Conceptos de seguridad
En este tema
- Consideraciones de seguridad en el Geoportal
- Aseguramiento de metadatos
- Configuraciones de arquitectura
- Consideraciones para las comunicaciones de HTTPS
- Conceptos de cifrado
- Recursos de seguridad para los componentes del entorno del sistema del Geoportal
Consideraciones de seguridad en el Geoportal
Esta sección trata sobre los conceptos de seguridad que son específicos para el Geoportal. Los conceptos de seguridad predominantes para un sistema empresarial se pueden encontrar en la página Web de seguridad del Centro de recursos empresariales de Esri. Los temas principales que se tratarán en esta sección son:
Aseguramiento de metadatos
Una organización puede desear que los datos los puedan descubrir ciertos grupos de personas, pero que no los puedan descubrir otros grupos. El acceso a los registros de metadatos se puede configurar en el Geoportal al implementar una política de seguridad para el acceso a los metadatos. La política de acceso elegida por la organización que está llevando a cabo la implementación determinará si y cómo un publicador puede restringir el acceso a sus metadatos. IMPORTANTE: Restringir el acceso de los usuarios a los registros de metadatos solo restringe quién puede ver los metadatos. No determina el acceso que el usuario tiene a los datos reales o al recurso del servicio Web en sí. Para obtener más información sobre aseguramiento de los metadatos, consulte Cómo restringir el acceso a los metadatos.
Configuraciones de arquitectura
Otra forma de proteger su Geoportal es manejar el acceso a través de la arquitectura del sistema. A continuación se describen brevemente tres modelos.
- Geoportal público e interno, sin autenticación pública: Se implementan dos aplicaciones de web de geoportal y se conectan a la misma base de datos. Un Geoportal es público, se le deshabilita la autenticación de forma que los usuarios no puedan iniciar sesión y por lo tanto, proporciona la funcionalidad de búsqueda pero no las funciones de publicación. El otro Geoportal es interno a la organización y tiene configurada la autenticación. Estos usuarios registrados publican y administran el Geoportal y el contenido que está disponible para el público.
- Geoportal público e interno, con autenticación habilitada: Parecido al modelo anterior excepto porque el geoportal accesible al público admite usuarios registrados. Los usuarios que son publicadores y administradores tienen acceso al Geoportal interno.
- Geoportal público solamente, con autenticación habilitada: En este caso, un geoportal accesible al público está configurado con autenticación. Los usuarios anónimos pueden buscar en el catálogo y registrarse con el Geoportal. Los usuarios registrados pueden solicitar privilegios de publicación y cuando se les otorgan estos privilegios, publicar los metadatos en el Geoportal. Todos los usuarios buscan entre los metadatos publicados y aprobados.
Consideraciones para las comunicaciones de HTTPS
Protocolo de transferencia de hipertexto: (HTTPS) seguro es una variante del HTTP mejorado a través de un mecanismo de seguridad como una Capa de sockets seguros (SSL) o una conexión de Seguridad de la capa de transporte (TLS). Permite que el uso compartido de datos ocurra en Internet de forma protegida. El artículo Configuración de SSL proporciona una buena introducción a SSL y consideraciones para configurarlo en su sistema. Además de las configuraciones generales de SSL para su organización (consulte Recursos de seguridad para los componentes del entorno del sistema del Geoportal), no existen configuraciones especificas del Geoportal que sean necesarias, con excepción de referencias completas de la URL. Por ejemplo, si configura una aplicación del Visor de mapas para ejecutarlo desde el Geoportal bajo https, entonces se debe especificar correctamente en gpt.xml de manera que la URL incluya el prefijo https.
Conceptos de cifrado
Esta sección describe algunos conceptos importantes para el cifrado dentro del Geoportal.
Cifrado de contraseñas en el archivo gpt.xml
En el archivo gpt.xml, hay secciones en donde puede especificar si la contraseña es cifrada. Cuando el cifrado se establece como verdadero, se puede definir una contraseña cifrada en estas secciones. Para generar una contraseña cifrada para guardar contraseñas en gpt.xml, siga los pasos a continuación:
- Abra el Geoportal en un navegador
- Inicie sesión como un administrador
- Navegue a http://<machineName>/<GeoportalApplicationName>/catalog/identity/encryptPassword.page para visualizar la página Utilidad del cifrado de contraseñas
- Escriba su contraseña de admin en el cuadro contraseña
- Haga clic en el botón Cifrar. La contraseña cifrada aparece en el cuadro Valor cifrado
- Copie y pegue ese valor en su archivo gpt.xml en donde desea cifrar la contraseña
Cambiar la clave de cifrado
En la página Registrar un recurso en la red, es posible definir una conexión a otro catálogo que requiere un nombre de usuario y contraseña. Para proteger la seguridad de estos catálogos remotos, el Geoportal no almacenará la contraseña en texto claro en su base de datos y archivos de registro. En cambio, el Geoportal aplicará un algoritmo de cifrado para guardar la contraseña. Cuando el proceso de sincronización usa la información de la contraseña para conectarse al repositorio, éste descifra la contraseña. Debido que todas las instancias del Geoportal de uso inmediato usan la misma clave de cifrado, es importante cambiar el valor en la sección <encKey> del archivo gpt.xml de forma que las contraseñas cifradas no se puedan descifrar fácilmente.
Nota:
Si la clave de cifrado se cambia en cualquier momento, cualquier dato que se haya guardado en la base de datos y que se haya cifrado con la clave anterior, se volverá no válido. En ese caso, será necesario volver a generar los datos y volver a guardarlos en la base de datos para que correspondan con la nueva clave de cifrado. Por esta razón, se recomienda cambiar la clave de cifrado al inicio de la implementación del Geoportal y no cambiarla después.
- Abra el archivo gpt.xml desde la carpeta \\geoportal\WEB-INF\classes\gpt\config en un editor de texto.
- Desplácese a la etiqueta <identity y tome nota del valor de encKey
- Cambie este valor por una clave nueva. La clave puede ser una palabra simple
- Guarde el archivo y ciérrelo
Recursos de seguridad para los componentes del entorno del sistema del Geoportal
Debido a que el Geoportal se implementa en el contexto de otros productos de los que depende, es importante investigar las recomendaciones de seguridad de estas otras tecnologías subyacentes. A continuación encontrará algunos documentos útiles que se pueden utilizar como referencia:
- Recursos de Esri
- Recursos que no pertenecen a Esri
- Configuración de SSL con Tomcat 6.0: por lo general solo es necesaria si se utiliza Tomcat como servidor web independiente. Si se está ejecutando detrás de otro servidor Web (como Apache o IIS, como en el entorno del sistema recomendado del Geoportal), entonces la configuración de SSL se debe hacer en Apache o IIS y no en Tomcat.
- Cómo se configura un servicio HTTPS en IIS
- Cifrado SSL/TLS de Apache
- Cómo habilitar LDAP en SSL con una autoridad de certificación de terceros