Configurar inicios de sesión de SAML

Configurar inicios de sesión específicos de la organización como, por ejemplo, inicios de sesión de SAML (conocidos anteriormente como inicios de sesión corporativos), permite a los miembros de la organización iniciar sesión en ArcGIS Online con las mismas credenciales que utilizan para acceder a los sistemas internos de la organización. La ventaja de configurar inicios de sesión específicos de la organización con esta fórmula es que los miembros no necesitan crear inicios de sesión adicionales en el sistema de ArcGIS Online, sino que pueden usar los que ya están configurados en la organización. Cuando los miembros inician sesión en ArcGIS Online, introducen su nombre de usuario y su contraseña específico de la organización directamente en el administrador de inicio de sesión de la organización, también conocido como proveedor de identidad de la organización (IDP). Después de verificar las credenciales del miembro, el IDP informa a ArcGIS Online de la identidad verificada del miembro que inicia sesión.

ArcGIS Online admite SAML 2.0 para configurar inicios de sesión de SAML. SAML es un estándar abierto para intercambiar de forma segura datos de autenticación y autorización entre un IDP (su organización) y un proveedor de servicios (SP); en este caso, ArcGIS Online cumple el protocolo SAML 2.0 y se integra con los IDP que admiten SAML 2.0.

Es posible configurar la página de inicio de sesión de ArcGIS Online para mostrar solo el inicio de sesión de SAML, o bien mostrar el inicio de sesión de SAML junto con cualquiera de las siguientes opciones: inicio de sesión de ArcGIS, inicio de sesión de OpenID Connect (si está configurado), e inicios de sesión sociales (si están configurados).

Para asegurarse de que los inicios de sesión SAML estén configurados de forma segura, revise las prácticas recomendadas de seguridad para SAML.

En la mayoría de situaciones, las organizaciones configuran sus inicios de sesión SAML usando un solo IDP. Este IDP autentifica a los usuarios que acceden a los recursos protegidos que están alojados en varios proveedores de servicios. El IDP y todos los proveedores de servicios están administrados por la misma organización.

Nota:

Cuando la nueva versión del certificado de inicio de sesión y cifrado ArcGIS Online de SAML esté disponible, los administradores deben actualizar al certificado nuevo.

Otra forma de autentificar usuarios con inicios de sesión SAML consiste en configurar su organización para que utilice una federación de IDP basada en SAML. En una federación basada en SAML entre varias organizaciones, cada organización miembro continúa usando su propio IDP, pero configura uno o varios SP para trabajar exclusivamente dentro de la federación. Para acceder a un recurso protegido compartido dentro de la federación, el usuario autentifica su identidad con el IDP de su organización. Tras la autentificación, esta identidad validada se presenta al SP que aloja el recurso protegido. El SP permite el acceso al recurso después de verificar los privilegios de acceso del usuario.

Experiencia de inicio de sesión con SAML

ArcGIS Online es compatible con los inicios de sesión SAML iniciados por SP y con los inicios de sesión SAML iniciados por IDP. La experiencia de inicio de sesión es diferente en cada caso.

Inicios de sesión iniciados por SP

Con los inicios de sesión iniciados por SP, los miembros acceden directamente al sitio web de ArcGIS Online y ven las opciones para iniciar sesión de SP SAML o de ArcGIS. Si el miembro selecciona la opción de SP, se le redirige a una página web (conocida como administrador de inicio de sesión) en la que se le pide que introduzca su nombre de usuario y su contraseña SAML. Después de verificar las credenciales del miembro, el IDP informa a ArcGIS Online de la identidad verificada del miembro que inicia sesión y se redirige al miembro a su sitio web de ArcGIS Online.

Si el miembro elige la opción de ArcGIS, aparece la página de inicio de sesión de ArcGIS Online. A continuación, el miembro puede introducir su nombre de usuario y su contraseña de ArcGIS para acceder al sitio web.

Inicios de sesión iniciados por IDP

Con los inicios de sesión iniciados por IDP, los miembros acceden directamente al administrador de inicio de sesión de la organización e inician sesión con su cuenta. Cuando el miembro envía la información de su cuenta, el IDP envía la respuesta de SAML directamente a ArcGIS Online. A continuación, el miembro inicia sesión y se le redirige al sitio web de ArcGIS Online, donde puede acceder inmediatamente a los recursos sin tener que volver a iniciar sesión en la organización.

