Configurar Okta

Okta es un proveedor de identidad (IDP) compatible con Security Assertion Markup Language (SAML). Puede configurarlo como su IDP para inicios de sesión SAML en ArcGIS Online. El proceso de configuración consta de dos pasos principales: registrar su IDP SAML con ArcGIS Online y registrar con ArcGIS Online el IDP SAML.

Nota:

Para asegurarse de que los inicios de sesión SAML estén configurados de forma segura, revise las prácticas recomendadas de seguridad para SAML.

Información requerida

ArcGIS Online requiere recibir cierta información sobre atributos desde el IDP cuando un usuario se conecta con inicios de sesión SAML. El atributo NameID es obligatorio y su IDP debe enviarlo en la respuesta SAML para que la federación con ArcGIS Online funcione. Dado que ArcGIS Online utiliza el valor de NameID para identificar de forma única un usuario nominal, se recomienda utilizar un valor constante que identifique al usuario de forma única. Cuando un usuario de IDP inicia sesión, ArcGIS Online crea un nuevo usuario con el nombre de usuario NameID_<url_key_for_org> en su almacén de usuarios. Los caracteres permitidos para el valor enviado por NameID son alfanuméricos, _ (guion bajo), . (punto) y @ (arroba). Para los demás caracteres del nombre de usuario creado por ArcGIS Online, se agregará un carácter de escape con guion bajo.

ArcGIS Online admite el flujo de entrada de una dirección de correo electrónico, pertenencias a grupos y un nombre y apellidos determinados de un usuario desde el proveedor de identidad SAML. Se recomienda que proporcione la dirección de correo electrónico del IDP SAML para que el usuario pueda recibir notificaciones. Esto es de utilidad si el usuario se convierte posteriormente en administrador. Disponer de una dirección de correo electrónico en la cuenta permite al usuario recibir notificaciones sobre cualquier actividad administrativa y enviar invitaciones a otros usuarios para que se unan a la organización.

Registrar Okta como IDP SAML con ArcGIS Online

  1. Compruebe que haya iniciado sesión como administrador de su organización.
  2. En la parte superior del sitio, haga clic en Organización y haga clic en la pestaña Configuración.
  3. Haga clic en Seguridad en el lado izquierdo de la página.
  4. En la sección Inicios de sesión, haga clic en el botón Nuevo inicio de sesión de SAML y seleccione la opción Un proveedor de identidad. En la página Especificar propiedades, introduzca el nombre de su organización (por ejemplo, City of Redlands). Cuando los usuarios acceden al sitio web de la organización, este texto se muestra como parte de la opción de inicio de sesión SAML (por ejemplo, Usar su cuenta de City of Redlands).
    Nota:

    Seleccionar la opción Un proveedor de entidad le permite registrar un IDP SAML para su organización ArcGIS Online. Para autentificar usuarios con inicios de sesión SAML para varios IDP, registre una federación basada enSAML en lugar de un solo IDP.

