Configurar Active Directory Federation Services 2.0

Puedes configurar Active Directory Federation Services 2.0 (AD FS) en el sistema operativo Microsoft Windows Server como tu proveedor de identidad para inicios de sesión corporativos en ArcGIS Online. El proceso de configuración consta de dos pasos: registrar tu proveedor de identidad corporativa en ArcGIS Online y registrar ArcGIS Online en el proveedor de identidad corporativa.

Paso 1: registrar AD FS como el proveedor de identidad corporativa en ArcGIS Online

Pasos:
  1. Verifica que has iniciado sesión y que eres administrador de tu organización.
  2. Haz clic en el botón Mi organización en la parte superior del sitio. De este modo se abrirá la página de tu organización.
  3. Haz clic en el botón Editar configuración.
  4. Haz clic en el vínculo Seguridad en el lado izquierdo de la página.
  5. En la sección Inicios de sesión corporativos, haz clic en el botón Definir proveedor de identidades.
  6. Introduce un nombre para el proveedor de identidad en la ventana que se abre.
  7. Proporciona la información de metadatos del proveedor de identidad con una de las tres opciones siguientes:
    • URL: elige esta opción si es posible acceder a la URL de los metadatos de la federación AD FS. Normalmente, es https://<adfs-server>/federationmetadata/2007-06/federationmetadata.xml.
    • Archivo: elige esta opción si no es posible acceder a la URL. Obtén una copia de este mismo archivo de AD FS y cárgalo en ArcGIS Online con la opción Archivo.
    • Parámetros: elige esta opción si no es posible acceder a la URL ni al archivo. Introduce manualmente los valores y proporciona los parámetros solicitados: URL de inicio de sesión, tipo de vinculación y certificado. Ponte en contacto con el administrador de AD FS para obtenerlos.

Paso 2: registrar ArcGIS Online como el proveedor de servicios de confianza en AD FS

Pasos:
  1. Abre la consola de administración de AD FS 2.0.
  2. Elige Grupos de partes que confían > Agregar grupo de partes que confían.
    Consola de administración de AD FS
  3. En Asistente para agregar grupo de partes que confían, haz clic en el botón Inicio.
    Bienvenido/a
  4. Para Seleccionar fuente de datos, elige una opción para obtener los datos de la parte que confía: importar desde una URL, importar desde un archivo o introducir manualmente. La URL y el archivo requieren que obtengas los metadatos de la organización. Si no tienes acceso a la URL o los archivos de metadatos, puedes introducir la información de forma manual. En algunos casos, la introducción manual de los datos puede ser la opción más sencilla.
    • Importar datos de la parte que confía publicados online o en una red local
      Importar datos desde una URL

      Esta opción utiliza los metadatos de la URL de tu organización de ArcGIS Online. La URL es https://<urlkey_for_org>.maps.arcgis.com/sharing/rest/portals/self/sp/metadata?token=<token>, por ejemplo, https://samltest.maps.arcgis.com/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY.

      Genera un token con https://www.arcgis.com/sharing/rest/generateToken. Tienes que generar un token utilizando HTTP POST mediante programación con formato de salida JSON. Para obtener más información, consulta Acerca de la API de REST ArcGIS.

    • Importar datos de la parte que confía desde un archivo.
      Importar desde un archivo

      Esta opción utiliza un archivo metadata.xml de tu organización de ArcGIS Online. Hay dos maneras de obtener un archivo XML de metadatos.

      Abre la URL de los metadatos de tu organización ArcGIS Online y guárdalos como un archivo XML en tu ordenador. La URL es https://<urlkey_for_org>.maps.arcgis.com/sharing/rest/portals/self/sp/metadata?token=<token>, por ejemplo, https://samltest.maps.arcgis.com/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Puedes generar un token con https://<urlkey_for_org>.maps.arcgis.com/sharing/rest/generateToken.

      Si lo prefieres, en la sección Seguridad de la página Editar ajustes de tu organización, haz clic en el botón Obtener proveedor de servicios. Así obtendrás los metadatos de tu organización que puedes guardar como un archivo XML en tu ordenador.

    • Introducir manualmente los datos de la parte que confía
      Introducir manualmente los datos

      Con esta opción, Asistente para agregar grupo de partes que confían abre ventanas adicionales para que introduzcas manualmente los datos. Estas se explican en los pasos 6 a 8 a continuación.

  5. Para Especificar nombre de la visualización, introduce el nombre de la visualización.
    Ejemplo de nombre de la visualización de la URL o la fuente de datos del archivo

    El nombre de visualización se utiliza para identificar la parte que confía en AD FS. No tiene ningún otro propósito. Debe definirse como ArcGIS u otro nombre de la organización en ArcGIS, como ArcGIS-SamlTest, por ejemplo.

    SugerenciaSugerencia:

    La imagen anterior muestra la ventana Especificar nombre de la visualización con los pasos para importar la fuente de datos desde una URL o un archivo. Si has optado por introducir manualmente la información de la fuente de datos, verás pasos adicionales en el lado izquierdo del asistente que se explican en los pasos 6 a 8 a continuación. Si has seleccionado URL o archivo, puedes ir directamente al paso 9.

