La configurazione di credenziali di accesso specifiche per l'organizzazione, come le credenziali di accesso a SAML (precedentemente conosciute come credenziali di accesso aziendale), consente ai membri dell'organizzazione di effettuare l'accesso ad ArcGIS Online con gli stessi account di accesso usati per i sistemi interni dell'organizzazione. La configurazione di account di accesso specifici per un'organizzazione con questo approccio presenta un indubbio vantaggio. I membri infatti non devono più creare ulteriori account di accesso nel sistema ArcGIS Online, ma possono utilizzare l'account di accesso già configurato con l'organizzazione. Quando i membri accedono a ArcGIS Online, forniscono nome utente e password specifici dell'organizzazione direttamente al gestore di accesso dell'organizzazione, detto anche IdP (Identity Provider) dell'organizzazione. Alla verifica delle credenziali dei membri, l'IdP informa ArcGIS Online dell'identità verificata per il membro che esegue l'accesso.
ArcGIS Online supporta SAML 2.0 per la configurazione di login SAML. SAML è uno standard aperto per lo scambio sicuro dei dati di autenticazione e autorizzazione tra un IdP (la tua organizzazione) e un provider di servizi (SP). In questo caso, ArcGIS Online è conforme al protocollo SAML 2.0 e si integra con IdP che supportano SAML 2.0, ad esempio Active Directory Federation Services (AD FS), Google Workspace e Okta.
È possibile configurare la pagina di accesso ad ArcGIS Online in modo da mostrare solo l'account di accesso SAML o in modo da mostrare l'account di accesso di SAML insieme a una di queste opzioni: credenziali ArcGIS, credenziali OpenID Connect (se configurate) e credenziali social (se configurate).
Per assicurarsi che gli accessi SAML siano configurati in maniera sicura, revisionare le procedure consigliate per la sicurezza SAML.
Nella maggior parte dei casi, le organizzazioni impostano le credenziali di accesso SAML tramite un solo IdP. Tale IdP autentica gli utenti che accedono alle risorse protette ospitate da più provider di servizi. L’IdP e tutti i provider di servizi sono gestiti dalla stessa organizzazione.
Nota:
Quando è disponibile una nuova versione del certificato di firma e crittografia ArcGIS Online di SAML, gli amministratori devono eseguire l'aggiornamento per essere conformi al nuovo certificato.
Un altro modo per autenticare gli utenti con credenziali di accesso SAML consiste nel configurare la tua organizzazione per l'uso di una federazione di IdP basata su SAML. In una federazione basata su SAML tra più organizzazioni, ogni organizzazione membro continua a utilizzare il proprio IdP ma configura uno o più SP per lavorare esclusivamente nella federazione. Per accedere a una risorsa protetta condivisa all'interno della federazione, un utente autentica la sua identità con l'IdP dell’organizzazione. Una volta autenticata correttamente, questa identità convalidata viene presentata all’SP che ospita la risorsa protetta. L’SP concede quindi l'accesso alla risorsa dopo aver verificato i privilegi di accesso dell'utente.
Esperienza di accesso SAML
ArcGIS Online supporta credenziali di accesso SAML basate su SP e credenziali di accesso SAML basate su IdP. L'esperienza di accesso è diversa per ciascun tipo di account.
Credenziali di accesso SP
Effettuando l'accesso con credenziali SP, i membri accedono direttamente al sito Web di ArcGIS Online e visualizzano le opzioni di accesso tramite credenziali SP SAML o credenziali ArcGIS. Se il membro seleziona un'opzione SP, viene reindirizzato a una pagina web (detta gestore accesso) dove gli viene chiesto di fornire nome utente e password SAML. Alla verifica delle credenziali del membro, l'IdP informa ArcGIS Online dell'identità verificata del membro che esegue l'accesso e il membro viene reindirizzato al sito web di ArcGIS Online.
Se il membro sceglie l'opzione ArcGIS, viene visualizzata la pagina di accesso per ArcGIS Online. A questo punto, il membro può fornire nome utente e password ArcGIS per accedere al sito web.
Credenziali di accesso IdP
Con credenziali di accesso IdP, i membri accedono direttamente al gestore accessi dell'organizzazione ed effettuano l'accesso con il proprio account. Quando il membro invia le informazioni del suo account, l'IdP invia la risposta SAML direttamente a ArcGIS Online. Il membro viene quindi connesso e reindirizzato al sito Web di ArcGIS Online in cui può immediatamente accedere alle risorse senza dover nuovamente effettuare l'accesso all'organizzazione.
