Configurar inicios de sesión de SAML

Configurar inicios de sesión específicos de la organización como, por ejemplo, inicios de sesión de SAML (conocidos anteriormente como inicios de sesión corporativos), permite a los miembros de la organización iniciar sesión en ArcGIS Online con las mismas credenciales que utilizan para acceder a los sistemas internos de la organización. La ventaja de configurar inicios de sesión específicos de la organización con esta fórmula es que los miembros no necesitan crear inicios de sesión adicionales en el sistema de ArcGIS Online, sino que pueden usar los que ya están configurados en la organización. Cuando los miembros inician sesión en ArcGIS Online, introducen su nombre de usuario y su contraseña específicos de la organización directamente en el administrador de inicio de sesión de la organización, también conocido como proveedor de identidad (IDP) de la organización. Después de verificar las credenciales del miembro, el IDP informa a ArcGIS Online de la identidad verificada del miembro que inicia sesión.

ArcGIS Online admite SAML 2.0 para configurar inicios de sesión de SAML. SAML es un estándar abierto para intercambiar de forma segura datos de autenticación y autorización entre un IDP (su organización) y un proveedor de servicios (SP). En este caso, ArcGIS Online cumple con el protocolo SAML 2.0 y se integra con los IDP que admiten SAML 2.0., por ejemplo, Active Directory Federation Services (AD FS), Google Workspace y Okta.

Es posible configurar la página de inicio de sesión de ArcGIS Online para mostrar solo el inicio de sesión de SAML, o bien mostrar el inicio de sesión de SAML junto con cualquiera de las siguientes opciones: inicio de sesión de ArcGIS, inicio de sesión de OpenID Connect (si está configurado), e inicios de sesión sociales (si están configurados).

Para asegurarse de que los inicios de sesión SAML estén configurados de forma segura, revise las prácticas recomendadas de seguridad para SAML.

En la mayoría de situaciones, las organizaciones configuran sus inicios de sesión SAML usando un solo IDP. Este IDP autentifica a los usuarios que acceden a los recursos protegidos que están alojados en varios proveedores de servicios. El IDP y todos los proveedores de servicios están administrados por la misma organización.

Nota:

Cuando la nueva versión del certificado de inicio de sesión y cifrado ArcGIS Online de SAML esté disponible, los administradores deben actualizar al certificado nuevo.

Otra forma de autentificar usuarios con inicios de sesión SAML consiste en configurar su organización para que utilice una federación de IDP basada en SAML. En una federación basada en SAML entre varias organizaciones, cada organización miembro continúa usando su propio IDP, pero configura uno o varios SP para trabajar exclusivamente dentro de la federación. Para acceder a un recurso protegido compartido dentro de la federación, el usuario autentifica su identidad con el IDP de su organización. Tras la autentificación, esta identidad validada se presenta al SP que aloja el recurso protegido. El SP permite el acceso al recurso después de verificar los privilegios de acceso del usuario.

Experiencia de inicio de sesión con SAML

ArcGIS Online es compatible con los inicios de sesión SAML iniciados por SP y con los inicios de sesión SAML iniciados por IDP. La experiencia de inicio de sesión es diferente en cada caso.

Inicios de sesión iniciados por SP

Con los inicios de sesión iniciados por SP, los miembros acceden directamente al sitio web de ArcGIS Online y ven las opciones para iniciar sesión de SP SAML o de ArcGIS. Si el miembro selecciona la opción de SP, se le redirige a una página web (conocida como administrador de inicio de sesión) en la que se le pide que introduzca su nombre de usuario y su contraseña de SAML. Después de verificar las credenciales del miembro, el IDP informa a ArcGIS Online de la identidad verificada del miembro que inicia sesión y se redirige al miembro a su sitio web de ArcGIS Online.

Si el miembro elige la opción de ArcGIS, aparece la página de inicio de sesión de ArcGIS Online. A continuación, el miembro puede proporcionar su nombre de usuario y su contraseña de ArcGIS para acceder al sitio web.

Inicios de sesión iniciados por IDP

Con los inicios de sesión iniciados por IDP, los miembros acceden directamente al administrador de inicio de sesión de la organización e inician sesión con su cuenta. Cuando el miembro envía la información de su cuenta, el IDP envía la respuesta de SAML directamente a ArcGIS Online. A continuación, el miembro inicia sesión y se le redirige al sitio web de ArcGIS Online, donde puede acceder inmediatamente a los recursos sin tener que volver a iniciar sesión en la organización.