La opción de iniciar sesión usando una cuenta de ArcGIS directamente desde el administrador de inicio de sesión no está disponible con los inicios de sesión de proveedor de identidad. Para iniciar sesión en ArcGIS Online con una cuenta de ArcGIS, los miembros tienen que acceder directamente al sitio web de ArcGIS Online.

IDP de SAML

En los siguientes tutoriales se describe cómo utilizar IDP compatibles con SAML con ArcGIS Online:

Configurar inicios de sesión SAML

El proceso para configurar los IDP con ArcGIS Online se describe a continuación. Antes de continuar, es recomendable que se ponga en contacto con el administrador de su IDP, o su federación de IDP, para obtener los parámetros necesarios para la configuración. Por ejemplo, si su organización utiliza Microsoft Active Directory, el administrador responsable será la persona de contacto adecuada para configurar o habilitar SAML en el IDP y obtener los parámetros necesarios para la configuración por parte de ArcGIS Online.

  1. Compruebe que haya iniciado sesión como administrador de su organización.
  2. En la parte superior del sitio, haga clic en Organización y haga clic en la pestaña Configuración.
  3. Si tiene previsto permitir que los miembros se unan automáticamente, determine una configuración predeterminada para los nuevos miembros primero. Si es necesario, puede cambiar esta configuración para miembros específicos después de que se unan a la organización.
    1. Haga clic en Opciones predeterminadas para miembros nuevos en el lado izquierdo de la página.
    2. Seleccione el rol y tipo de usuario predeterminados para los nuevos miembros.
    3. Seleccione las licencias complementarias que asignar automáticamente a los miembros cuando se unan a la organización.
    4. Seleccione los grupos a los que se van a agregar los miembros cuando se unan a la organización.
    5. Si la presupuestación de créditos está habilitada para la organización, establezca la asignación de créditos para cada miembro nuevo a un número específico de créditos o sin límite.
    6. Elija si habilitar el acceso a Esri para los nuevos miembros.

      Un miembro cuya cuenta tenga habilitado el acceso a Esri puede usar My Esri, participar en cursos de formación, participar en Esri Community, agregar comentarios a ArcGIS Blog y administrar las comunicaciones por correo electrónico de Esri. El miembro no puede habilitar ni deshabilitar su propio acceso a estos recursos de Esri.

  4. Haga clic en Seguridad en el lateral de la página.
  5. En la sección Inicios de sesión, haga clic en Nuevo inicio de sesión de SAML.
  6. En la ventana que aparece, seleccione una de las siguientes opciones:
    • Un proveedor de identidad: permite a los usuarios iniciar sesión con sus credenciales SAML existentes administradas por su organización. Esta es la configuración más común.
    • Una federación de proveedores de identidad: permite a los usuarios que pertenecen a una federación existente de varias organizaciones, por ejemplo, la federación SWITCHaai, iniciar sesión con credenciales admitidas por la federación.
  7. Haga clic en Siguiente.
  8. Si seleccionó Un proveedor de identidad, realice lo siguiente:
    1. Introduzca el nombre de su organización.
    2. Elija cómo se unirán los miembros con inicios de sesión SAML a la organización de ArcGIS Online: automáticamente o mediante invitación. La opción automática permite a los miembros unirse a la organización iniciando sesión con sus datos de inicio de sesión SAML. Con la opción de invitación, se generan invitaciones de correo electrónico a través de ArcGIS Online que incluyen instrucciones sobre la forma de unirse a la organización. Si elige la opción automática, sigue pudiendo invitar a miembros a unirse a la organización o agregarlos directamente mediante su Id. de SAML.
    3. Proporcione a ArcGIS Online la información de metadatos acerca de su IDP.

