Skip To Content

Configurar Active Directory Federation Services

Puede configurar el Active Directory Federation Services (AD FS) en el sistema operativo Microsoft Windows Server como su proveedor de identidad (IDP) para los inicios de sesión corporativos en ArcGIS Online. El proceso de configuración consta de dos pasos principales: registrar su IDP corporativo con ArcGIS Online y registrar ArcGIS Online con su IDP corporativo.

Información requerida

ArcGIS Online exige recibir cierta información sobre atributos desde el IDP cuando un usuario se conecta con un inicio de sesión corporativo. NameID es un atributo obligatorio que el IDP debe enviar en la respuesta SAML para que la federación con ArcGIS Online funcione. Dado que ArcGIS Online utiliza el valor de NameID para identificar de forma única a un usuario nominal, se recomienda utilizar un valor constante que identifique al usuario de forma única. Cuando un usuario de IDP inicia una sesión, ArcGIS Online crea un usuario con el nombre de usuario NameID_<url_key_for_org> en su almacén de usuarios. Los caracteres permitidos para el valor enviado por NameID son alfanuméricos, _ (guion bajo), . (punto) y @ (arroba). Para los demás caracteres del nombre de usuario creado por ArcGIS Online, se agregará un carácter de escape con guion bajo.

ArcGIS Online admite el flujo de entrada de los atributos givenName y email address del inicio de sesión corporativo desde el IDP corporativo. Cuando un usuario inicia sesión utilizando un inicio de sesión corporativo y si ArcGIS Online recibe atributos con los nombres givenname y email o mail (en cualquier caso), ArcGIS Online rellena el nombre completo y la dirección de correo electrónico de la cuenta del usuario con los valores recibidos del IDP.

Es recomendable proporcionar la email address del IDP corporativo para que el usuario pueda recibir notificaciones. Esto es de utilidad si el usuario se convierte posteriormente en administrador. Disponer de una dirección de correo electrónico en la cuenta permite al usuario recibir notificaciones sobre cualquier actividad administrativa y enviar invitaciones a otros usuarios para que se unan a la organización.

Registrar AD FS como IDP corporativo en ArcGIS Online

  1. Compruebe que haya iniciado sesión como administrador de su organización.
  2. En la parte superior del sitio, haga clic en Organización y haga clic en la pestaña Configuración.
  3. Haga clic en Seguridad en el lado izquierdo de la página.
  4. En la sección Inicios de sesión corporativos, seleccione la opción Un proveedor de identidad, haga clic en el botón Establecer inicio de sesión corporativo y escriba el nombre de su organización en la ventana que aparece (por ejemplo, City of Redlands). Cuando los usuarios acceden al sitio web de la organización, este texto aparece como parte de la opción de inicio de sesión SAML (por ejemplo, Using your City of Redlands account).
    Nota:

    Seleccionar la opción Un proveedor de identidad le permite registrar un IDP de empresa para su organización de ArcGIS Online. Si desea autentificar usuarios con inicios de sesión corporativos para varios IDP, registre una federación basada en SAML en lugar de un solo IDP.

  5. Elija Automáticamente o Si reciben una invitación de un administrador para especificar cómo pueden unirse los usuarios a la organización. Seleccionar la primera opción permite a los usuarios iniciar sesión en la organización con sus datos de inicio de sesión corporativos sin que intervenga un administrador. Su cuenta se registra con la organización automáticamente la primera vez que inician sesión. La segunda opción requiere que el administrador invite a los usuarios necesarios a la organización. Una vez que el usuario haya recibido la invitación, podrá iniciar sesión en la organización.
  6. Proporcione la información de metadatos del IDP con una de las opciones siguientes:
    • URL: si la dirección URL de los metadatos de federación de AD FS es accesible, seleccione esta opción e introduzca la dirección URL (por ejemplo, https://<adfs-server>/federationmetadata/2007-06/federationmetadata.xml).
    • Archivo: elija esta opción si la dirección URL no es accesible. Descargue u obtenga una copia del archivo de metadatos de federación de AD FS y cargue el archivo en ArcGIS Online con la opción Archivo.
    • Parámetros: elija esta opción si no se puede acceder a la URL o al archivo de metadatos de federación. Introduzca manualmente los valores y proporcione los parámetros solicitados: URL de inicio de sesión y certificado, con codificación en formato BASE 64. Póngase en contacto con su administrador de AD FS para obtenerlos.
  7. Configure los ajustes avanzados cuando proceda:
    • Cifrar aserción: seleccione esta opción para cifrar las respuestas de la aserción SAML de AD FS.
    • Habilitar solicitud firmada: seleccione esta opción para que ArcGIS Online firme la solicitud de autenticación SAML enviada a AD FS.
    • Propagar cierre de sesión a proveedor de identidad: seleccione esta opción para que ArcGIS Online utilice una URL de cierre de sesión para cerrar la sesión del usuario de AD FS. Introduzca la dirección URL que desee utilizar en la configuración de la Dirección URL de cierre de sesión. Si el IDP requiere que la dirección URL de cierre de sesión esté firmada, será necesario activar la opción Habilitar solicitud firmada.
      Nota:

      De manera predeterminada, AD FS requiere que las solicitudes de cierre de sesión se firmen utilizando SHA-256, por lo que debe activar las opciones Habilitar solicitud firmada y Firmar usando SHA256.

    • Actualizar perfiles al iniciar sesión: seleccione esta opción para sincronizar automáticamente la información de la cuenta (nombre completo y dirección de correo electrónico) almacenada en los perfiles de usuario de ArcGIS Online con la información de cuenta más reciente recibida desde el IDP. Al activar esta casilla, cuando un usuario inicia sesión con credenciales corporativas, su organización puede verificar si la información del IDP ha cambiado desde que la cuenta se creó por primera vez y, si es así, actualizar el perfil de la cuenta de ArcGIS Online del usuario en consecuencia.
    • Habilitar pertenencia a grupos basada en SAML: seleccione esta opción para permitir a los miembros de la organización vincular grupos corporativos basados en SAML especificados con grupos de ArcGIS Online durante el proceso de creación de grupos.
    • URL de cierre de sesión: la dirección URL del IDP que se debe utilizar para cerrar la sesión del usuario conectado.
    • Id. de entidad: actualiza este valor para usar un nuevo Id. de entidad para identificar exclusivamente su organización de ArcGIS Online en AD FS.

Registrar ArcGIS Online como el proveedor de servicios de confianza con AD FS

  1. Abra la consola de administración de AD FS.
  2. Elija Grupos de partes que confían > Agregar grupo de partes que confían.
  3. En Asistente para agregar grupo de partes que confían, haga clic en el botón Inicio.
  4. Para Seleccionar origen de datos, elija una opción para obtener los datos de la parte en que confía: importar desde una dirección URL, importar desde un archivo o introducir manualmente. Las opciones con dirección URL y archivo requieren que obtenga los metadatos de la organización. Si no tiene acceso a la dirección URL o los archivos de metadatos, puede introducir la información de forma manual. En algunos casos, la introducción manual de los datos puede ser la opción más sencilla.
    • Importar datos de la parte que confía publicados online o en una red local

      Esta opción utiliza los metadatos de la dirección URL de su organización de ArcGIS Online. La dirección URL es https://<url_key_for_org>.maps.arcgis.com/sharing/rest/portals/self/sp/metadata?token=<token>, por ejemplo, https://samltest.maps.arcgis.com/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY.

      Genere un token con https://www.arcgis.com/sharing/rest/generateToken. Tiene que generar un token utilizando HTTP POST mediante programación con formato de salida JSON. Para obtener más información, consulte Acerca de la API de REST ArcGIS.

    • Importar datos de la parte que confía desde un archivo.

      Esta opción utiliza un archivo metadata.xml de su organización de ArcGIS Online. Hay dos maneras de obtener un archivo XML de metadatos:

      • En la página de la organización, haga clic en la pestaña Configuración y haga clic en Seguridad en el lado izquierdo de la página. Haga clic en el botón Obtener proveedor de servicios. Así obtendrá los metadatos de su organización, que puede guardar como un archivo XML en su equipo.
      • Abra la dirección URL de los metadatos de su organización ArcGIS Online y guárdelos como un archivo XML en su ordenador. La dirección URL es https://<url_key_for_org>.maps.arcgis.com/sharing/rest/portals/self/sp/metadata?token=<token>, por ejemplo, https://samltest.maps.arcgis.com/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Puede generar un token usando https://<url_key_for_org>.maps.arcgis.com/sharing/rest/generateToken.
    • Introducir manualmente los datos de la parte que confía

      Con esta opción, Asistente para agregar grupo de partes que confían abre ventanas adicionales para que introduzca manualmente los datos. Estas se explican en los pasos 6 a 8 a continuación.

