Configurar NetIQ Access Manager

NetIQ Access Manager es un proveedor de identidad (IDP) compatible con Security Assertion Markup Language (SAML). Es posible configurar NetIQ Access Manager 3.2 y versiones posteriores como su IDP para los inicios de sesión SAML en ArcGIS Online. El proceso de configuración consta de dos pasos principales: registrar su IDP SAML con ArcGIS Online y registrar ArcGIS Online con el IDP SAML.

Nota:

Para asegurarse de que los inicios de sesión SAML estén configurados de forma segura, revise las prácticas recomendadas de seguridad para SAML.

Información requerida

ArcGIS Online requiere recibir cierta información sobre atributos desde el IDP cuando un usuario se conecta con inicios de sesión SAML. El atributo NameID es obligatorio y su IDP debe enviarlo en la respuesta SAML para que la federación con ArcGIS Online funcione. Dado que ArcGIS Online utiliza el valor de NameID para identificar de forma única un usuario nominal, se recomienda utilizar un valor constante que identifique al usuario de forma única. Cuando un usuario de IDP inicia sesión, ArcGIS Online crea un nuevo usuario con el nombre de usuario NameID_<url_key_for_org> en su almacén de usuarios. Los caracteres permitidos para el valor enviado por NameID son alfanuméricos, _ (guion bajo), . (punto) y @ (arroba). Para los demás caracteres del nombre de usuario creado por ArcGIS Online, se agregará un carácter de escape con guion bajo.

ArcGIS Online admite el flujo de entrada de una dirección de correo electrónico, pertenencias a grupos y un nombre y apellidos determinados de un usuario desde el proveedor de identidad SAML. Se recomienda que proporcione la dirección de correo electrónico del IDP SAML para que el usuario pueda recibir notificaciones. Esto es de utilidad si el usuario se convierte posteriormente en administrador. Disponer de una dirección de correo electrónico en la cuenta permite al usuario recibir notificaciones sobre cualquier actividad administrativa y enviar invitaciones a otros usuarios para que se unan a la organización.

Registrar NetIQ Access Manager como IDP SAML con ArcGIS Online

  1. Compruebe que haya iniciado sesión como administrador de su organización.
  2. En la parte superior del sitio, haga clic en Organización y haga clic en la pestaña Configuración.
  3. Haga clic en Seguridad en el lado izquierdo de la página.
  4. En la sección Inicios de sesión, haga clic en el botón Nuevo inicio de sesión de SAML y seleccione la opción Un proveedor de identidad. En la página Especificar propiedades, introduzca el nombre de su organización (por ejemplo, City of Redlands). Cuando los usuarios acceden al sitio web de la organización, este texto se muestra como parte de la opción de inicio de sesión SAML (por ejemplo, Usar su cuenta de City of Redlands).
    Nota:

    Seleccionar la opción Un proveedor de entidad le permite registrar un IDP SAML para su organización ArcGIS Online. Para autentificar usuarios con inicios de sesión SAML para varios IDP, registre una federación basada enSAML en lugar de un solo IDP.