L'opzione di accesso con un account ArcGIS direttamente dal gestore accessi non è disponibile con le credenziali di accesso IdP. Per accedere a ArcGIS Online tramite account ArcGIS, i membri devono accedere direttamente al sito web ArcGIS Online.
Configurare gli accessi SAML
Il processo di configurazione degli IdP con ArcGIS Online è descritto di seguito. Prima di procedere, è preferibile contattare l'amministratore dell'IdP o della federazione di IdP per ottenere i parametri richiesti per la configurazione. Ad esempio, se l'organizzazione utilizza Microsoft Entra ID, è necessario contattare l'amministratore responsabile per configurare o abilitare SAML sul lato IdP e ottenere i parametri necessari per la configurazione sul lato ArcGIS Online. È anche possibile accedere e contribuire alla documentazione della configurazione IdP di terze parti nel repository ArcGIS/idp GitHub.
- Accertati di aver eseguito l'accesso con un ruolo di amministratore o con un ruolo personalizzato con privilegi per configurare le impostazioni di sicurezza.
- Nella parte superiore della schermata del sito, fare clic su Organizzazione e scegliere la scheda Impostazioni.
- Se si intende consentire ai membri di iscriversi automaticamente, innanzitutto configurare le impostazioni predefinite per i nuovi membri. Se necessario, è possibile modificare queste impostazioni per membri specifici dopo che si sono iscritti all'organizzazione.
- Fare clic su Predefinite dei nuovi membri sul lato della pagina.
- Selezionare il tipo di utente e ruolo predefinito per i nuovi membri.
- Selezionare le licenze aggiuntive da assegnare automaticamente ai membri quando si iscrivono all'organizzazione.
- Selezionare i gruppi ai quali verranno aggiunti i membri una volta iscritti all'organizzazione.
- Se è abilitato il budget del credito per l'organizzazione, impostare lo stanziamento del credito per ciascun nuovo membro su un numero specifico di crediti o senza limiti.
- Puoi anche abilitare l'accesso Esri per i nuovi membri.
Un membro per il cui account è abilitato l'accesso a Esri può utilizzare My Esri, frequentare corsi di formazione, partecipare a Esri Community, inserire commenti nel Blog di ArcGIS e gestire comunicazioni email da Esri. Il membro non può abilitare o disabilitare il proprio accesso a tali risorse Esri.
- Fare clic su Protezione sul lato della pagina.
- Nella sezione Accessi, fare clic su Nuovo accesso SAML.
- Nella finestra visualizzata, selezionare una delle opzioni seguenti:
- Un provider di identità: consente agli utenti di accedere utilizzando le credenziali di accesso SAML esistenti gestite dall’organizzazione. Si tratta della configurazione più comune.
- Una federazione di provider di identità: consente agli utenti appartenenti a una federazione interorganizzativa esistente, come la federazione SWITCHaai, di accedere con le credenziali supportate dalla federazione.
- Fare clic su Avanti.
- Se si seleziona Un provider di identità, attenersi alla seguente procedura:
- Fornisci il nome della tua organizzazione.
- Scegliere in che modo i membri con account di accesso SAML potranno accedere all'organizzazione ArcGIS Online: automaticamente o tramite invito. Con l'opzione automatica i membri possono accedere all'organizzazione effettuando l'accesso con il proprio account di accesso SAML. Se invece si sceglie l'opzione con invito, tramite ArcGIS Online vengono generati messaggi e-mail di invito che includono le istruzioni per iscriversi all'organizzazione. Se si sceglie l'opzione automatica, è sempre possibile invitare membri a unirsi all'organizzazione o aggiungerli direttamente utilizzando il loro ID SAML.
- Fornisci a ArcGIS Online le informazioni sui metadati sul tuo IdP specificando l'origine a cui accederà ArcGIS Online per ottenere le informazioni sui metadati relative all'IdP.
Sono tre le possibili origini di queste informazioni:
- Un URL: fornisci un URL che restituisce le informazioni sui metadati relative all'IdP.
- Un file: - carica un file contenente le informazioni sui metadati relative all'dP.
- Parametri specificati qui: inserisci direttamente le informazioni dei metadati sull'IdP fornendo i seguenti parametri:
- URL di accesso (reindirizzamento): indica l'URL dell'IdP (che supporta l'associazione di reindirizzamento HTTP) che sarà utilizzata da ArcGIS Online per consentire l'accesso a un membro.
- URL di accesso (POST): indica l'URL dell'IdP (che supporta l'associazione HTTP POST) che sarà utilizzato da ArcGIS Online per consentire l'accesso a un membro.
