Skip To Content

Usar Windows Active Directory y PKI para proteger el acceso al portal

Si utiliza Windows Active Directory para autenticar a los usuarios, puede usar una infraestructura de clave pública (PKI) para proteger el acceso al portal.

Para usar la autenticación de Windows integrada y PKI, debe usar ArcGIS Web Adaptor (IIS) implementado en el servidor web IIS de Microsoft. No puede utilizar ArcGIS Web Adaptor (Java Platform) para llevar a cabo la autenticación de Windows integrada. Si no lo ha hecho todavía, instale y configure ArcGIS Web Adaptor (IIS) con el portal.

Nota:

Si va a agregar un sitio de ArcGIS Server a su portal y desea utilizar Windows Active Directory y PKI con el servidor, deberá desactivar la autenticación de certificado cliente basada en PKI en su sitio de ArcGIS Server y habilitar el acceso anónimo antes de agregarlo al portal. Aunque pueda parecer poco intuitivo, esto es necesario para que el sitio quede libre para federarlo con el portal y pueda leer los usuarios y los roles del portal. Si el sitio de ArcGIS Server no usa aún autenticación de certificado cliente basada en PKI, no debe hacer nada. Para obtener instrucciones sobre cómo agregar un servidor al portal, consulte Federar un sitio de ArcGIS Server con su portal.

Configurar su portal con Windows Active Directory

En primer lugar, configure el portal para utilizar SSL para todas las comunicaciones. A continuación, actualice el almacén de identidades del portal para utilizar usuarios y grupos de Active Directory de Windows.

Configure el portal para utilizar HTTPS para todas las comunicaciones.

  1. Inicie sesión en el sitio web del portal como administrador de la organización. La dirección URL tiene el formato https://webadaptorhost.domain.com/webadaptorname/home.
  2. En la página Organización, haga clic en Editar ajustes y, luego, en Seguridad.
  3. Active Permitir acceso al portal solo a través de HTTPS.
  4. Haga clic en Guardar para aplicar los cambios.

Actualizar el almacén de identidades del portal

  1. Inicie sesión en el Directorio de Portal for ArcGIS como administrador de su organización. La dirección URL tiene el formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Haga clic en Seguridad > Config > Actualizar almacén de identidad.
  3. En el cuadro de texto Configuración de almacén de usuario (en formato JSON), pegue la información de configuración de usuario de Windows Active Directory. Como opción, puede actualizar la siguiente muestra con información de usuario específica de su organización.

    {
      "type": "WINDOWS",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "mydomain\\winaccount",
        "userFullnameAttribute": "cn",
        "userEmailAttribute": "mail",
        "caseSensitive": "false"
      }
    }

    En la mayoría de los casos, solo deberá modificar valores para los parámetros userPassword y user. Aunque escriba la contraseña con texto no cifrado, esta se cifrará cuando haga clic en Actualizar configuración (más abajo). La cuenta que especifique para el parámetro de usuario solo necesita permisos para consultar la dirección de correo electrónico y el nombre completo de las cuentas de Windows en la red. Si es posible, especifique una cuenta cuya contraseña no caduque.

    En el caso poco común de que Windows Active Directory esté configurado para distinguir entre mayúsculas y minúsculas, defina el parámetro caseSensitive como true.

  4. Si desea crear grupos en el portal que utilicen los grupos corporativos existentes en el almacén de identidades, pegue la información de configuración del grupo Windows Active Directory de su organización (en formato JSON) en el cuadro de texto Configuración de almacén de grupo (en formato JSON) como se muestra a continuación. Como opción, puede actualizar la siguiente muestra con información de grupo específica de su organización. Si solo desea usar grupos integrados del portal, elimine la información del cuadro de texto y omita este paso.

    {
      "type": "WINDOWS",  "properties": {
        "isPasswordEncrypted": "false",    "userPassword": "secret",    "user": "mydomain\\winaccount"
      }
    }

    En la mayoría de los casos, solo deberá modificar valores para los parámetros userPassword y user. Aunque escriba la contraseña con texto no cifrado, esta se cifrará cuando haga clic en Actualizar configuración (más abajo). La cuenta que se especifica para el parámetro user solo necesita permiso para buscar los nombres de los grupos de Windows en la red. Si es posible, especifique una cuenta cuya contraseña no caduque.

  5. Haga clic en Actualizar configuración para guardar los cambios.
  6. Si ha configurado un portal de alta disponibilidad, reinicie cada equipo del portal. Consulte Detener e iniciar el portal para obtener instrucciones completas.