  6. (Solo fuente de datos manual) Para Elegir perfil, elige Perfil AD FS 2.0.
    Elegir perfil
  7. (Solo fuente de datos manual) Para Configurar URL, marca la casilla situada junto a Habilitar compatibilidad para el protocolo SAML 2.0 WebSSO e introduce la URL del servicio SAML 2.0 SSO de la parte que confía.
    Configurar URL

    La URL de la parte que confía debe ser la URL donde AD FS envía la respuesta SAML después de autenticar el usuario. Debe ser una URL HTTPS: https://<urlkey_for_org>.maps.arcgis.com/sharing/rest/oauth2/saml/signin.

  8. (Solo fuente de datos manual) Para Configurar identificadores, introduce la URL del identificador del grupo de la parte que confía.
    Configurar identificadores

    Debe ser <urlkey_for_org>.maps.arcgis.com.

  9. Para Elegir reglas de autorización de emisión, elige Permitir que todos los usuarios accedan a esta parte que confía.
    Elegir reglas de autorización de emisión
    SugerenciaSugerencia:

    La imagen anterior muestra la ventana Elegir reglas de autorización de emisión con los pasos para importar la fuente de datos desde una URL o un archivo. Si has optado por introducir manualmente la información de la fuente de datos, verás pasos adicionales en el lado izquierdo del asistente.

  10. Para Listo para agregar grupo, revisa toda la configuración de la parte que confía y haz clic en Siguiente.
    Ejemplo de Listo para agregar grupo
    SugerenciaSugerencia:

    La URL de los metadatos solamente se rellena si optas por importar la fuente de datos desde una URL. La imagen a continuación muestra la ventana Listo para agregar grupo si has optado por introducir manualmente la información de la fuente de datos.

    Ejemplo de Listo para agregar grupo
  11. Para Finalizar, activa la casilla para abrir automáticamente el cuadro de diálogo Editar reglas de reclamación después de hacer clic en el botón Cerrar.
    Finalizar

    SugerenciaSugerencia:

    La imagen anterior muestra la ventana Finalizar con los pasos para importar la fuente de datos desde una URL o un archivo. Si has optado por introducir manualmente la información de la fuente de datos, verás pasos adicionales en el lado izquierdo del asistente.

  12. Para definir las reglas de reclamación, abre el asistente Editar reglas de reclamación y haz clic en Agregar regla.
    Editar reglas de reclamación
  13. En Seleccionar plantilla de regla, selecciona la plantilla Enviar atributos LDAP como reclamaciones para la regla de reclamación que deseas crear, y haz clic en Siguiente.
    Elegir tipo de regla
  14. En Configurar regla de reclamación, indica un nombre para la regla, como NameID, por ejemplo.
    Configurar regla de reclamación
    1. Para Almacén de atributos, selecciona Directorio activo.
    2. Para Asignación de atributos LDAP a los tipos de reclamación de salida, selecciona el atributo LDAP que contiene los nombres de usuarios (como Nombre-cuenta-SAM) para Atributo LDAP y NameID para Tipo de reclamación de salida.

      NotaNota:

      NameID es el atributo que debe enviar AD FS en la respuesta SAML para establecer la federación con el trabajo de ArcGIS. Cuando un usuario de IDP inicia una sesión, ArcGIS Online crea un usuario con el nombre de usuario NameID_<url_key_for_org> en su almacén de usuarios. Los caracteres permitidos para el valor enviado por el atributo NameID son alfanuméricos, _ (guión bajo), . (punto) y @ (arroba). Para los demás caracteres del nombre de usuario creado por ArcGIS Online, se agregará un carácter de escape con guión bajo.

  15. ArcGIS Online admite flujo de entrada de los atributos givenName y email address del inicio de sesión corporativo del proveedor de identidad corporativa a ArcGIS Online. Cuando un usuario inicia sesión utilizando un inicio de sesión corporativo y si ArcGIS Online recibe atributos con los nombres givenname y email o mail (en cualquier caso), ArcGIS Online rellena el nombre completo y la dirección de correo electrónico del usuario con los valores recibidos del proveedor de identidad.

    Sigue las siguientes instrucciones para editar las reglas de reclamación.

    Editar regla: reclamaciones por defecto
    • Bajo la columna Atributo LDAP, elige Mostrar nombre (o un atributo diferente de la lista de la segunda fila) para vincularlo a Nombre bajo la columna Tipo de reclamación de salida.
    • Bajo la columna Atributo LDAP, elige Dirección de correo electrónico para vincularla a Dirección de correo electrónico bajo la columna Tipo de reclamación de salida.

    Con esta reclamación, AD FS envía atributos con los nombres givenname y email a ArcGIS Online tras autenticar al usuario. ArcGIS Online utiliza los valores recibidos en los atributos givenname y email y rellena el nombre completo y la dirección de correo electrónico de la cuenta de usuario de ArcGIS Online.

    Se recomienda que transfieras la dirección de correo electrónico del proveedor de identidad corporativa a ArcGIS Online. Esto es de utilidad si el usuario se convierte posteriormente en administrador. Disponer de una dirección de correo electrónico en la cuenta permite al usuario recibir notificaciones sobre cualquier actividad administrativa y enviar invitaciones a otros usuarios para que se unan a la organización.

  16. Haz clic en Finalizar para finalizar la configuración del proveedor de identidad AD FS e incluir ArcGIS Online como parte que confía.
Copyright © 1995-2013 Esri. All rights reserved.
9/20/2013