  5. Elija Automáticamente o Si reciben una invitación de un administrador para especificar cómo pueden unirse los usuarios a la organización. Al seleccionar la primera opción, los usuarios pueden iniciar sesión en la organización con su inicio de sesión SAML sin que intervenga ningún administrador; su cuenta se registra con la organización automáticamente la primera vez que inician sesión. La segunda opción requiere que el administrador invite a los usuarios necesarios a la organización. Cuando el usuario reciba la invitación, puede iniciar sesión en la organización.
  6. Proporcione la información de metadatos del IDP con una de las opciones siguientes:
    • Archivo: descargue u obtenga una copia del archivo de metadatos de federación de Okta y cargue el archivo en ArcGIS Online usando la opción Archivo.
    • Parámetros especificados aquí: elija esta opción si no se puede acceder a la URL o al archivo de metadatos de federación. Introduzca manualmente los valores y proporcione los parámetros solicitados: URL de inicio de sesión y certificado, con codificación en formato BASE 64. Póngase en contacto con su administrador de Okta para obtenerlos.
  7. Configure los ajustes avanzados cuando proceda:
    • Cifrar aserción: habilite esta opción para cifrar las respuestas de la aserción SAML de Okta.
    • Habilitar solicitud firmada: habilite esta opción para que ArcGIS Online firme la solicitud de autenticación SAML enviada a Okta.
    • Propagar cierre de sesión a proveedor de identidad: habilite esta opción para que ArcGIS Online utilice una URL de cierre de sesión para cerrar la sesión del usuario de Okta. Introduzca la dirección URL que desee utilizar en la configuración de la Dirección URL de cierre de sesión. Si el IDP requiere que la URL de cierre de sesión esté firmada, es necesario que Habilitar solicitud firmada esté activada.
    • Actualizar perfiles en el inicio de sesión: habilite esta opción para sincronizar automáticamente la información de la cuenta (nombre completo y dirección de correo electrónico) almacenada en los perfiles de usuario de ArcGIS Online con la información de cuenta más reciente recibida desde el IDP. Al habilitar esta opción, cuando un usuario inicia sesión con credenciales SAML su organización puede verificar si la información del IDP ha cambiado desde que la cuenta se creó y, si es así, actualizar el perfil de la cuenta de ArcGIS Online del usuario en consecuencia.
    • Habilitar pertenencia a grupos basada en SAML: habilite esta opción para permitir a los miembros de la organización vincular grupos basados en SAML especificados con grupos de ArcGIS Online durante el proceso de creación de grupos.
    • URL de cierre de sesión: la dirección URL del IDP que se debe utilizar para cerrar la sesión del usuario conectado.
    • Id. de entidad: actualice este valor para usar un nuevo Id. de entidad para identificar de forma única su organización de ArcGIS Online en Okta.
  8. Cuando haya finalizado, haga clic en Guardar.
  9. Haga clic en Descargar metadatos de proveedores de servicios para descargar el archivo de metadatos de la organización. La información de este archivo se usará para registrar la organización como proveedor de servicios de confianza con Okta.

Registrar ArcGIS Online como proveedor de servicios de confianza en Okta

  1. Inicie sesión en su organización de Okta como miembro con privilegios de administrador.
  2. En la pestaña Aplicaciones, haga clic en el botón Agregar aplicación.
  3. Haga clic en Crear nueva aplicación y seleccione la opción SAML 2.0. Haga clic en Crear.
  4. En Configuración general, introduzca un Nombre de la aplicación para la implementación de su organización y haga clic en Siguiente.
  5. En la pestaña Configurar SAML, haga lo siguiente:
    1. Introduzca el valor de Dirección URL de inicio de sesión único, por ejemplo, https://[org name].maps.arcgis.com/sharing/rest/oauth2/saml/signin. Este valor se puede copiar del archivo de metadatos del proveedor de servicios descargado desde su organización.
    2. Introduzca el valor de URI de audiencia. El valor predeterminado es [org name].maps.arcgis.com. Este valor se puede copiar del archivo de metadatos del proveedor de servicios descargado desde su organización.
    3. Deje Formato de id. de nombre como No especificado.
    4. En Configuración avanzada, cambie la opción Firma de aserción a Sin firmar.
    5. En la sección Declaraciones de atributos, agregue estas declaraciones de atributos:

      givenName establecer como user.firstName

      surname establecer como user.lastName

      email establecer como user.email

  6. Haga clic en Siguiente y después en Finalizar.
  7. Ahora verá la sección Iniciar sesión de la aplicación de SAML que acaba de crear. Para obtener los metadatos del IDP de Okta, haga clic en la pestaña Iniciar sesión y, después, en el vínculo Metadatos del proveedor de identidad.
  8. Haga clic con el botón derecho en la pestaña Gente y configure los usuarios autenticados en Okta que tendrán acceso a su organización.