  5. Elija Automáticamente o Si reciben una invitación de un administrador para especificar cómo pueden unirse los usuarios a la organización. Al seleccionar la primera opción, los usuarios pueden iniciar sesión en la organización con su inicio de sesión SAML sin que intervenga ningún administrador; su cuenta se registra con la organización automáticamente la primera vez que inician sesión. La segunda opción requiere que el administrador invite a los usuarios necesarios a la organización. Cuando el usuario reciba la invitación, puede iniciar sesión en la organización.
  6. Proporcione la información de metadatos del IDP con una de las tres opciones siguientes:
    • URL: elija esta opción si el acceso a la URL de los metadatos de federación de NetIQ Access Manager es posible a través de ArcGIS Online. La URL suele ser https://<host>:<port>/nidp/saml2/metadata en el equipo en el cual se ejecuta NetIQ Access Manager.
    • Archivo: elija esta opción si ArcGIS Online no puede acceder a la URL. Obtenga los metadatos de la URL anterior, guárdelos como un archivo XML y cargue el archivo.
    • Parámetros especificados aquí: elija esta opción si no se puede acceder a la URL o al archivo de metadatos de federación. Introduzca manualmente los valores y proporcione los parámetros solicitados: URL de inicio de sesión y certificado, con codificación en formato BASE 64. Póngase en contacto con su administrador de NetIQ Access Manager para obtenerlos.
  7. Configure los ajustes avanzados cuando proceda:
    • Cifrar aserción: habilite esta opción si NetIQ Access Manager se configurará para cifrar las respuestas de la aserción SAML.
    • Habilitar solicitud firmada: habilite esta opción para que ArcGIS Online firme la solicitud de autenticación SAML enviada a NetIQ Access Manager.
    • Propagar cierre de sesión a proveedor de identidad: habilite esta opción para que ArcGIS Online utilice una URL de cierre de sesión para cerrar la sesión del usuario de Net IQ Access Manager. Introduzca la dirección URL que desee utilizar en la configuración de la Dirección URL de cierre de sesión. Si el IDP requiere que la URL de cierre de sesión esté firmada, es necesario que Habilitar solicitud firmada esté activada.
    • Actualizar perfiles en el inicio de sesión: habilite esta opción para sincronizar automáticamente la información de la cuenta (nombre completo y dirección de correo electrónico) almacenada en los perfiles de usuario de ArcGIS Online con la información de cuenta más reciente recibida desde el IDP. Al habilitar esta opción, cuando un usuario inicia sesión con credenciales SAML su organización puede verificar si la información del IDP ha cambiado desde que la cuenta se creó y, si es así, actualizar el perfil de la cuenta de ArcGIS Online del usuario en consecuencia.
    • Habilitar pertenencia a grupos basada en SAML: habilite esta opción para permitir a los miembros de la organización vincular grupos basados en SAML especificados con grupos de ArcGIS Online durante el proceso de creación de grupos.
    • URL de cierre de sesión: la dirección URL del IDP que se debe utilizar para cerrar la sesión del usuario conectado. Este valor se rellena automáticamente si se ha definido en el archivo de metadatos del IDP. Puede actualizar esta dirección URL si es necesario.
    • Id. de entidad: actualice este valor para usar un nuevo Id. de entidad para identificar exclusivamente su organización de ArcGIS Online en NetIQ Access Manager.
  8. Haga clic en Guardar.

Registrar ArcGIS Online como proveedor de servicios de confianza en NetIQ Access Manager

  1. Configurar un conjunto de atributos.

    Siga los pasos que se describen a continuación para crear un nuevo conjunto de atributos que se puedan enviar a ArcGIS Online como parte de la declaración SAML después de la autenticación del usuario. Si ya ha configurado un conjunto de atributos existente en NetIQ Access Manager, puede usar ese conjunto en su lugar.

    1. Inicie sesión en la consola de administración de NetIQ Access Manager. Normalmente está disponible en https://<host>:<port>/nps.
    2. Busque su servidor de identidades en la consola de administración de NetIQ y haga clic en la pestaña Configuración compartida. En Conjuntos de atributos, verá los conjuntos de atributos que haya creado. Haga clic en Nuevo y cree un conjunto de atributos. Introduzca ArcGISOnline en Nombre de conjunto y haga clic en Siguiente.

      Crear conjunto de atributos

    3. Defina las asignaciones de atributos y agréguelas al conjunto de atributos que haya creado en el paso anterior.

    Haga clic en el vínculo Nuevo y agregue las nuevas asignaciones de atributos. Las siguientes capturas de pantalla muestran cómo agregar asignaciones de atributos para givenName, email address y uid. Puede elegir cualquier atributo a partir de su origen de autenticación en lugar de estos ejemplos.

    atributo givenName
    atributo de correo electrónico
    atributo de uid

    Haga clic en Finalizar en el asistente Crear conjunto de atributos. Esto crea un nuevo conjunto de atributos denominado ArcGISOnline.