Agregar cuentas corporativas a su portal

De forma predeterminada, los usuarios corporativos pueden acceder al sitio web del portal. Sin embargo, solo pueden ver elementos que hayan sido compartidos con todos los usuarios de la organización. Esto se debe a que las cuentas corporativas no se han agregado al portal y no se les ha concedido privilegios de acceso.

Agregue cuentas a su portal por medio de uno de los siguientes métodos:

Se recomienda que designe al menos una cuenta corporativa como administrador de su portal. Para ello, elija el rol de Administrador al agregar la cuenta. Cuando tenga una cuenta de administrador del portal alternativa, puede asignar la cuenta de administrador inicial al rol Usuario o eliminar la cuenta. Consulte Acerca de la cuenta de administrador inicial para obtener más información.

Una vez que las cuentas se hayan agregado y haya completado los pasos siguientes, los usuarios podrán iniciar sesión en la organización y acceder al contenido.

Instalar y activar la autenticación de asignaciones de certificado de cliente de Active Directory

La asignación de certificado de cliente de Active Directory no está disponible en la instalación predeterminada de IIS. Primero debe instalar y habilitar la característica.

Instalar la autenticación de asignaciones de certificado de cliente de Active Directory

Las instrucciones para instalar esta característica varían según el sistema operativo.

Windows Server 2008/R2 y 2012/R2

  1. Abra Herramientas administrativas y haga clic en Administrador del servidor.
  2. En el panel jerárquico Administrador de servidores, expanda Roles y haga clic en Servidor web (IIS).
  3. Desplácese a la sección Servicios de función y haga clic en Agregar servicios de función.
  4. En la página Seleccionar servicios de función del Asistente Agregar servicios de función, seleccione Autenticación de asignaciones de certificado de cliente y haga clic en Siguiente.
  5. Haga clic en Instalar.

Windows 7, 8 y 8.1

  1. Abra el Panel de control y haga clic en Programas y características > Activar o desactivar las características de Windows.
  2. Expanda Servicios de Internet Information Server > Servicios World Wide Web > Seguridad y seleccione Autenticación de asignaciones de certificado de cliente.
  3. Haga clic en Aceptar.

Activar la autenticación de asignaciones de certificado de cliente de Active Directory

Después de instalar la asignación de certificado de cliente de Active Directory, habilite la característica siguiendo los pasos siguientes.

  1. Inicie el Administrador de servicios de Internet Information Server (IIS).
  2. En el nodo Conexiones, haga clic en el nombre de su servidor web.
  3. Haga doble clic en Autenticación en la ventana Vista Características.
  4. Compruebe que se muestra Autenticación de certificados de cliente de Active Directory. Si la característica no aparece o no está disponible, tal vez deba reiniciar su servidor web para completar la instalación de la función de autenticación de certificados de cliente de Active Directory.
  5. Haga doble clic en Autenticación de certificados de cliente de Active Directory y seleccione Habilitar en la ventana Acciones.

Se mostrará un mensaje que indica que es necesario activar SSL para usar la autenticación de certificados de cliente de Active Directory. Esto se aborda en la sección siguiente.

Configurar ArcGIS Web Adaptor para requerir certificados cliente y SSL

  1. Inicie el Administrador de servicios de Internet Information Server (IIS).
  2. Expanda el nodo Conexiones y seleccione el sitio de Web Adaptor.
  3. Haga doble clic en Autenticación en la ventana Vista Características.
  4. Deshabilite todas las formas de autenticación.
  5. Vuelva a seleccionar ArcGIS Web Adaptor en la lista Conexiones.
  6. Haga doble clic en Configuración de SSL.
  7. Active la opción Requerir SSL y elija la opción Requerir en Certificados de cliente.
  8. Haga clic en Aplicar para guardar los cambios.

Compruebe su acceso al portal utilizando Windows Active Directory y PKI

  1. Abra el sitio web del portal. La dirección URL tiene el formato https://webadaptorhost.domain.com/webadaptorname/home.
  2. Verifique que se le hayan solicitado las credenciales de seguridad y que puede acceder al sitio web.

Impedir que los usuarios creen sus propias cuentas integradas

Para evitar que las personas creen sus propias cuentas integradas, deshabilite el botón Crear una cuenta y la página de registro (signup.html) en el sitio web del portal para que los usuarios no puedan crear sus propias cuentas. Esto significa que todos los miembros inician sesión en el portal con sus credenciales corporativas y no pueden crearse cuentas de miembros innecesarias. Consulte Deshabilitar la capacidad de los usuarios de crear cuentas de portal integradas para obtener instrucciones completas.