Configurar logins do SAML

A configuração de logins específicos da organização, como logins do SAML (anteriormente conhecidos como logins enterprise), permite que os membros da sua organização entrem no ArcGIS Online utilizando os mesmos logins utilizados para acessar os sistemas internos da sua organização. A vantagem de configurar logins específicos da organização utilizando esta abordagem é que membros não precisam criar logins adicionais dentro do sistema do ArcGIS Online ; pelo contrário, eles podem utilizar o login que já está configurado com a organização. Quando os membros entram noArcGIS Online, eles fornecem o nome de usuário e senha específicos da organização diretamente no seu gerenciador de login da organização, também conhecido como seu provedor de identidade da organização (IdP). Na verificação das credenciais do membro, o IdP informa ao ArcGIS Online da identidade verificada do membro que está entrando.

O ArcGIS Online suporta SAML 2.0 para configuração de logins do SAML . SAML é um padrão aberto para troca segura de dados de autenticação e autorização entre um IdP (sua organização) e um provedor de serviços (SP). Neste caso, ArcGIS Online está em conformidade com o protocolo 2.0 SAML e integra-se com IdPs que suportam SAML 2.0, como Active Directory Federation Services (AD FS), Google Workspace e Okta.

Você pode configurar a página de registro do ArcGIS Online para mostrar somente o login do SAML ou mostrar o login do SAML junto com quaisquer das seguintes opções: login do ArcGIS, login do OpenID Connect (se configurado) e logins sociais (se configurado).

Para assegurar que seus logins do SAML estejam configurados com segurança, revise as melhores práticas para segurança do SAML .

Na maioria das situações, as organizações definem seus logins do SAML utilizando um IdP único. Este IdP autentica usuários acessando recursos seguros que são hospedados através de provedores de serviços múltiplos. O IdP e todos os provedores de serviços são gerenciados pela mesma organização.

Anotação:

Quando uma nova versão do registro e certificado de criptografia do ArcGIS OnlineSAML estiver disponível, os administradores deverão atualizar para o novo certificado.

Outro caminho para autenticar usuários com logins do SAML é configurar sua organização para utilizar uma federação baseada em SAML de IdPs. Em uma federação baseada em SAML entre múltiplas organizações, cada organização do membro continua a utilizar seu próprio IdP mas configura um ou mais de seus SPs para trabalhar exclusivamente dentro da federação. Para acessar um recurso protegido compartilhado na federação, um usuário autentica sua identidade com o IDP da sua organização de origem. Após autenticado com sucesso, esta identidade validada é apresentada para o SP que hospeda o recurso seguro. O SP então concede o acesso ao recurso após verificar os privilégios de acesso do usuário.

Experiência de registro do SAML

O ArcGIS Online suporta logins do SAML iniciados do SP e logins do SAML iniciados do IDP. A experiência de registro é diferente para cada provedor.

Logins iniciados do SP

Com logins iniciados do SP, os membros acessam seu site da web do ArcGIS Online diretamente e visualizam opções para entrar utilizando seu login SP do SAML ou seu login do ArcGIS. Se o membro selecionar a opção do SP, eles serão redirecionados para uma página da web (conhecida como gerenciador de login enterprise) onde eles serão avisados para fornecer seu nome de usuário e senha do SAML. Na verificação das credenciais do membro, o IdP informa ao ArcGIS Online da identidade verificada do membro que está entrando e o membro é redirecionado de volta para seu site da web do ArcGIS Online.

Se o membro escolher a opção do ArcGIS, a página de registro do ArcGIS Online aparecerá. O membro pode então fornecer seu nome de usuário e senha do ArcGIS para acessar o site da web.

Logins iniciados do IdP

Com logins iniciados do IdP, os membros acessam diretamente seu gerenciador de login da organização e entram com sua conta. Quando o membro envia suas informações de conta, o IdP envia a resposta do SAML diretamente no ArcGIS Online. O membro é então registrado e redirecionado para seu site da web do ArcGIS Online onde podem imediatamente acessar os recursos sem ter que entrar na organização novamente.

A opção para entrar utilizando uma conta do ArcGIS diretamente do gerenciador de login não está disponível com logins do IdP. Para entrar no ArcGIS Online com contas do ArcGIS, os membros devem acessar o site da web do ArcGIS Online diretamente.