  2. Siga los pasos que se describen a continuación para agregar ArcGIS Online como proveedor de confianza en NetIQ Access Manager.
    1. Inicie una sesión en la consola de administración de NetIQ, elija su servidor de identidad y haga clic en el vínculo Editar.
      Consola de administración

      Se abre la pestaña General.

    2. Haga clic en la pestaña SAML 2.0 y, a continuación, en Nuevo > Proveedor de servicios.

      La ventana Proveedor de servicios permite agregar ArcGIS Online como proveedor de servicios de confianza en NetIQ Access Manager.

    3. En el asistente Crear proveedor de servicios de confianza, haga clic en Texto de metadatos como Origen y pegue los metadatos de su organización de ArcGIS Online en el cuadro Texto.

      Para obtener los metadatos de su organización de ArcGIS Online, inicie sesión en su organización como administrador, haga clic en la pestaña Configuración, haga clic en Seguridad en el lado izquierdo de la página. En las secciones Inicios de sesión, en Inicio de sesión SAML, haga clic en el botón Descargar metadatos de proveedores de servicios para descargar el archivo de metadatos para su organización.

      Crear proveedor de servicios de confianza

      Haga clic en Siguiente y, a continuación, haga clic en Finalizar para terminar de agregar el proveedor de servicios de confianza.

      Proveedor de confianza
  3. Siga los pasos que se describen a continuación para configurar las propiedades de federación de ArcGIS Online y NetIQ Access Manager.
    1. En la pestaña SAML 2.0, haga clic en el vínculo de proveedores de servicios bajo Proveedores de servicios. (Por ejemplo, en la captura de pantalla anterior, el vínculo se denomina ArcGISOnlineSAMLTest.) Se abre la pestaña Configuración. Haga clic en la pestaña Metadatos y compruebe que los metadatos de su organización de ArcGIS Online son correctos.
    2. Haga clic en la pestaña Configuración para volver a la sección De confianza de la configuración. Seleccione la opción Cifrar aserciones si ha elegido la configuración avanzada Cifrar aserción al registrar NetIQ Access Manager como IDP SAML en ArcGIS Online.
    3. Haga clic en la pestaña Atributos.

      En este paso, agregue la asignación de atributos del conjunto creado anteriormente para que NetIQ Access Manager pueda enviar los atributos a ArcGIS Online en la aserción SAML.

      Seleccione el conjunto de atributos que haya definido en el paso 2.1 anterior. Una vez que haya seleccionado su conjunto de atributos, los atributos que haya definido en el conjunto aparecerán en el cuadro Disponibles. Traslade sus atributos de givenName y email al cuadro Enviar con autenticación.

      Conjunto de atributos
    4. Haga clic en la pestaña Respuesta de autenticación en la pestaña Configuración del proveedor de servicios y configure la respuesta de autenticación.

      Haga clic en Publicar en el menú desplegable Vinculación.

      En la columna Identificador de nombre, active la casilla situada junto a No especificado.

      En la columna Predeterminado, seleccione el botón de opción situado junto a No especificado.

      En la columna Valor, seleccione uid de atributos de Ldap.

      Nota:

      Puede configurar cualquier otro atributo único del conjunto de atributos desde su origen de autenticación para que se envíe como NameID. El valor de este parámetro se utilizará como nombre de usuario en la organización.

      Haga clic en Aplicar. Comprueba si tu página coincide con la siguiente captura de pantalla.

      Respuesta de autenticación
    5. En Configuración, haga clic en la pestaña Opciones y seleccione su contrato de autenticación de usuario, por ejemplo, Formulario de nombre/contraseña y haga clic en Aplicar.

      Opciones de configuración

  4. Para reiniciar NetIQ Access Manager, busque su servidor de identidad y haga clic en el vínculo Actualizar todo.

    Reiniciar NetIQ