La opción de iniciar sesión usando una cuenta de ArcGIS directamente desde el administrador de inicio de sesión no está disponible con los inicios de sesión de IDP. Para iniciar sesión en ArcGIS Online con una cuenta de ArcGIS, los miembros tienen que acceder directamente al sitio web de ArcGIS Online.

Configurar inicios de sesión SAML

El proceso para configurar los IDP con ArcGIS Online se describe a continuación. Antes de continuar, es recomendable que se ponga en contacto con el administrador de su IDP, o su federación de IDP, para obtener los parámetros necesarios para la configuración. Por ejemplo, si su organización utiliza Microsoft Azure Active Directory, el administrador responsable será la persona de contacto adecuada para configurar o habilitar SAML en el IDP y obtener los parámetros necesarios para la configuración por parte de ArcGIS Online. También puede acceder y contribuir a la documentación detallada de configuración de IDP de terceros en el repositorio GitHub de ArcGIS/idp GitHub.

  1. Compruebe que haya iniciado sesión como administrador o con un rol personalizado con privilegios para configurar los ajustes de seguridad.
  2. En la parte superior del sitio, haga clic en Organización y haga clic en la pestaña Configuración.
  3. Si tiene previsto permitir que los miembros se unan automáticamente, determine una configuración predeterminada para los nuevos miembros primero. Si es necesario, puede cambiar esta configuración para miembros específicos después de que se unan a la organización.
    1. Haga clic en Opciones predeterminadas para miembros nuevos en el lado izquierdo de la página.
    2. Seleccione el rol y tipo de usuario predeterminados para los nuevos miembros.
    3. Seleccione las licencias complementarias que asignar automáticamente a los miembros cuando se unan a la organización.
    4. Seleccione los grupos a los que se van a agregar los miembros cuando se unan a la organización.
    5. Si la presupuestación de créditos está habilitada para la organización, establezca la asignación de créditos para cada miembro nuevo a un número específico de créditos o sin límite.
    6. Si lo desea, habilite el acceso a Esri para los nuevos miembros.

      Un miembro cuya cuenta tenga habilitado el acceso a Esri puede usar My Esri, participar en cursos de formación, participar en Esri Community, agregar comentarios a ArcGIS Blog y administrar las comunicaciones por correo electrónico de Esri. El miembro no puede habilitar ni deshabilitar su propio acceso a estos recursos de Esri.

  4. Haga clic en Seguridad en el lateral de la página.
  5. En la sección Inicios de sesión, haga clic en Nuevo inicio de sesión de SAML.
  6. En la ventana que aparece, seleccione una de las siguientes opciones:
    • Un proveedor de identidad: permite a los usuarios iniciar sesión con sus credenciales SAML existentes administradas por su organización. Esta es la configuración más común.
    • Una federación de proveedores de identidad: permite a los usuarios que pertenecen a una federación existente de varias organizaciones, por ejemplo, la federación SWITCHaai, iniciar sesión con credenciales admitidas por la federación.
  7. Haga clic en Siguiente.
  8. Si seleccionó Un proveedor de identidad, realice lo siguiente:
    1. Proporcione el nombre de su organización.
    2. Elija cómo se unirán los miembros con inicios de sesión SAML a la organización de ArcGIS Online: automáticamente o mediante invitación. La opción automática permite a los miembros unirse a la organización iniciando sesión con sus datos de inicio de sesión SAML. Con la opción de invitación, se generan invitaciones de correo electrónico a través de ArcGIS Online que incluyen instrucciones sobre la forma de unirse a la organización. Si elige la opción automática, sigue pudiendo invitar a miembros a unirse a la organización o agregarlos directamente mediante su Id. de SAML.
    3. Proporcione a ArcGIS Online la información de metadatos acerca de su IDP especificando el origen al que accederá ArcGIS Online para obtener información de metadatos acerca del IDP.

      Hay tres fuentes posibles de esta información:

      • Una URL: proporcione una dirección URL que devuelva información de metadatos acerca del IDP.
      • Un archivo: cargue un archivo que contenga información de metadatos acerca del IDP.
      • Parámetros especificados aquí: proporcione directamente la información de metadatos sobre el IDP indicando los parámetros siguientes:
        • URL de inicio de sesión (redireccionamiento): proporcione la URL del IDP (que admite la vinculación de redireccionamiento HTTP) que ArcGIS Online usará para permitir que un miembro inicie sesión.
        • URL de inicio de sesión (POST): introduzca la dirección URL del IDP (que admite la vinculación HTTP POST) que ArcGIS Online debe usar para permitir que un miembro inicie sesión.
        • Certificado: proporcione el certificado, codificado con el formato BASE 64, del IDP. Este es el certificado que permite a ArcGIS Online verificar la firma digital en las respuestas SAML que le envía el IDP.