- Certificato: fornisci un certificato, codificato in formato BASE 64, per l'IdP. Si tratta del certificato che consente a ArcGIS Online di verificare la firma digitale nelle risposte SAML inviate dall'IdP.
Nota:
Per informazioni sull'origine delle informazioni dei metadati da specificare, contatta l'amministratore dell'IdP.
- Se si seleziona Una federazione di provider di identità, effettuare quanto segue:
- Fornisci il nome della tua federazione.
- Scegliere in che modo i membri con account di accesso SAML potranno accedere all'organizzazione ArcGIS Online: automaticamente o tramite invito. Con l'opzione automatica i membri possono accedere all'organizzazione effettuando l'accesso con il proprio account di accesso SAML. Se invece si sceglie l'opzione con invito, tramite ArcGIS Online vengono generati messaggi e-mail di invito che includono le istruzioni per iscriversi all'organizzazione. Se si sceglie l'opzione automatica, è sempre possibile invitare membri a unirsi all'organizzazione o aggiungerli direttamente utilizzando il loro ID SAML.
- Fornisci l'URL del servizio di rilevamento IdP centralizzato ospitato dalla federazione, ad esempio https://wayf.samplefederation.com/WAYF.
- Fornisci l'URL dei metadati della federazione, cioè un'aggregazione dei metadati di tutti gli IdP e SP che partecipano alla federazione.
- Copiare e incollare il certificato, codificato in formato Base64, che consente all’organizzazione di verificare la validità dei metadati di federazione.
- Fare clic su Mostra impostazioni avanzate per configurare le seguenti impostazioni avanzate, laddove applicabile:
- Consenti asserzione crittografata: abilita questa opzione per indicare all'IdP SAML che ArcGIS Online supporta le risposte di asserzione SAML crittografate. Quando questa opzione è abilitata, l'IdP crittografa la sezione dell'asserzione della risposta SAML. Tutto il traffico SAML verso e da ArcGIS Online è già crittografato dall'utilizzo di HTTPS, ma questa opzione aggiunge un altro layer di crittografia.
Nota:
Alcuni IdP non eseguono la crittografia delle asserzioni per impostazione predefinita. È preferibile chiedere all'amministratore dell'IdP di accertarsi che le asserzioni crittografate siano abilitate.
- Abilita richiesta firmata: abilita questa opzione se desideri che ArcGIS Online firmi la richiesta di autenticazione SAML inviata all'IdP. La firma della richiesta di accesso iniziale da parte di ArcGIS Online consente all'IdP di verificare che tutte le richieste di accesso derivino da un SP attendibile.
- Propaga disconnessione a provider di identità: abilita questa opzione se desideri che ArcGIS Online usi un URL di disconnessione per scollegarsi dall'IdP. Fornisci l'URL da utilizzare nell'impostazione URL di uscita. Se l'IdP richiede che l'URL di disconnessione sia firmato, anche l'opzione Abilita richiesta firmata deve essere attivata. Quando questa opzione non è disponibile, facendo clic su Disconnetti in ArcGIS Online si disconnette l'utente da ArcGIS Online ma non dall'IdP. Se la cache del browser web dell'utente non viene cancellata, il tentativo di riaccedere immediatamente a ArcGIS Online utilizzando l'opzione di accesso a SAML determinerà un accesso immediato senza dover fornire le credenziali utente all'IdP SAML. Questa è una vulnerabilità di protezione che può essere sfruttata quando si utilizza un computer facilmente accessibile ad utenti non autorizzati o al pubblico.
- Aggiorna profilo o accedi: abilita questa opzione per sincronizzare automaticamente le informazioni dell'account (nome completo e indirizzo e-mail) memorizzate nei profili utente di ArcGIS Online con le ultime informazioni sull'account ricevute dall'IdP. Abilitando questa opzione si consente all'organizzazione di verificare quando un utente accede con credenziali di accesso SAML, se le informazioni sull'IdP sono state modificate dopo la creazione dell'account e, in tal caso, aggiornare il profilo ArcGIS Online dell'utente.
- Abilita SAML basata sull'appartenenza al gruppo: abilita questa opzioni per consentire ai membri di collegare gruppi basati su SAML specifici a gruppi ArcGIS Online durante il processo di creazione del gruppo. Quando si abilita questa opzione, i membri dell'organizzazione con il privilegio di collegamento a gruppi SAML possono creare un gruppo ArcGIS Online la cui appartenenza è controllata da un gruppo SAML gestito da un IdP SAML esterno. Quando un gruppo è correttamente collegato a un gruppo esterno basato su SAML, l'appartenenza di ogni membro al gruppo è definita nella risposta di asserzione SAML ricevuta dall'IdP ogni volta che l'utente accede.