Configurar logins do SAML

O processo de configuração dos IdPs com ArcGIS Online está descrito abaixo. Antes de prosseguir, é recomendável entrar em contato com o administrador de seu IdP ou federação de IdPs para obter os parâmetros necessários para configuração. Por exemplo, se sua organização usa Microsoft Entra ID, o administrador responsável por isso é a pessoa a contactar para configurar ou habilitar SAML no lado IdP e obtenha os parâmetros necessários para configuração no lado do ArcGIS Online. Você também pode acessar e contribuir para a documentação detalhada de configuração do IDP de terceiros no repositório doArcGIS/idpGitHub.

  1. Confirme se você está conectado como administrador ou papel personalizado com privilégios para definir as configurações de segurança.
  2. No parte superior do site, clique em Organização e clique na guia Configurações.
  3. Se você planejar permitir que os membros participem automaticamente, defina as configurações padrão para novos membros primeiro. Se necessário, você pode alterar estas configurações para membros específicos após eles participarem da organização.
    1. Clique em Novos padrões do membro no lado da página.
    2. Selecione o tipo de usuário padrão e papel para novos membros.
    3. Selecione as licenças complementares para atribuir aos membros automaticamente quando eles participarem da organização.
    4. Selecione os grupos nos quais os membros serão adicionados quando eles participarem da organização.
    5. Se o orçamento de crédito for habilitado para organização, configure a alocação de crédito de cada novo membro para um número especificado de créditos ou nenhum limite.
    6. Opcionalmente, ative o acesso à Esri para novos membros.

      Um membro cuja conta tem acesso habilitado da Esri pode utilizar My Esri, realizar cursos de treinamento, participar de Esri Community, adicionar comentários ao ArcGIS Blog, e gerencie comunicações de e-mail da Esri. O membro não pode habilitar ou desabilitar seu próprio acesso para estes recursos da Esri .

  4. Clique em Segurança no lado da página.
  5. Na seção Logins , clique em Novo Login do SAML.
  6. Na janela que aparece, selecione um dos seguintes:
    • Um provedor de identidade—Permite que usuários entrem utilizando as credenciais do SAML existentes gerenciadas por sua organização. Esta é a configuração mais comum.
    • Uma federação de provedores de identidade—Permite que usuários pertencentes a uma federação interorganizacional existente, como a federação SWITCHaai, entrem com credenciais suportadas pela federação.
  7. Clique em Avançar.
  8. Se você selecionou Um provedor de identidade, faça o seguinte:
    1. Forneça o nome da sua organização.
    2. Escolha como membros com logins do SAML participarão da sua organização do ArcGIS Online : automaticamente ou por um convite. A opção automática permite que membros participem da organização ao entrarem com seu login do SAML. Com a opção de convite, você gera convites de e-mail pelo ArcGIS Online que incluem instruções sobre como participar da organização. Se você escolher a opção automática, você poderá ainda convidar membros para participar da organização ou adicioná-los diretamente utilizando seu ID do SAML.
    3. Forneça as informações de metadados ao ArcGIS Online sobre seu IdP especificando a fonte que o ArcGIS Online terá acesso para obter informações de metadados sobre o IdP.

      Há três opções possíveis para esta configuração:

      • Uma URL—Forneça uma URL que retorne informações de metadados sobre o IdP.
      • Um Arquivo—Transfira um arquivo que contenha informações de metadados sobre o IdP.
      • Parâmetros especificados aqui—Forneça diretamente as informações de metadados sobre o IDP fornecendo os seguintes parâmetros:
        • URL de Login (Redirecionar)—Forneça a URL do IdP (que dá suporte à vinculação de redirecionamento HTTP) que o ArcGIS Online utilizará para permitir que um membro entre.
        • URL de Login (POST)—Forneça a URL do IDP (que oferece suporte à associação HTTP POST) que o ArcGIS Online utilizará para permitir que um membro entre.
        • Certificado—Forneça o certificado, codificado no formato BASE 64, para o IDP. Este é o certificado que permite ao ArcGIS Online verificar a assinatura digital nas respostas de SAML enviadas para ele do IdP.