    Para ello, especifique el origen al que accederá ArcGIS Online para obtener la información de metadatos acerca del IDP. Hay tres fuentes posibles de esta información:

    • Una dirección URL: introduzca una dirección URL que devuelva información de metadatos acerca del IDP.
    • Un archivo: cargue un archivo que contenga información de metadatos acerca del IDP.
    • Parámetros especificados aquí: introduzca directamente la información de metadatos sobre el IDP indicando los parámetros siguientes:
      • Dirección URL de inicio de sesión (redireccionamiento): introduzca la dirección URL del IDP (que admita la vinculación de redireccionamiento HTTP) que debe utilizar ArcGIS Online para permitir a un miembro iniciar sesión.
      • Dirección URL de inicio de sesión (POST): introduzca la dirección URL del IDP (que admita la vinculación de HTTP POST) que debe utilizar ArcGIS Online para permitir a un miembro iniciar sesión.
      • Certificado: proporcione el certificado, codificado con el formato BASE 64, del IDP. Este es el certificado que permite a ArcGIS Online verificar la firma digital en las respuestas SAML que le envía el IDP.
    Nota:

    Póngase en contacto con el administrador del IDP si necesita ayuda para determinar qué origen de información de metadatos debe proporcionar.

  9. Si seleccionó Una federación de proveedores de identidad, realice lo siguiente:
    1. Introduzca el nombre de su federación.
    2. Elija cómo se unirán los miembros con inicios de sesión SAML a la organización de ArcGIS Online: automáticamente o mediante invitación. La opción automática permite a los miembros unirse a la organización iniciando sesión con sus datos de inicio de sesión SAML. Con la opción de invitación, se generan invitaciones de correo electrónico a través de ArcGIS Online que incluyen instrucciones sobre la forma de unirse a la organización. Si elige la opción automática, sigue pudiendo invitar a miembros a unirse a la organización o agregarlos directamente mediante su Id. de SAML.
    3. Introduzca la URL al servicio de descubrimiento de IDP centralizado alojado por la federación, por ejemplo, https://wayf.samplefederation.com/WAYF.
    4. Introduzca la URL a los metadatos de la federación, que son una agregación de los metadatos de todos los IDP y SP que participan en la federación.
    5. Copie y pegue el certificado, con codificación en formato Base 64, lo que permite a la organización verificar la validez de los metadatos de la federación.
  10. Haga clic en Mostrar configuración avanzada para configurar la siguiente configuración avanzada cuando proceda:
    • Cifrar aserción: habilite esta opción para indicar al IDP de SAML que ArcGIS Online admite respuestas de aserción SAML cifradas. Cuando esta opción está deshabilitada, el IDP cifra la sección de aserción de la respuesta de SAML. Todo el tráfico de SAML de entrada y salida desde ArcGIS Online ya está cifrado mediante el uso de HTTPS, pero esta opción agrega otra capa de cifrado.
    • Habilitar solicitud firmada: habilite esta opción para que ArcGIS Online firme la solicitud de autenticación SAML enviada al IDP. Firmar la solicitud de inicio de sesión inicial enviada por ArcGIS Online permite al IDP verificar que todas las solicitudes de inicio de sesión proceden de un SP de confianza.
    • Propagar cierre de sesión a proveedor de identidad: habilite esta opción para que ArcGIS Online utilice una URL de cierre de sesión para cerrar la sesión del usuario desde el IDP. Introduzca la dirección URL que desee utilizar en la configuración de la Dirección URL de cierre de sesión. Si el IDP requiere que la URL de cierre de sesión esté firmada, la opción Habilitar solicitud firmada también debe estar activada. Cuando esta opción no está disponible, al hacer clic en Cerrar sesión en ArcGIS Online se cerrará la sesión del usuario de ArcGIS Online, pero no del IDP. Si la caché del navegador web del usuario no se ha borrado, al tratar de volver a iniciar sesión inmediatamente en ArcGIS Online usando la opción de inicio de sesión SAML dará como resultado un inicio de sesión inmediato sin necesidad de proporcionar credenciales de usuario al IDP de SAML. Esta es una vulnerabilidad de seguridad que se puede explotar cuando se utiliza un equipo que es fácilmente accesible a usuarios no autorizados o al público en general.
    • Actualizar perfiles en el inicio de sesión: habilite esta opción para sincronizar automáticamente la información de la cuenta (nombre completo y dirección de correo electrónico) almacenada en los perfiles de usuario de ArcGIS Online con la información de cuenta más reciente recibida desde el IDP. Al habilitar esta opción, cuando un usuario inicia sesión con credenciales SAML su organización puede verificar si la información del IDP ha cambiado desde que la cuenta se creó y, si es así, actualizar el perfil de la cuenta de ArcGIS Online del usuario en consecuencia.
    • Habilitar pertenencia a grupos basada en SAML: habilite esta opción para permitir a los miembros de la organización vincular grupos específicos basados en SAML con grupos de ArcGIS Online durante el proceso de creación de grupos. Si habilita esta opción, los miembros de la organización con el privilegio de vincularse a grupos SAML tendrán la opción de crear un grupo de ArcGIS Online cuya pertenencia se controle mediante un grupo SAML administrado por un IDP de SAML externo. Una vez que un grupo se vincule correctamente a un grupo basado en SAML externo, la pertenencia al grupo de cada usuario se define en la respuesta de aserción SAML recibida desde el IDP cada vez que el usuario inicia sesión.