Per accertarti che il gruppo ArcGIS Online sia collegato correttamente al gruppo SAML esterno, il creatore del gruppo deve fornire il valore esatto del gruppo SAML esterno restituito nel valore dell'attributo dell'asserzione SAML. Visualizzare la risposta di asserzione SAML dall'IdP SAML per determinare il valore utilizzato per fare riferimento al gruppo. I nomi supportati, insensibili alle maiuscole/minuscole, per l'attributo che definisce l'appartenenza del gruppo di utenti sono:
- Gruppo
- Gruppi
- Ruolo
- Ruoli
- MemberOf
- member-of
- https://wso2.com/claims/role
- http://schemas.xmlsoap.org/claims/Group
- http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
- urn:oid:1.3.6.1.4.1.5923.1.5.1.1
- urn:oid:2.16.840.1.113719.1.1.4.1.25
Ad esempio, un utente che accede è un membro dei gruppi SAML FullTimeEmployees e GIS Faculty. Nell'asserzione SAML ricevuta dall'IdP, come mostrato di seguito, il nome dell'attributo che contiene informazioni sul gruppo è MemberOf. In questo esempio, per creare un gruppo collegato al gruppo SAML GIS Faculty, il creatore del gruppo deve digitare GIS Faculty come nome del gruppo.
<saml2p:Response> ... ... <saml2:Assertion> ... ... <saml2:AttributeStatement> ... ... <saml2:Attribute Name="MemberOf"> <saml2:AttributeValue>FullTimeEmployees</saml2:AttributeValue> <saml2:AttributeValue>GIS Faculty</saml2:AttributeValue> </saml2:Attribute> </saml2:AttributeStatement> </saml2:Assertion> </saml2p:Response>
Il seguente è un altro esempio che usa i valori ID per identificare i gruppi:
<saml2p:Response> ... ... <saml2:Assertion> ... ... <saml2:AttributeStatement> ... ... <saml2:Attribute Name="urn:oid:2.16.840.1.113719.1.1.4.1.25" FriendlyName="groups"> <saml2:AttributeValue>GIDff63a68d51325b53153eeedd78cc498b</saml2:AttributeValue> <saml2:AttributeValue>GIDba5debd8d2f9bb7baf015af7b2c25440</saml2:AttributeValue> </saml2:Attribute> </saml2:AttributeStatement> </saml2:Assertion> </saml2p:Response>
- URL di uscita: se hai scelto Unico provider di identità in un passo precedente, indica l'URL dell'IdP da utilizzare per disconnettere l'utente collegato. Se questa proprietà è specificata nel file di metadati dell'IdP, viene impostato automaticamente.
- ID entità: aggiorna questo valore per utilizzare un nuovo ID entità per identificare in modo univoco la tua organizzazione ArcGIS Online per l'IdP SAML o la federazione SAML.
- Consenti asserzione crittografata: abilita questa opzione per indicare all'IdP SAML che ArcGIS Online supporta le risposte di asserzione SAML crittografate. Quando questa opzione è abilitata, l'IdP crittografa la sezione dell'asserzione della risposta SAML. Tutto il traffico SAML verso e da ArcGIS Online è già crittografato dall'utilizzo di HTTPS, ma questa opzione aggiunge un altro layer di crittografia.
- Al termine, fare clic su Salva.
- Per completare il processo di configurazione, stabilisci l'attendibilità nel servizio di rilevamento della federazione (se applicabile) e l'IdP registrando i metadati SP di ArcGIS Online.I metadati si possono ottenere in due modi:
- Fare clic su Scarica metadati del provider di servizi per scaricare il file di metadati per l'organizzazione.
- Apri l'URL dei file di metadati e salvalo come file .xml sul tuo computer. È possibile visualizzare e copiare l'URL nella finestra Modifica accesso SAML in Collegamento per scaricare metadati del provider di servizi.
I collegamenti alle istruzioni per la registrazione dei metadati SP con provider certificati sono disponibili nella sezione IdP SAML precedente. Se è stata selezionata l'opzione Una federazione di provider di identità, una volta scaricati i metadati SP, contattare gli amministratori della federazione SAML per le istruzioni su come integrare i metadati SP nel file dei metadati aggregati della federazione. Saranno anche necessarie istruzioni per registrare l'IDP con la federazione.
Modificare o rimuovere l'IdP di SAML
Una volta impostato un IdP SAML , è possibile aggiornare le impostazioni facendo clic su Configura accesso accanto all'IdP SAML registrato. Aggiornare le impostazioni nella finestra Modificare accesso SAML.