      Nota:

      Póngase en contacto con el administrador del IDP si necesita ayuda para determinar qué origen de información de metadatos debe proporcionar.

  9. Si seleccionó Una federación de proveedores de identidad, realice lo siguiente:
    1. Proporcione el nombre de su federación.
    2. Elija cómo se unirán los miembros con inicios de sesión SAML a la organización de ArcGIS Online: automáticamente o mediante invitación. La opción automática permite a los miembros unirse a la organización iniciando sesión con sus datos de inicio de sesión SAML. Con la opción de invitación, se generan invitaciones de correo electrónico a través de ArcGIS Online que incluyen instrucciones sobre la forma de unirse a la organización. Si elige la opción automática, sigue pudiendo invitar a miembros a unirse a la organización o agregarlos directamente mediante su Id. de SAML.
    3. Proporcione la URL al servicio de descubrimiento de IDP centralizado alojado por la federación, por ejemplo, https://wayf.samplefederation.com/WAYF.
    4. Proporcione la URL a los metadatos de la federación, que son una agregación de los metadatos de todos los IDP y SP que participan en la federación.
    5. Copie y pegue el certificado, con codificación en formato Base 64, lo que permite a la organización verificar la validez de los metadatos de la federación.
  10. Haga clic en Mostrar configuración avanzada para configurar la siguiente configuración avanzada cuando proceda:
    • Permitir aserción cifrada: habilite esta opción para indicar al IDP de SAML que ArcGIS Online admite respuestas de aserción SAML cifradas. Cuando esta opción está deshabilitada, el IDP cifra la sección de aserción de la respuesta de SAML. Todo el tráfico de SAML de entrada y salida desde ArcGIS Online ya está cifrado mediante el uso de HTTPS, pero esta opción agrega otra capa de cifrado.
    • Habilitar solicitud firmada: habilite esta opción para que ArcGIS Online firme la solicitud de autenticación SAML enviada al IDP. Firmar la solicitud de inicio de sesión inicial enviada por ArcGIS Online permite al IDP verificar que todas las solicitudes de inicio de sesión proceden de un SP de confianza.
      Nota:

      Algunos IDP no permiten solicitudes firmadas de forma predeterminada. Se recomienda solicitar al administrador de IDP que garantice que se admitan las solicitudes firmadas.

    • Propagar cierre de sesión a proveedor de identidad: habilite esta opción para que ArcGIS Online utilice una URL de cierre de sesión para cerrar la sesión del usuario desde el IDP. Proporcione la URL que desee utilizar en la configuración de la URL de cierre de sesión. Si el IDP requiere que la URL de cierre de sesión esté firmada, la opción Habilitar solicitud firmada también debe estar activada. Cuando esta opción no está disponible, al hacer clic en Cerrar sesión en ArcGIS Online se cerrará la sesión del usuario de ArcGIS Online, pero no del IDP. Si la caché del navegador web del usuario no se ha borrado, al tratar de volver a iniciar sesión inmediatamente en ArcGIS Online usando la opción de inicio de sesión SAML dará como resultado un inicio de sesión inmediato sin necesidad de proporcionar credenciales de usuario al IDP de SAML. Esta es una vulnerabilidad de seguridad que se puede explotar cuando se utiliza un equipo que es fácilmente accesible a usuarios no autorizados o al público en general.
    • Actualizar perfiles en el inicio de sesión: habilite esta opción para sincronizar automáticamente la información de la cuenta (nombre completo y dirección de correo electrónico) almacenada en los perfiles de usuario de ArcGIS Online con la información de cuenta más reciente recibida desde el IDP. Al habilitar esta opción, cuando un usuario inicia sesión con credenciales SAML su organización puede verificar si la información del IDP ha cambiado desde que la cuenta se creó y, si es así, actualizar el perfil de la cuenta de ArcGIS Online del usuario en consecuencia.
    • Habilitar pertenencia a grupos basada en SAML: habilite esta opción para permitir a los miembros de la organización vincular grupos específicos basados en SAML con grupos de ArcGIS Online durante el proceso de creación de grupos. Si habilita esta opción, los miembros de la organización con el privilegio de vincularse a grupos SAML tendrán la opción de crear un grupo de ArcGIS Online cuya pertenencia se controle mediante un grupo SAML administrado por un IDP de SAML externo. Una vez que un grupo se vincule correctamente a un grupo basado en SAML externo, la pertenencia al grupo de cada usuario se define en la respuesta de aserción SAML recibida desde el IDP cada vez que el usuario inicia sesión.

