Uno de los aspectos clave de planificar una implementación de Portal for ArcGIS es decidir cómo se van a administrar las cuentas que tendrán acceso al portal y qué privilegios se van a conceder a esas cuentas. Determinar cómo se van a administrar las cuentas pasa por elegir un almacén de identidades.
Descripción de los almacenes de identidades
El almacén de identidades del portal define dónde se almacenan las credenciales de las cuentas del portal, cómo se produce la autenticación y cómo se administra la pertenencia a grupos. Portal for ArcGIS admite dos tipos de almacenes de identidades: integrados y corporativos.
Almacén de identidades integrado
Portal for ArcGIS está preconfigurado para que pueda crear cuentas y grupos fácilmente en el portal. Puede usar el vínculo Crear una cuenta de la página de inicio del sitio web del portal para agregar una cuenta integrada en el portal y empezar a proporcionar contenido a la organización o a acceder a los recursos creados por otros miembros. También puede hacer clic en la pestaña Grupos de la página de inicio del sitio web del portal y crear un grupo para administrar elementos. Cuando se crean cuentas y grupos en el portal de esta forma, se utiliza el almacén de identidades integrado, que realiza la autenticación y almacena los nombres, las contraseñas y los roles de los usuarios de las cuentas del portal, así como la pertenencia a grupos.
Debe usar el almacén de identidades integrado para crear la cuenta de administrador inicial del portal, pero podrá cambiar más adelante a un almacén de identidades corporativo. El almacén de identidades integrado resulta útil para poner en marcha el portal y también para el desarrollo y las pruebas. Sin embargo, los entornos de producción utilizan normalmente almacenes de identidad corporativos.
Almacén de identidades corporativo
Portal for ArcGIS se ha diseñado de modo que se puedan usar las cuentas y los grupos corporativos para controlar el acceso a la organización de ArcGIS. Por ejemplo, puede controlar el acceso al portal usando las credenciales del servidor Lightweight Directory Access Protocol (LDAP), el servidor de Active Directory y los proveedores de identidades que admiten el inicio de sesión único en web de Security Assertion Markup Language (SAML) 2.0. Este proceso se describe en la documentación como configuración de inicios de sesión corporativos.
La ventaja de esta estrategia es que no necesita crear cuentas adicionales en el portal. Los miembros utilizan el inicio de sesión que ya se ha definido en el almacén de identidades corporativo. La administración de credenciales de la cuenta es totalmente externo a Portal for ArcGIS. De este modo, los usuarios solo tienen que iniciar sesión una vez y no se ven obligados a volver a introducir sus credenciales.
Del mismo modo, puede crear grupos en el portal aprovechando los grupos corporativos existentes en su almacén de identidades. Asimismo, pueden agregarse cuentas corporativas de forma masiva desde los grupos corporativos de su organización. Cuando los miembros inician sesión en el portal, el acceso al contenido, los elementos y los datos se controlan por medio de las reglas de pertenencia definidas en el grupo corporativo. La administración de la pertenencia a grupos es totalmente externa a Portal for ArcGIS.
Por ejemplo, una práctica recomendada es deshabilitar el acceso anónimo a su portal, conectar su portal a los grupos corporativos deseados de su organización y agregar las cuentas corporativas en función de esos grupos. De esta manera, restringe el acceso al portal en función de grupos corporativos específicos de su organización.
Utilice un almacén de identidades corporativo si la organización desea definir directivas sobre la caducidad y la complejidad de las contraseñas, controlar el acceso usando los grupos corporativos existentes o utilizar la autenticación de tipo autenticación de Windows integrada (IWA) o de infraestructura de clave pública (PKI). La autenticación se puede gestionar en el nivel web (usando la autenticación a nivel web), en el nivel del portal (usando la autenticación de nivel del portal) o a través de un proveedor externo de identidades (con SAML).
Compatibilidad con varios almacenes de identidades
Con SAML 2.0, puede permitir el acceso al portal usando varios almacenes de identidades. Los usuarios pueden iniciar sesión con cuentas integradas y cuentas administradas en varios proveedores de identidades compatibles con SAML configurados para confiar los unos en los otros. Esta es una buena forma de administrar usuarios que pueden residir dentro o fuera de la organización. Para obtener información detallada, consulte Configurar un proveedor de identidad compatible con SAML con el portal.
Descripción de los privilegios de acceso
Una vez que haya decidido cómo se administrarán las cuentas en Portal for ArcGIS, tiene que decidir qué privilegios desea que tengan los usuarios que acceden a la organización de ArcGIS. Los privilegios se definen indicando si el usuario que accede al portal forma parte de la organización de ArcGIS.
Los usuarios que accedan al portal sin una cuenta de organización de ArcGIS solo podrán buscar y utilizar elementos públicos. Por ejemplo, si un mapa web público está integrado en un sitio web, los usuarios que consulten el mapa estarán accediendo a un elemento del portal aunque no tengan una cuenta. Le corresponde a usted decidir si habilitar o no este tipo de acceso. Siempre puede deshabilitar el acceso para las personas que no pertenezcan a la organización de ArcGIS. Para aprender a hacerlo, consulte Deshabilitar el acceso anónimo.
