Componentes de identidad: LDAP e inicio de sesión único—ArcGIS for INSPIRE

Componentes de identidad: LDAP e inicio de sesión único

El Geoportal implementa un patrón de autenticación basado en el contenedor Java estándar. El contenedor Java se configura para autenticarlo contra un almacén de identidad. Las solicitudes entrantes las procesa el contenedor y las credenciales se solicitan y autentican según sea necesario. Entonces, se proporciona la información sobre el usuario autenticado, según solicitud, a cada aplicación Web participante que se esté ejecutando en el contenedor. Esta información se proporciona como un objeto UserPrincipal, que normalmente tiene una credencial "nombre de usuario"; la credencial "contraseña" no se proporciona a las aplicaciones subyacentes.

Como mínimo, el Geoportal requiere acceso de lectura a un almacén de identidades de LDAP externo (Protocolo de acceso al directorio ligero). El almacén de identidades tiene información sobre usuarios y grupos. Un conjunto de funciones consultan el almacén de identidades (solamente lectura) para determinar los atributos asociados con un usuario (por ejemplo, dirección de correo electrónico), los grupos a los que pertenece el usuario y los grupos dentro del almacén. El acceso autorizado a una funcionalidad específica se basa en la pertenencia al grupo (es decir, rol), definido a continuación:

Administrador del geoportal: los miembros del grupo tienen acceso completo, incluyendo la capacidad de aprobar documentos de metadatos
Publicador del geoportal: los miembros del grupo pueden publicar documentos de metadatos y registrar sitios remotos para recolectar (haevesting)
RegisteredUser del geoportal: los miembros del grupo pueden guardar búsquedas y mapas para su uso posterior

Un conjunto de funciones editan el contenido del almacén de identidades. Estas funciones se relacionan a la administración de usuarios e incluyen: la capacidad de registrarse como miembro, administración del perfil del usuario (editar los atributos del usuario LDAP como la dirección de correo electrónico), cambiar contraseña y ¿olvidó la contraseña?. Estas funciones se pueden deshabilitar en el archivo de configuración gpt.xml en casos en los que una conexión editable para LDAP no está disponible o no se desea. El Geoportal implementa la comunicación LDAP por medio de una clase extensible, com.esri.Geoportal.framework.security.identity.ldap.LdapIdentityAdapter. Si es necesario, esta clase se puede invalidar para proporcionar el comportamiento propio. Sin embargo, en la mayoría de los casos la integración con el LDAP de una organización se puede configurar por medio de la sección <identity> del archivo gpt.xml sin cambiar las clases.

¿Algún comentario sobre este tema?