      Para asegurarse de que el grupo ArcGIS Online esté correctamente vinculado a un grupo de SAML externo, el creador del grupo debe proporcionar el valor exacto del grupo de SAML externo tal y como aparece en el valor de atributo de la aserción SAML. Consulte la respuesta de aserción SAML de su IDP de SAML para determinar el valor utilizado para hacer referencia al grupo. Los nombres admitidos (que no distinguen entre mayúsculas y minúsculas) para el atributo que define la pertenencia de un usuario a un grupo son:

      • Grupo
      • Grupos
      • Rol
      • Roles
      • MemberOf
      • member-of
      • https://wso2.com/claims/role
      • http://schemas.xmlsoap.org/claims/Group
      • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
      • urn:oid:1.3.6.1.4.1.5923.1.5.1.1
      • urn:oid:2.16.840.1.113719.1.1.4.1.25

      Por ejemplo, un usuario que inicia sesión es miembro de los grupos SAML FullTimeEmployees y GIS Faculty. En la aserción SAML que aparece desde el IDP, como se muestra a continuación, el nombre del atributo que contiene la información de grupo es MemberOf. En este ejemplo, para crear un grupo vinculado al grupo SAML GIS Faculty, el creador del grupo necesitaría escribir GIS Faculty como nombre de grupo.

      <saml2p:Response>
        ...
        ...
        <saml2:Assertion>
            ...
            ...	  
            <saml2:AttributeStatement>
              ...
              ...	  
              <saml2:Attribute Name="MemberOf">
        	      <saml2:AttributeValue>FullTimeEmployees</saml2:AttributeValue>
      	      <saml2:AttributeValue>GIS Faculty</saml2:AttributeValue>
              </saml2:Attribute>	  
          </saml2:AttributeStatement>
        </saml2:Assertion>
      </saml2p:Response>

      A continuación se muestra otro ejemplo que usa valores de Id. para identificar los grupos:

      <saml2p:Response>
        ...
        ...
        <saml2:Assertion>
            ...
            ...	  
            <saml2:AttributeStatement>
              ...
              ...	  
              <saml2:Attribute Name="urn:oid:2.16.840.1.113719.1.1.4.1.25" FriendlyName="groups">
        	      <saml2:AttributeValue>GIDff63a68d51325b53153eeedd78cc498b</saml2:AttributeValue>
      	      <saml2:AttributeValue>GIDba5debd8d2f9bb7baf015af7b2c25440</saml2:AttributeValue>
              </saml2:Attribute>	  
          </saml2:AttributeStatement>
        </saml2:Assertion>
      </saml2p:Response>

    • URL de cierre de sesión: si elige Un proveedor de identidad en un paso anterior, proporcione la URL del IDP a utilizar para cerrar la sesión del usuario conectado actualmente. Si esta propiedad está especificada en el archivo de metadatos del IDP, se establece automáticamente.
    • Id. de entidad: actualice este valor para usar un nuevo Id. de entidad para identificar exclusivamente a su organización ArcGIS Online ante el IDP SAML o la federación SAML.
  11. Cuando haya finalizado, haga clic en Guardar.
  12. Para completar el proceso de configuración, establezca la confianza con el servicio de descubrimiento de la federación (si procede) y su IDP registrando con ellos los metadatos SP de ArcGIS Online.
    Existen dos formas de obtener estos metadatos:
    • Haga clic en Descargar metadatos de proveedores de servicios para descargar el archivo de metadatos para su organización.
    • Abra la URL del archivo de metadatos y guárdelo como un archivo .xml en su equipo. Es posible ver y copiar la URL de la ventana Editar inicio de sesión SAML en Vínculo para descargar los metadatos de los proveedores de servicios.

    Los vínculos de las instrucciones para registrar los metadatos SP con los proveedores certificados están disponibles en la sección IDP de SAML anterior. Si ha seleccionado Una federación de proveedores de identidad después de descargar los metadatos SP, póngase en contacto con los administradores de la federación SAML para obtener instrucciones sobre cómo integrar sus metadatos SP en el archivo de metadatos agregados de la federación. Necesitará también que le proporcionen instrucciones para registrar su IDP con la federación.