Los usuarios pueden tener acceso al portal con privilegios elevados si son miembros de su organización de ArcGIS. Los miembros de su organización de ArcGIS se muestran en la página Organización del sitio web del portal. Los miembros de una organización están organizados por niveles de pertenencia que se corresponden con diversos roles que tienen privilegios diferentes. Para obtener más información sobre los distintos niveles de privilegios, consulte roles de organización.
Cuando se agrega al portal una nueva cuenta de organización de ArcGIS, dicha cuenta tiene asignado de manera predeterminada el rol de usuario. Sin embargo, el administrador del portal puede cambiar el rol en cualquier momento.
Administrar cuentas de organización de ArcGIS
Una cuenta de organización de ArcGIS es una cuenta de usuario que se ha agregado al panel de organización del sitio web del portal. En la documentación y en el sitio web del portal, normalmente se hace referencia a estos usuarios como miembros de la organización.
Como administrador, es importante que controle por completo no solamente los privilegios asignados a cada miembro de la organización de ArcGIS, sino también a quién se le permite ser miembro de esa organización.
El número máximo de cuentas de organización de ArcGIS del portal viene definido por el archivo de autorización empleado para activar el software. En cualquier momento, puede comparar el número total de miembros de su organización y el máximo permitido en la página Organización del sitio web del portal. En Miembros totales, Número actual se muestra una lista del número actual de miembros del portal y en Máximo permitido se muestra el total de miembros para los que el portal está autorizado.
Administrar cuentas cuando se usa el almacén integrado
Cuando se usa el almacén integrado, el sitio web del portal, de manera predeterminada, mostrará un vínculo que cualquier usuario puede utilizar para unirse a la organización de ArcGIS. Esto hace más sencillo que los usuarios se unan a su organización, pero no puede restringir realmente quién se une; cualquiera con acceso al portal puede crear una cuenta. Si desea más control, puede deshabilitar esta experiencia de autoservicio y abastecer su portal de forma masiva con un número predefinido de cuentas. Para obtener más información sobre la creación de cuentas de organización de ArcGIS de forma masiva, consulte Agregar miembros a un portal. También puede eliminar miembros del sitio web del portal o cambiar sus privilegios en cualquier momento.
Administrar cuentas cuando se usa un almacén de identidades corporativo
Portal for ArcGIS no le permitirá eliminar, editar ni crear cuentas nuevas en el almacén corporativo, pero puede registrar las cuentas corporativas existentes en su organización. Por esta razón, la página de registro del sitio web del portal no estará disponible cuando se configure el portal con un almacén de identidades corporativo.
Como administrador, normalmente seleccionará los inicios de sesión corporativos que desee agregar a la organización y los agregará de forma masiva. Para obtener más información sobre la creación de cuentas de organización de ArcGIS de forma masiva, consulte Agregar miembros a un portal. También puede eliminar miembros del sitio web del portal o cambiar sus privilegios en cualquier momento.
Como alternativa, puede agregar una cuenta corporativa que establezca conexión con el portal o con cualquiera de sus elementos de forma automática. Para obtener más información, consulte Registro automático de cuentas corporativas.
Es importante entender que cuando el portal se configura con un almacén de identidades corporativo, se deshabilita el acceso anónimo a la organización de ArcGIS; es decir, cualquier usuario que tenga acceso al portal debe autenticarse primero en el almacén corporativo. Una vez autenticado, los privilegios del usuario dependerán de si tiene o no una cuenta de organización de ArcGIS.
Legado:
En Portal for ArcGIS 10.2, las cuentas corporativas se registraban automáticamente como miembros de la organización. Esto significa que la organización puede haber sobrepasado involuntariamente el número máximo de miembros. Cuando se actualiza Portal for ArcGIS 10.2 a una versión posterior, se mantiene el comportamiento heredado: las cuentas se siguen registrando automáticamente de manera predeterminada. Por el contrario, las nuevas instalaciones de Portal for ArcGIS no permiten la creación automática de cuentas. Si ha actualizado el portal de la versión 10.2 a una versión posterior, puede plantearse desactivar este comportamiento para tener más control sobre los usuarios que se agregan como miembros en la organización. Para obtener instrucciones completas, consulte Registro automático de cuentas corporativas.
Política de bloqueo de cuentas
A menudo los sistemas de software aplican una política de bloqueo de cuentas como protección frente a intentos masivos de adivinar automáticamente la contraseña de un usuario. Si un usuario intenta iniciar sesión sin éxito varias veces en un intervalo de tiempo específico, se le puede impedir que siga intentándolo durante un periodo de tiempo designado. Estas políticas se deben sopesar frente a la realidad de que, a veces, los usuarios olvidan su nombre de usuario y su contraseña y no logran iniciar sesión correctamente.
La política de bloqueo aplicada por Portal for ArcGIS depende del tipo de almacén de identidades que se utilice:
Almacén de identidades integrado
El almacén de identidades integrado bloquea a un usuario tras diez intentos no válidos consecutivos. El bloqueo dura diez minutos. Esta política se aplica a todas las cuentas del almacén de identidades, incluida la cuenta de administrador inicial. Esta política no se puede modificar ni sustituir.
Almacén de identidades corporativo
Cuando se usa un almacén de identidades corporativo, la política de bloqueo de la cuenta se hereda del almacén. En algunos casos, se puede cambiar la política de bloqueo de las cuentas para el almacén. Consulte la documentación específica del tipo de almacén para ver cómo se cambia la política de bloqueos de las cuentas.