      Anotação:

      Entre em contato com o administrador do IdP se você precisar de ajuda para determinar qual a fonte de informações dos metadados você precisa fornecer.

  9. Se você selecionou Uma federação de provedores de identidade, faça o seguinte:
    1. Forneça o nome da sua federação.
    2. Escolha como membros com logins do SAML participarão da sua organização do ArcGIS Online : automaticamente ou por um convite. A opção automática permite que membros participem da organização ao entrarem com seu login do SAML. Com a opção de convite, você gera convites de e-mail pelo ArcGIS Online que incluem instruções sobre como participar da organização. Se você escolher a opção automática, você poderá ainda convidar membros para participar da organização ou adicioná-los diretamente utilizando seu ID do SAML.
    3. Forneça a URL para o serviço de descoberta de IdP centralizado hospedado pela federação —por exemplo, https://wayf.samplefederation.com/WAYF .
    4. Forneça a URL para os metadados da federação, que é uma agregação dos metadados de todos os IdPs e SPs que participam da federação.
    5. Copie e cole o certificado, codificado no formato Base64, que permite a organização verificar a validez dos metadados da federação.
  10. Clique em Mostrar configurações avançadas para configurar as configurações avançadas seguintes como aplicáveis:
    • Permitir Codificar Asserção—Habilitar esta opção para indicar ao IdP do SAML que o ArcGIS Online suporta respostas de asserção de SAML codificadas. Quando esta opção estiver habilitada, o IdP codificará a seção de asserção da resposta de SAML. Todo o tráfego de SAML para e do ArcGIS Online já é codificado pelo uso de HTTPS, mas esta opção adiciona outra camada de criptografia.
      Anotação:

      Alguns IdPs não criptografam asserções por padrão. É recomendável que você peça ao administrador do IdP para garantir que as asserções criptografadas estejam habilitadas.

    • Habilitar pedido registrado—Habilite esta opção para o ArcGIS Online registrtar o pedido de autenticação de SAML enviado ao IdP. O registro do pedido de login inicial enviado pelo ArcGIS Online permite ao IdP verificar se todos os pedidos de logins são originados de um SP confiável.
    • Propagar saída do Provedor de Identidade—Habilite esta opção para o ArcGIS Online utilizar a URL de saída para o usuário sair do IdP. Fornecá a URL para utilizar na configuração da URL de Saída. Se o IdP exigir que a URL de saída seja registrada, a opção Habilitar pedido registrado também precisará ser ativada. Quando esta opção estiver indisponível, clicar em Sair noArcGIS Online cancelará o registro de usuário do ArcGIS Online, mas não do IdP. Se o cache do navegador da web do usuário não estiver limpo, a tentativa de entrar novamente imediatamente no ArcGIS Online utilizando a opção de login do SAML resultará em um login imediato sem precisar fornecer credenciais de usuário ao provedor IdP do SAML. Esta é uma vulnerabilidade de segurança que pode ser explorada ao utilizar um computador que é facilmente acessível aos usuários sem autorizações ou ao público geral.
    • Atualizar perfis ao registrar—Habilite esta opção para sincronizar automaticamente as informações da conta (nome completo e endereço de e-mail) armazenadas em perfis de usuários do ArcGIS Online com as últimas informações da conta recebidas do IdP. Habilitar esta opção permite que a sua organização verifique, quando um usuário entra com um login do SAML, se as informações do IdP foram alteradas desde a criação da conta e, em caso afirmativo, para atualizar o perfil da conta de usuário do ArcGIS Online consequentemente.
    • Habilitar associação de grupo baseado em SAML—Habilite esta opção para permitir que os membros da organização vinculem-se a grupos baseados em SAML específicos para grupos do ArcGIS Online durante o processo de criação do grupo. Quando você habilitar esta opção, os membros da organização com o privilégio de vincular a grupos do SAML terão a opção de criar um grupo do ArcGIS Online cuja associação é controlada por um grupo do SAML gerenciado por um IdP do SAML externo. Após um grupo ser vinculado com sucesso a um grupo baseado em SAML externo, cada associação do usuário no grupo será definida na resposta da asserção de SAML recebida a partir do IDP toda vez que o usuário registrar.

