El factor principal que se debe usar para determinar cómo configurar la seguridad en su ArcGIS Enterprise organización es el origen de los usuarios y, opcionalmente, los grupos. Este origen de los usuarios y los grupos se denomina almacén de identidades. Los usuarios y los grupos de dentro o fuera de la organización se administran a través del almacén de identidades.
- Descripción de los almacenes de identidades
- Configurar usuarios integrados con el almacén de identidades del portal
- Configurar inicios de sesión específicos de la organización con autenticación de nivel de web
- Configurar inicios de sesión específicos de organización con SAML
Descripción de los almacenes de identidades
El almacén de identidades del organización define dónde se almacenan las credenciales de las cuentas del portal, cómo se produce la autenticación y cómo se administra la pertenencia a grupos. La organización de ArcGIS Enterprise admite dos tipos de almacenes de identidades: integrados y específicos de la organización.
Almacén de identidades integrado
El portal de ArcGIS Enterprise se puede configurar para permitir a los miembros crear cuentas y grupos en el portal. Si está habilitado, puede usar el vínculo Crear una cuenta de la página Iniciar sesión del sitio web del portal para agregar una cuenta integrada en el portal y empezar a proporcionar contenido a la organización o a acceder a los recursos creados por otros miembros. Cuando se crean cuentas y grupos en el portal de esta forma, se utiliza el almacén de identidades integrado, que realiza la autenticación y almacena los nombres, las contraseñas y los roles de los usuarios de las cuentas del portal, así como la pertenencia a grupos.
Debe usar el almacén de identidades integrado para crear la cuenta de administrador inicial de la organización, pero podrá cambiar más adelante a un almacén de identidades específico de la organización. El almacén de identidades integrado resulta útil para poner en marcha el portal y también para el desarrollo y las pruebas. Sin embargo, los entornos de producción utilizan normalmente almacenes de identidad específicos de la organización.
Nota:
Si necesita revertir de un almacén de identidades específico de la organización a un almacén de identidades integrado, puede hacerlo eliminando cualquier información de los cuadros de texto Configuración de almacén de usuarios y Configuración de almacén de grupos de la página Actualizar almacén de identidades del Directorio de administrador del portal. Para obtener más información, consulte la documentación de API REST de ArcGIS.
Almacén de identidades específico de la organización
ArcGIS Enterprise se ha diseñado de modo que se puedan usar las cuentas y los grupos específicos de la organización para controlar el acceso a la organización de ArcGIS. Por ejemplo, puede controlar el acceso al portal usando las credenciales del servidor Lightweight Directory Access Protocol (LDAP), el servidor Active Directory y los proveedores de identidades que admiten el inicio de sesión único de navegador web de Security Assertion Markup Language (SAML) 2.0. Este proceso se describe en la documentación como configuración de inicios de sesión específicos de la organización.
La ventaja de esta estrategia es que no necesita crear cuentas adicionales en el portal. Los miembros utilizan el inicio de sesión que ya se ha definido en el almacén de identidades específico de la organización. La administración de las credenciales de la cuenta, incluidas las políticas de complejidad y caducidad de las contraseñas, es totalmente externa al portal. Esto posibilita una experiencia de inicio de sesión único para que los usuarios no tengan que volver a introducir sus credenciales.
Del mismo modo, puede crear grupos en el portal que utilicen los grupos de Active Directory, LDAP o SAML existentes en su almacén de identidades. Asimismo, se pueden agregar en masa cuentas específicas de la organización desde los grupos de Active Directory, LDAP o SAML de su organización. Cuando los miembros inician sesión en el portal, el acceso al contenido, los elementos y los datos se controla por medio de las reglas de pertenencia definidas en el grupo de Active Directory, LDAP o SAML. La administración de la pertenencia a grupos es totalmente externa al portal.
Por ejemplo, una práctica recomendada es deshabilitar el acceso anónimo a su portal, conectar su portal a los grupos de Active Directory, LDAP o SAML deseados de su organización y agregar las cuentas específicas de la organización en función de esos grupos. De esta manera, restringe el acceso al portal en función de grupos de Active Directory, LDAP o SAML específicos de su organización.
Utilice un almacén de identidades específico de la organización si su organización desea definir políticas para la caducidad y complejidad de las contraseñas, controlar el acceso mediante grupos de Active Directory, LDAP o SAML existentes o utilizar la autenticación de Autenticación integrada de Windows (IWA) o de certificado de cliente basada en la infraestructura de clave pública (PKI). La autenticación se puede gestionar en el nivel web (usando la autenticación de nivel web), en el nivel de portal (usando la autenticación a nivel de portal), o a través de un proveedor de identidad externo (con SAML).
Al usar un almacén de identidades de Active Directory, ArcGIS Enterprise admite la autenticación desde varios dominios con un solo bosque, pero no proporciona autenticación entre bosques. Para admitir usuarios específicos de organizaciones desde varios bosques, es necesario un proveedor de identidad SAML.
Compatibilidad con varios almacenes de identidades
Con SAML 2.0, puede permitir el acceso al portal usando varios almacenes de identidades. Los usuarios pueden iniciar sesión con cuentas integradas y cuentas administradas en varios proveedores de identidades compatibles con SAML configurados para confiar los unos en los otros. Esta es una buena forma de administrar usuarios que pueden residir dentro o fuera de la organización. Para obtener información detallada, consulte Configurar un proveedor de identidad compatible con SAML con el portal.