      Para asegurarse de que el grupo de ArcGIS Online esté correctamente vinculado al grupo SAML externo, el creador del grupo debe introducir el valor exacto del grupo SAML externo tal como se devuelve en el valor de atributo de la aserción SAML. Consulte la respuesta de aserción SAML de su IDP de SAML para determinar el valor utilizado para hacer referencia al grupo. Los nombres admitidos (sin distinción entre minúsculas y mayúsculas) para el atributo que define la pertenencia de un usuario a un grupo son:

      • Grupo
      • Grupos
      • Rol
      • Roles
      • MemberOf
      • member-of
      • https://wso2.com/claims/role
      • http://schemas.xmlsoap.org/claims/Group
      • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
      • urn:oid:1.3.6.1.4.1.5923.1.5.1.1
      • urn:oid:2.16.840.1.113719.1.1.4.1.25

      Por ejemplo, imagínese que un usuario inicia sesión como un miembro de los grupos SAML FullTimeEmployees y GIS Faculty. En la aserción SAML que aparece desde el IDP, como se muestra a continuación, el nombre del atributo que contiene la información de grupo es MemberOf. En este ejemplo, para crear un grupo vinculado al grupo de SAML GIS Faculty, el creador del grupo necesitaría introducir GIS Faculty como nombre de grupo.

      <saml2p:Response>
        ...
        ...
        <saml2:Assertion>
            ...
            ...	  
            <saml2:AttributeStatement>
              ...
              ...	  
              <saml2:Attribute Name="MemberOf">
        	      <saml2:AttributeValue>FullTimeEmployees</saml2:AttributeValue>
      	      <saml2:AttributeValue>GIS Faculty</saml2:AttributeValue>
              </saml2:Attribute>	  
          </saml2:AttributeStatement>
        </saml2:Assertion>
      </saml2p:Response>

      A continuación se muestra otro ejemplo que usa valores de Id. para identificar los grupos:

      <saml2p:Response>
        ...
        ...
        <saml2:Assertion>
            ...
            ...	  
            <saml2:AttributeStatement>
              ...
              ...	  
              <saml2:Attribute Name="urn:oid:2.16.840.1.113719.1.1.4.1.25" FriendlyName="groups">
        	      <saml2:AttributeValue>GIDff63a68d51325b53153eeedd78cc498b</saml2:AttributeValue>
      	      <saml2:AttributeValue>GIDba5debd8d2f9bb7baf015af7b2c25440</saml2:AttributeValue>
              </saml2:Attribute>	  
          </saml2:AttributeStatement>
        </saml2:Assertion>
      </saml2p:Response>

    • URL de cierre de sesión: si elige Un proveedor de identidad en un paso anterior, introduzca la URL del IDP a utilizar para cerrar la sesión del usuario conectado actualmente. Si esta propiedad está especificada en el archivo de metadatos del IDP, se establece automáticamente.
    • Id. de entidad: actualice este valor para usar un nuevo Id. de entidad para identificar exclusivamente a su organización ArcGIS Online ante el IDP SAML o la federación SAML.
  11. Cuando haya finalizado, haga clic en Guardar.
  12. Para completar el proceso de configuración, establezca la confianza con el servicio de descubrimiento de la federación (si procede) y su IDP registrando con ellos los metadatos SP de ArcGIS Online. Existen dos formas de obtener estos metadatos:
    • Haga clic en Descargar metadatos de proveedores de servicios para descargar el archivo de metadatos para su organización.
    • Abra la URL del archivo de metadatos y guárdelo como un archivo XML en su equipo. Es posible ver y copiar la URL de la ventana Editar inicio de sesión SAML en Vínculo para descargar los metadatos de los proveedores de servicios.