      Para garantir que o grupo do ArcGIS Online esteja vinculado com sucesso ao grupo do SAML externo, o criador do grupo deve fornecer o valor exato do grupo do SAML externo, retornado como o valor de atributo na asserção de SAML. Visualize a resposta da asserção de SAML a partir do seu IDP de SAML para determinar o valor usado para fazer referência ao grupo. Os nomes suportados, que não diferenciam maiúsculas de minúsculas, para o atributo que define a associação de grupo de um usuário são os seguintes:

      • Grupo
      • Grupos
      • Papel
      • Papéis
      • Membros do
      • Membro do
      • https://wso2.com/claims/role
      • http://schemas.xmlsoap.org/claims/Group
      • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
      • urn:oid:1.3.6.1.4.1.5923.1.5.1.1
      • urn:oid:2.16.840.1.113719.1.1.4.1.25

      Por exemplo, um usuário que efetua login é membro dos grupos SAML FullTimeEmployees e GIS Faculty. Na asserção de SAML recebida do IDP, conforme mostrado abaixo, o nome do atributo que contém informações do grupo é MemberOf. Neste exemplo, para criar um grupo vinculado ao grupo SAML GIS Faculty, o criador do grupo deve digitar GIS Faculty como o nome do grupo.

      <saml2p:Response>
        ...
        ...
        <saml2:Assertion>
            ...
            ...	  
            <saml2:AttributeStatement>
              ...
              ...	  
              <saml2:Attribute Name="MemberOf">
        	      <saml2:AttributeValue>FullTimeEmployees</saml2:AttributeValue>
      	      <saml2:AttributeValue>GIS Faculty</saml2:AttributeValue>
              </saml2:Attribute>	  
          </saml2:AttributeStatement>
        </saml2:Assertion>
      </saml2p:Response>

      A seguir está outro exemplo de uso de valores de ID para identificar os grupos:

      <saml2p:Response>
        ...
        ...
        <saml2:Assertion>
            ...
            ...	  
            <saml2:AttributeStatement>
              ...
              ...	  
              <saml2:Attribute Name="urn:oid:2.16.840.1.113719.1.1.4.1.25" FriendlyName="groups">
        	      <saml2:AttributeValue>GIDff63a68d51325b53153eeedd78cc498b</saml2:AttributeValue>
      	      <saml2:AttributeValue>GIDba5debd8d2f9bb7baf015af7b2c25440</saml2:AttributeValue>
              </saml2:Attribute>	  
          </saml2:AttributeStatement>
        </saml2:Assertion>
      </saml2p:Response>

    • URL de Saída—Se você escolher Um provedor de identidade em uma etapa anterior, forneça a URL do IdP para utilizar para sair do usuário registrado atualmente. Se esta propriedade for especificada no arquivo de metadados do DdP, ele será configurado automaticamente.
    • ID de identidade—Atualize este valor para utilizar um novo ID de identidade exclusivamente para identificar sua organização do ArcGIS Online no IdP do SAML ou na federação de SAML.
  11. Quando concluído, clique em Salvar.
  12. Para concluir o processo de configuração, estabeleça confiança com o serviço de descoberta da federação (se aplicável) e seu IdP registrando os metadados SP do ArcGIS Online com eles.
    Há duas maneiras de obter estes metadados:
    • Clique em Baixar metadados do provedor de serviço para baixar o arquivo de metadados para sua organização.
    • Abra a URL do arquivo de metadados e salve-o como um arquivo .xml em seu computador. Você pode visualizar e copiar a URL na janela Editar login de SAML em Link para baixar metadados de provedor de serviço.

    Links para instruções sobre registrar os metadados SP com provedores certificados estão disponíveis na seção SAML do IdPs acima. Se você selecionou Uma federação de provedores de identidade, após baixar os metadados SP, entre em contato com os administradores da federação de SAML para obter instruções sobre como integrar seus metadados SP ao arquivo de metadados agregado da federação. Você também precisará de instruções deles para registrar seu IdP com a federação.

Modificar ou remover o IdP do SAML

Ao configurar um IdP de SAML, é possível atualizar as configurações clicando em Configurar login ao lado do IdP de SAML atualmente registrado. Atualize as configurações na janela Editar login de SAML.