Per rimuovere l'IdP registrato, fai clic su Configura accesso accanto all'IdP e fai clic su Elimina accesso nella finestra Modifica accesso SAML. Dopo aver rimosso un IdP, è possibile configurare un nuovo IdP o una nuova federazione di IdP.
Procedure consigliate per la sicurezza SAML
Per abilitare le credenziali di accesso SAML, è possibile configurare ArcGIS Online come SP per l'IdP SAML. Per garantire la sicurezza, valuta le seguenti procedure consigliate.
Firmare digitalmente le richieste di accesso e disconnessione SAML e firmare la risposta delle asserzioni SAML
Le firme servono a garantire l'integrità dei messaggi SAML e costituiscono una protezione da attacchi MITM (Man-In-The-Middle). La firma digitale della richiesta SAML garantisce anche che la richiesta venga inviata da un SP attendibile, consentendo all'IdP di gestire meglio gli attacchi DOS (Denial-Of-Service). Attivare l'opzione Abilita richiesta firmata nelle impostazioni avanzate durante la configurazione degli accessi SAML.
Nota:
- Per abilitare le richieste firmate occorre che l'IdP venga aggiornato ogni volta che il certificato di firma usato dall'SP viene rinnovato o sostituito.
- Per abilitare le firmate occorre che l'SP (ArcGIS Online) venga aggiornato ogni volta che il certificato di firma utilizzato dall'IdP viene rinnovato o sostituito.
Configura l'IdP SAML per accedere alla risposta SAML per prevenire la modifica in transito della risposta di asserzione SAML.
Utilizzare l'endpoint HTTPS dell'IdP
Qualsiasi comunicazione tra SP, IdP e browser dell'utente inviata su qualsiasi rete interna o su Internet in formato non crittografato può essere intercettata da soggetti con intenzioni dolose. Se l'IdP SAML supporta HTTPS, si consiglia di utilizzare l'endpoint HTTPS per garantire la confidenzialità dei dati trasmessi durante gli accessi a SAML.
Crittografare la risposta delle asserzioni SAML
L'utilizzo di HTTPS per le comunicazioni SAML protegge i messaggi SAML inviati tra IdP e SP. Gli utenti collegati, tuttavia, possono comunque decodificare e visualizzare i messaggi SAML tramite browser web. L'abilitazione della crittografia delle risposte di asserzione evita che gli utenti visualizzino informazioni riservate o sensibili comunicate tra IdP e SP.
Nota:
L'abilitazione delle asserzioni crittografate richiede che l'IdP venga aggiornato ogni volta che il certificato di crittografia utilizzato dall'SP (ArcGIS Online) viene rinnovato o sostituito.
Gestire in maniera sicura il certificato di firma dell'IdP SAML
Si consiglia di configurare l'IdP SAML per l'uso di un certificato con una chiave di crittografia forte per firmare digitalmente la risposta di asserzione SAML. Se il certificato dell'IdP SAML viene rinnovato, è necessario aggiornare immediatamente l'organizzazione ArcGIS Online (la configurazione SAML) con il nuovo certificato per garantire che le credenziali di accesso SAML continuino a funzionare. Si consiglia di aggiornare il certificato IdP SAML quando l'organizzazione ArcGIS Online esegue la manutenzione pianifica.
Nota:
Il certificato utilizzato per la firma di richieste SAML e la crittografia della risposta di asserzione viene gestito da ArcGIS Online e rinnovato ogni anno.
Dopo aver ottenuto il nuovo certificato IdP codificato in formato BASE 64 dall'amministratore IdP SAML, procedi come segue per sostituire la configurazione delle credenzali di accesso SAML dell'organizzazione:
- Ottenere gli ultimi SAML metadati dall'amministratore IdP SAML.
- Accertati di aver eseguito l'accesso con un ruolo di amministratore o con un ruolo personalizzato con privilegi per configurare le impostazioni di sicurezza.
- Nella parte superiore della schermata del sito, fare clic su Organizzazione e scegliere la scheda Impostazioni.
- Fare clic su Protezione sul lato della pagina.
- Nella sezione Accessi fai clic su Configura accesso accanto al pulsante di commutazione Accesso SAML.
- Nella finestra Modificare accesso a SAML fare clic su File in Origine metadati per il Provider di identità aziendale.
- Fare clic su Scegli File, sfogliare e selezionare il nuovo file di metadati IdP ricevuto dall'amministratore IdPSAML.
- Fare clic su Salva per aggiornare la configurazione di accesso a ArcGIS Online SAML e utilizzare il nuovo certificato.