  5. Para Especificar nombre de la visualización, introduce el nombre de la visualización.

    El nombre de visualización se utiliza para identificar la parte que confía en AD FS. No tiene ningún otro propósito. Debe definirse como ArcGIS u otro nombre de la organización en ArcGIS, como ArcGIS-SamlTest, por ejemplo.

    Sugerencia:

    Si eligió importar la fuente de datos de una URL o un archivo, continúe en el paso 9.

  6. (Solo fuente de datos manual) En Elegir perfil, elija el perfil de AD FS que sea adecuado para su entorno.
  7. (Solo fuente de datos manual) En Configurar URL, active la casilla Habilitar compatibilidad con el protocolo SAML 2.0 WebSSO e introduzca la URL del servicio SAML 2.0 SSO de la parte que confía.

    La dirección URL de la parte en que confía debe ser la URL donde AD FS envía la respuesta SAML después de autenticar al usuario. Debe ser una dirección URL HTTPS: https://<url_key_for_org>.maps.arcgis.com/sharing/rest/oauth2/saml/signin.

  8. (Solo fuente de datos manual) En Configurar identificadores, introduzca la URL del identificador del grupo de la parte que confía.

    Debe ser <url_key_for_org>.maps.arcgis.com.

  9. Para Elegir reglas de autorización de emisión, elige Permitir que todos los usuarios accedan a esta parte que confía.
  10. En Listo para agregar grupo, revise toda la configuración de la parte en que confía. La dirección URL de los metadatos solo se rellena si opta por importar el origen de datos desde una dirección URL.

    Haga clic en Siguiente.

    Sugerencia:

    Si se ha habilitado la opción Supervisar parte que confía, AD FS comprobará periódicamente la URL de metadatos de federación y la comparará con el estado actual del grupo de la parte en que confía. Sin embargo, la supervisión generará un error una vez que el token de la dirección URL de metadatos de federación caduque. Los errores se registran en el registro de eventos de AD FS. Para desactivar estos mensajes, es aconsejable deshabilitar la supervisión o actualizar el token.

  11. Para finalizar, activa la casilla para abrir automáticamente el cuadro de diálogo Editar reglas de reclamación después de hacer clic en el botón Cerrar.
  12. Para definir las reglas de reclamación, abra el asistente Editar reglas de reclamación y haga clic en Agregar regla.
  13. En el paso Seleccionar plantilla de regla, seleccione la plantilla Enviar atributos LDAP como reclamaciones para la regla de reclamación que desea crear. Haga clic en Siguiente.
  14. En el paso Configurar regla de reclamación, siga las instrucciones siguientes para editar las reglas de reclamación.
    1. En Nombre de regla de reclamación, indique un nombre para la regla, como Reclamaciones por defecto.
    2. Para Almacén de atributos, seleccione Active Directory.
    3. En Asignación de atributos LDAP a los tipos de reclamación de salida, utilice la siguiente tabla como guía para especificar cómo se asignarán los atributos LDAP a los tipos de reclamación de salida que se emitirán desde la regla.

      Atributo LDAPTipo de reclamación de salida

      El atributo LDAP que contiene los nombres de usuario (por ejemplo, Nombre-cuenta-SAM)

      NameID

      Nombre de visualización (u otro atributo de la lista)

      Nombre dado

      Direcciones de correo electrónico

      Dirección de correo electrónico

      Grupos de token - Calificados por nombre de dominio

      Grupo

    Editar regla: reclamaciones por defecto

    Con esta reclamación, AD FS envía atributos con los nombres givenname, email y group membership a ArcGIS Online después de autenticar el usuario. A continuación, ArcGIS Online usa los valores recibidos en los atributos givenname y email y rellena el nombre completo y la dirección de correo electrónico de la cuenta del usuario. Los valores del atributo de grupo se utilizan para actualizar la pertenencia del usuario al grupo.

    Nota:

    Si seleccionó la opción Habilitar pertenencia a grupos basada en SAML al registrar AD FS como IDP corporativo, la pertenencia de cada usuario se obtiene de la respuesta de la aserción SAML recibida del proveedor de identidad cada vez que el usuario inicia sesión correctamente. Para obtener más información sobre cómo vincular grupos corporativos, consulte Crear grupos.

  15. Haga clic en Finalizar para terminar la configuración del IDP de AD FS para incluir ArcGIS Online como parte que confía.