    Los vínculos de las instrucciones para registrar los metadatos SP con los proveedores certificados están disponibles en la sección IDP de SAML anterior. Si ha seleccionado Una federación de proveedores de identidad después de descargar los metadatos SP, póngase en contacto con los administradores de la federación SAML para obtener instrucciones sobre cómo integrar sus metadatos SP en el archivo de metadatos agregados de la federación. Necesitará también que le proporcionen instrucciones para registrar su IDP con la federación.

Modificar o eliminar el IDP SAML

Cuando haya configurado un IDP de SAML, puede actualizar la configuración haciendo clic en Configurar inicio de sesión situado junto al IDP SAML registrado actualmente. Actualice su configuración en la ventana Editar inicio de sesión SAML.

Para eliminar el IDP registrado actualmente, haga clic en el botón Configurar inicio de sesión situado junto al IDP y haga clic en Eliminar inicio de sesión en la ventana Editar inicio de sesión de SAML. Después de eliminar un IDP, si lo desea, puede configurar un IDP o una federación de IDP nuevos.

Prácticas recomendadas sobre seguridad SAML

Para habilitar inicios de sesión SAML, puede configurar ArcGIS Online como proveedor de servicios (SP) para su proveedor de identidad (IDP) SAML. Para garantizar una seguridad potente, plantéese estas prácticas recomendadas.

Firma digital de las solicitudes de inicio y cierre de sesión SAML y firma de la respuesta de la aserción SAML.

Las firmas se utilizan para garantizar la integridad de los mensajes SAML y, por lo tanto, actúan como protección frente a ataques de intermediarios (MITM). La firma digital de la solicitud SAMLSAML también garantiza que la solicitud la envíe un SP de confianza, por lo que el IDP puede enfrentarse mejor a ataques de denegación de servicio (DOS). Active la opción Habilitar solicitud firmada en la configuración avanzada al configurar inicios de sesión SAML.

Nota:

Para habilitar solicitudes firmadas es necesario actualizar el IDP siempre que se renueve o sustituya el certificado de firma que utiliza el SP.

Configure el IDP de SAML para que firme la respuesta de SAML a fin de evitar la modificación en tránsito de la respuesta de la aserción SAML.

Nota:

Para habilitar solicitudes firmadas es necesario actualizar el SP (ArcGIS Online) siempre que se renueve o sustituya el certificado de firma que utiliza el IDP.

Usar el extremo HTTPS del IDP

Todas las comunicaciones entre el SP, el IDP y el navegador del usuario que se envían por una red interna o por Internet en un formato sin cifrar corren el riesgo de que un actor malintencionado las intercepte. Si su IDP de SAML admite HTTPS, es recomendable que utilice el extremo HTTPS para garantizar la confidencialidad de los datos que se transmiten durante inicios de sesión SAML.

Cifrar la respuesta de la aserción SAML

Usar HTTPS para la comunicación SAML protege los mensajes SAML que se envían entre el IDP y el SP. No obstante, los usuarios que hayan iniciado sesión todavía pueden decodificar y ver los mensajes SAML mediante el navegador web. Habilitar el cifrado de la respuesta de la aserción evita que los usuarios vean información confidencial que se comunica entre el IDP y el SP.

Nota:

Para habilitar aserciones cifradas es necesario actualizar el IDP siempre que se renueve o sustituya el certificado de cifrado que utiliza el SP (ArcGIS Online).

Administrar de forma segura los certificados de inicio de sesión y cifrado

Se recomienda que utilice certificados con claves criptográficas fuertes para firmar digitalmente o cifrar mensajes SAML, así como renovar o sustituir los certificados cada tres o cinco años.