Configurar usuarios y grupos integrados con el almacén de identidades del portal
No se necesitan pasos para configurar el portal al utilizar usuarios y grupos integrados. El portal está listo para ellos en cuanto se instala el software. Si trabaja con usuarios específicos de la organización, consulte las siguientes secciones y los vínculos relacionados para obtener más información.
Configurar inicios de sesión específicos de organización
Los siguientes proveedores de identidades específicos de la organización se pueden configurar con el portal. La autenticación se puede gestionar en el nivel web (usando ArcGIS Web Adaptor) o en el nivel de portal.
Autenticación en nivel web
Si el portal se ejecuta en un servidor de Windows y se ha configurado Windows Active Directory, puede usar la Autenticación integrada de Windows para establecer conexión con el portal. De este modo, los usuarios del portal podrán iniciar sesión una sola vez o de forma automática por medio de la autenticación de nivel web. Para usar la autenticación de Windows, Web Adaptor se debe implementar en el servidor web IIS de Microsoft.
Si tiene un directorio LDAP, puede usarlo con el portal de ArcGIS Enterprise. Consulte Usar el portal con autenticación LDAP y de nivel web para obtener más información. Para usar LDAP, implemente Web Adaptor en un servidor de aplicaciones Java como Apache Tomcat, IBM WebSphere u Oracle WebLogic.
Si la organización tiene autenticación de certificado de cliente basada en PKI, puede usar certificados para autenticar la comunicación con el portal mediante HTTPS. Para autenticar usuarios se puede optar por utilizar Windows Active Directory o Lightweight Directory Access Protocol (LDAP). Para usar la autenticación de Windows, Web Adaptor se debe implementar en el servidor web IIS de Microsoft. Si desea utilizar usuarios LDAP, Web Adaptor se debe implementar en un servidor de aplicaciones Java como Apache Tomcat, IBM WebSphere u Oracle WebLogic. No es posible habilitar el acceso anónimo en el portal con la autenticación de certificado de cliente.
Autenticación en el nivel del portal
Si desea permitir el acceso a su portal con los almacenes de identidades específicos de la organización e integrados sin usar SAML, puede utilizar la autenticación de nivel del portal. Esto es posible si se configura el portal con su almacén de identidades de Active Directory o LDAP y habilita el acceso anónimo en IIS o su servidor de aplicaciones Java. Cuando un usuario accede a la página de inicio de sesión del portal, podrá iniciar sesión usando credenciales específicas de la organización o credenciales integradas. Los usuarios específicos de la organización tendrán que introducir las credenciales de su cuenta cada vez que inicien sesión en el portal. El inicio de sesión automático o único no está disponible. Este tipo de autenticación también permite a los usuarios anónimos acceder a mapas u otros recursos del portal que se comparten con todo el mundo.
Al usar la autenticación de nivel de portal, los miembros iniciarán sesión con la siguiente sintaxis:
- En caso de utilizar el portal con su Active Directory, la sintaxis puede ser domain\username o username@domain. Independientemente de cómo inicie sesión el miembro, el nombre de usuario siempre se muestra como username@domain en el sitio web del portal.
- En caso de utilizar el portal con LDAP, la sintaxis siempre es username. Asimismo, en el sitio web del portal se muestra la cuenta en este formato.
Configurar inicios de sesión específicos de organización con SAML
El portal de ArcGIS Enterprise admite todos los proveedores de identidad compatibles con SAML. Para obtener más información, consulte Configurar un proveedor de identidad compatible con SAML en su portal.
Política de bloqueo de cuentas
A menudo los sistemas de software aplican una política de bloqueo de cuentas como protección frente a intentos masivos de adivinar automáticamente la contraseña de un usuario. Si un usuario intenta iniciar sesión sin éxito varias veces en un intervalo de tiempo específico, se le puede impedir que siga intentándolo durante un periodo de tiempo designado. Estas políticas se deben sopesar frente a la realidad de que, a veces, los usuarios olvidan su nombre de usuario y su contraseña y no logran iniciar sesión correctamente.
La política de bloqueo obligatorio del portal depende del tipo de almacén de identidades que se utilice:
Almacén de identidades integrado
El almacén de identidades integrado bloquea a un usuario tras cinco intentos no válidos consecutivos. El bloqueo dura 15 minutos. Esta política se aplica a todas las cuentas del almacén de identidades, incluida la cuenta de administrador inicial. Esta política no se puede modificar ni sustituir.
Almacén de identidades específico de la organización
Cuando se usa un almacén de identidades específico de la organización, la política de bloqueo de la cuenta se hereda del almacén. En algunos casos, se puede cambiar la política de bloqueo de las cuentas para el almacén. Consulte la documentación específica del tipo de almacén para ver cómo se cambia la política de bloqueos de las cuentas.
Monitorizar los intentos fallidos de inicio de sesión
Puede monitorizar los intentos fallidos de inicio de sesión mostrando los registros del portal en el Directorio del portal. Todos los intentos fallidos dan como resultado un mensaje a nivel de advertencia indicando que el usuario no ha podido iniciar sesión debido a una combinación incorrecta de nombre de usuario y contraseña. Si el usuario supera el número máximo de intentos de inicio de sesión, se registra un mensaje de nivel grave que indica que la cuenta se ha bloqueado. Realizar un seguimiento de los registros del portal para localizar los intentos fallidos de inicio de sesión ayuda a determinar si se está realizando un posible ataque para determinar contraseñas en el sistema.
Para obtener más información, consulte la sección sobre cómo trabajar con registros del portal.