Modificar o eliminar el IDP SAML

Cuando haya configurado un IDP de SAML, puede actualizar la configuración haciendo clic en Configurar inicio de sesión situado junto al IDP SAML registrado actualmente. Actualice la configuración en la ventana Editar inicio de sesión SAML.

Para eliminar el IDP registrado actualmente, haga clic en el botón Configurar inicio de sesión situado junto al IDP y haga clic en Eliminar inicio de sesión en la ventana Editar inicio de sesión de SAML. Después de eliminar un IDP, si lo desea, puede configurar un IDP o una federación de IDP nuevos.

Prácticas recomendadas sobre seguridad SAML

Para habilitar los inicios de sesión de SAML, puede configurar ArcGIS Online como un SP para su IDP SAML. Para garantizar la seguridad, plantéese estas prácticas recomendadas.

Firma digital de las solicitudes de inicio y cierre de sesión SAML y firma de la respuesta de la aserción SAML.

Las firmas se utilizan para garantizar la integridad de los mensajes SAML y son una protección frente a ataques de intermediarios (MITM). La firma digital de la solicitud SAML también garantiza que la solicitud la envíe un SP de confianza, por lo que el IDP puede gestionar mejor los ataques de denegación de servicio (DOS). Active la opción Habilitar solicitud firmada en la configuración avanzada al configurar inicios de sesión SAML.

Nota:

  • Para habilitar solicitudes firmadas es necesario actualizar el IDP siempre que se renueve o sustituya el certificado de firma que utiliza el SP.
  • Para habilitar solicitudes firmadas es necesario actualizar el SP (ArcGIS Online) siempre que se renueve o sustituya el certificado de firma que utiliza el IDP.

Configure el IDP de SAML para que firme la respuesta de SAML a fin de evitar la modificación en tránsito de la respuesta de la aserción SAML.

Usar el extremo HTTPS del IDP

Todas las comunicaciones entre el SP, el IDP y el navegador del usuario que se envían por una red interna o por Internet en un formato sin cifrar corren el riesgo de que un actor malintencionado las intercepte. Si su IDP de SAML admite HTTPS, es recomendable que utilice el extremo HTTPS para garantizar la confidencialidad de los datos que se transmiten durante inicios de sesión SAML.

Cifrar la respuesta de la aserción SAML

Usar HTTPS para la comunicación SAML protege los mensajes SAML que se envían entre el IDP y el SP. No obstante, los usuarios que hayan iniciado sesión todavía pueden decodificar y ver los mensajes SAML mediante el navegador web. Habilitar el cifrado de la respuesta de la aserción evita que los usuarios vean información confidencial que se comunica entre el IDP y el SP.

Nota:

Para habilitar aserciones cifradas es necesario actualizar el IDP siempre que se renueve o sustituya el certificado de cifrado que utiliza el SP (ArcGIS Online).

Administrar de forma segura el certificado de firma del IDP de SAML

Se recomienda configurar su IDP de SAML para utilizar un certificado con una clave criptográfica sólida para firmar digitalmente la respuesta de aserción SAML. Si se renueva el certificado IDP SAML, debe actualizar inmediatamente la configuración de SAML de la organización de ArcGIS Online con el nuevo certificado para garantizar que los inicios de sesión de SAML sigan funcionando. Se recomienda que actualice el certificado IDP SAML cuando su organización ArcGIS Online esté realizando el mantenimiento programado.

Nota:

El certificado utilizado para firmar solicitudes SAML y cifrar la respuesta de la aserción lo gestiona ArcGIS Online y se renueva cada año.

Después de obtener el nuevo certificado IDP codificado con el formato BASE 64 de su administrador de IDP de SAML, haga lo siguiente para sustituir el certificado por la configuración de inicio de sesión SAML de su organización:

  1. Compruebe que haya iniciado sesión como administrador o con un rol personalizado con privilegios para configurar los ajustes de seguridad.
  2. En la parte superior del sitio, haga clic en Organización y haga clic en la pestaña Configuración.
  3. Haga clic en Seguridad en el lateral de la página.
  4. En la sección Inicios de sesión, haga clic en Configurar inicio de sesión junto al botón de alternancia Inicios de sesión de SAML.
  5. En la ventana Editar inicio de sesión de SAML, actualice la cadena de certificados en el cuadro de texto Certificado.
  6. Haga clic en Guardar cuando haya terminado.