Para remover o IDP registrado atualmente, clique em Confgurar login ao lado do IdP e clique em Excluir login na janela Editar login de SAML. Após remover o IdP, opcionalmente será possível instalar um novo IdP ou federação de IdPs.

Melhores práticas para segurança do SAML

Para habilitar logins SAML, você pode configurar o ArcGIS Online como um SP para seu IdP SAML. Para garantir a segurança, considere as seguintes práticas recomendadas.

Registre digitalmente oos pedidos de login e logout de SAML e registre a resposta de asserção do SAML

As assinaturas são usadas para garantir a integridade das mensagens SAML e são uma proteção contra ataques man-in-the-middle (MITM). A assinatura digital da solicitação SAML também garante que a solicitação seja enviada por um SP confiável, permitindo que o IdP lide melhor com ataques de negação de serviço (DOS). Ative a opção Habilitar pedido registrado em configurações avançadas ao configurar logins do SAML .

Anotação:

  • Habilitar pedidos registrados requer o IdP para ser atualizado sempre que o certificado de registro utilizado pelo SP é renovado ou substituído.
  • Habilitar pedidos registrados requer o SP do (ArcGIS Online) a ser atualizado sempre que o certificado de registro utilizado pelo IdP é renovado ou substituído.

Configure o IdP do SAML para registrar a resposta de SAML para evitar a alteração em trânsito da resposta de asserção do SAML.

Utilize o ponto final de HTTPS do IdP

Qualquer comunicação entre o SP, o IdP e o navegador do usuário que é enviado por uma rede interna ou internet em um formato não codificado pode ser interceptado por um usuário malicioso. Se o seu IdP do SAML suportar HTTPS, é recomendado que você utilize o parâmetro de HTTPS para assegurar a confidencialidade dos dados transmitidos durante logins do SAML.

Codificar uma resposta da asserção de SAML

A utilização de HTTPS para comunicação de SAMLgarante as mensagens de SAML enviadas entre IdP e SP. Entretanto, usuários registrados podem ainda decodificar e visualizar as mensagens de SAML pelo navegador da web. Habilitar a criptografia da resposta de asserção evita os usuários de visualizar informações sensíveis ou confidenciais transmitidas entre o IdP e SP.

Anotação:

Habilitar asserções codificadas exige que o IDP seja atualizado sempre que o certificado de criptografia utilizado pelo SP (ArcGIS Online) for renovado ou substituído.

Gerencie com segurança o certificado de assinatura do IdP SAML

É recomendável que você configure seu IdP SAML para usar um certificado com uma chave criptográfica forte para assinar digitalmente a resposta de declaração SAML. Se o certificado de IdPSAML for renovado, você deverá atualizar imediatamente a configuração de sua organização do ArcGIS Online SAML com o novo certificado para garantir que os logins SAML continuem funcionando. É recomendável que você atualize o certificado IdP SAML quando sua organização do ArcGIS Online está passando por manutenção programada.

Anotação:

O certificado usado para assinar solicitações SAML e criptografar a resposta de asserção é gerenciado pelo ArcGIS Online e renovado anualmente.

Após obter o novo certificado de IdP codificado no formato BASE 64 de seu administrador de IdP SAML, faça o seguinte para substituir o certificado pela configuração de login da sua organização SAML:

  1. Obtenha os metadados de IdP do SAML mais recentes a partir do seu administrador de IdP do SAML.
  2. Confirme se você está conectado como administrador ou papel personalizado com privilégios para definir as configurações de segurança.
  3. No parte superior do site, clique em Organização e clique na guia Configurações.
  4. Clique em Segurança no lado da página.
  5. Na seção Logins, clique em Configurar login ao lado do botão de alternar Login SAML.
  6. Na janela Editar login do SAML, clique em Arquivo em Origem de metadados para Provedor de Identidade Enterprise.
  7. Clique em Escolher Arquivo e procure e selecione o novo arquivo de metadados do IdP recebido do administrador de IdP do SAML.
  8. Clique em Salvar para atualizar a configuração de login do SAMLArcGIS Online para usar o novo certificado.