Configurar Google Workspace

Google Workspace (anteriormente conocido como G Suite) es un proveedor de identidad (IDP) conforme a Security Assertion Markup Language (SAML). Puede configurarlo como su IDP para inicios de sesión SAML en ArcGIS Online. El proceso de configuración consta de dos pasos principales: registrar su IDP SAML con ArcGIS Online y registrar con ArcGIS Online el IDP SAML.

Nota:

Para asegurarse de que los inicios de sesión SAML estén configurados de forma segura, revise las prácticas recomendadas de seguridad para SAML.

Información requerida

ArcGIS Online requiere recibir cierta información sobre atributos desde el IDP cuando un usuario se conecta con inicios de sesión SAML. El atributo NameID es obligatorio y su IDP debe enviarlo en la respuesta SAML para que la federación con ArcGIS Online funcione. Dado que ArcGIS Online utiliza el valor de NameID para identificar de forma única un usuario nominal, se recomienda utilizar un valor constante que identifique al usuario de forma única. Cuando un usuario de IDP inicia sesión, ArcGIS Online crea un nuevo usuario con el nombre de usuario NameID_<url_key_for_org> en su almacén de usuarios. Los caracteres permitidos para el valor enviado por NameID son alfanuméricos, _ (guion bajo), . (punto) y @ (arroba). Para los demás caracteres del nombre de usuario creado por ArcGIS Online, se agregará un carácter de escape con guion bajo.

ArcGIS Online admite el flujo de entrada de una dirección de correo electrónico, pertenencias a grupos y un nombre y apellidos determinados de un usuario desde el proveedor de identidad SAML. Se recomienda que proporcione la dirección de correo electrónico del IDP SAML para que el usuario pueda recibir notificaciones. Esto es de utilidad si el usuario se convierte posteriormente en administrador. Disponer de una dirección de correo electrónico en la cuenta permite al usuario recibir notificaciones sobre cualquier actividad administrativa y enviar invitaciones a otros usuarios para que se unan a la organización.

Configurar inicios de sesión SAML

Nota:

Para los siguientes pasos se requiere una cuenta de Google con privilegios de superadministrador para la suscripción de Google Workspace.

  1. Inicie sesión en su consola de administración de Google (https://admin.google.com) para acceder al cuadro de mando del administrador.
  2. Desde la página de inicio de la consolad de administración, vaya a Aplicaciones.
    Nota:

    Para ver Aplicaciones en la página de inicio, puede que tenga que hacer clic en Más controles en la parte inferior. También puede utilizar el menú principal para acceder a Aplicaciones.

  3. Haga clic en Aplicaciones de SAML y después en el botón más (+) en la esquina inferior.
  4. En la ventana que aparece, haga clic en Configurar mi propia aplicación personalizada.
  5. En la ventana Información de IdP de Google, en Opción 2, haga clic en Descargar para descargar los metadatos del IDP. Guarde este archivo en una ubicación de su almacenamiento local.
  6. Haga clic en Siguiente.
  7. Abra una nueva ventana de navegador y vaya a ArcGIS Online.
  8. Compruebe que haya iniciado sesión como administrador de su organización.
  9. En la parte superior del sitio, haga clic en Organización y haga clic en la pestaña Configuración.
  10. Haga clic en Seguridad en el lado izquierdo de la página.
  11. En la sección Inicios de sesión, en Inicio de sesión SAML, haga clic en el botón Establecer inicio de sesión SAML y seleccione la opción Un proveedor de entidad. Introduzca el nombre de su organización en la ventana que aparece (por ejemplo, City of Redlands). Cuando los usuarios acceden al sitio web de la organización, este texto se muestra como parte de la opción de inicio de sesión de SAML (por ejemplo, Usar su cuenta de City of Redlands).
  12. Elija Automáticamente o Si reciben una invitación de un administrador para especificar cómo pueden unirse los usuarios a la organización. Al seleccionar la primera opción, los usuarios pueden iniciar sesión en la organización con su inicio de sesión SAML sin que intervenga ningún administrador; su cuenta se registra con la organización automáticamente la primera vez que inician sesión. La segunda opción requiere que el administrador invite a los usuarios necesarios a la organización. Cuando el usuario reciba la invitación, puede iniciar sesión en la organización.
  13. Proporcione la información de metadatos del IDP mediante la opción Archivo. Utilice el archivo de metadatos del IDP que descargó antes.
  14. Deje los ajustes avanzados sin cambiar y haga clic en Guardar.
  15. Haga clic en Descargar metadatos de proveedores de servicios y guarde el archivo de metadatos del proveedor de servicios localmente.

    La información de este archivo se usará para registrar la organización como proveedor de servicios de confianza con Google Workspace.

  16. Abra el archivo en un editor de texto, como el Bloc de notas.
  17. Vuelva a la ventana del navegador de la consola de administración de Google. En la ventana Información básica para su aplicación personalizada, escriba un nombre para su aplicación y haga clic en Siguiente.
  18. En la ventana Detalles del proveedor de servicios, complete los siguientes parámetros con el contenido del archivo de metadatos de la organización:
    1. En URL de ACS, copie el valor del elemento AssertionConsumerService.

      Ejemplo: https://[org name].maps.arcgis.com/sharing/rest/oauth2/saml/signin

    2. En Id. de entidad, copie el valor del atributo entityID.

      Ejemplo: [org name].maps.arcgis.com

    3. En URL de inicio, copie el valor del atributo OrganizationURL.

      Ejemplo: https://[org name].maps.arcgis.com

    4. Deje Id. de nombre como Información básica de correo electrónico principal (u otro atributo único que utilice su suscripción de Google Workspace).
    5. Deje Formato de Id. de nombre como No especificado.
  19. Haga clic en Siguiente.
  20. En la ventana Asignación de atributos, escriba givenName, elija Información básica y, a continuación, elija Nombre.
  21. En la ventana Asignación de atributos, escriba surName, elija Información básica y, a continuación, elija Apellidos.
  22. Haga clic en Finalizar para completar la configuración.
  23. Haga clic en Editar servicio. En Estado del servicio, elija Activado para todos y haga clic en Guardar.