	  
              <saml2:Attribute Name="MemberOf">
        	      <saml2:AttributeValue>FullTimeEmployees</saml2:AttributeValue>
      	      <saml2:AttributeValue>GIS Faculty</saml2:AttributeValue>
              </saml2:Attribute>	  
          </saml2:AttributeStatement>
        </saml2:Assertion>
      </saml2p:Response>

    • URL de cierre de sesión: si elige Un proveedor de identidad en un paso anterior, introduzca la URL del IDP a utilizar para cerrar la sesión del usuario conectado actualmente. Si esta propiedad está especificada en el archivo de metadatos del IDP, se establece automáticamente.
    • Id. de entidad: actualice este valor para usar un nuevo Id. de entidad para identificar exclusivamente su organización de ArcGIS Online ante el IDP de SAML o la federación de SAML.
  12. Cuando haya terminado, haga clic en Definir proveedor de identidad.
  13. Para completar el proceso de configuración y establecer la confianza con el IDP de su organización (y el servicio de descubrimiento de la federación si procede) descargue el archivo de metadatos correspondiente al SP (en este caso, ArcGIS Online) y regístrelo en su IDP corporativo de este modo:
    1. Haga clic en el botón Obtener proveedor de servicios para descargar el archivo de metadatos.
    2. Abra la URL del archivo de metadatos y guárdelo como un archivo XML en su equipo. La URL es https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, por ejemplo, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Puede generar un token usando https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Al introducir la URL en la página Generar token, especifique el nombre de dominio totalmente calificado del servidor del IDP en el campo URL de aplicación web. Seleccionar cualquier otra opción, como Dirección IP o Dirección IP del origen de esta solicitud, no es compatible y puede generar un token no válido.

Modificar o eliminar el IDP corporativo

Puede actualizar la configuración de su IDP corporativo usando el botón Editar inicio de sesión corporativo, o bien eliminar el IDP registrado actualmente usando el botón Eliminar inicio de sesión corporativo. Estos botones aparecen cuando haya configurado un IDP. Después de eliminar un IDP, si lo desea, puede configurar un IDP o una federación de IDP nuevos.