Skip To Content

Usar el portal con LDAP o Active Directory y la autenticación de nivel del portal

Puede proteger el acceso al portal mediante el Protocolo de acceso al directorio ligero (LDAP) o Windows Active Directory. Cuando se usa LDAP, los inicios de sesión se administran mediante el servidor LDAP de la organización. Cuando se usa Windows Active Directory, los inicios de sesión se administran mediante Microsoft Windows Active Directory. Una vez que haya actualizado el almacén de identidades del portal para LDAP o Active Directory, podrá configurar la autenticación en el nivel del portal.

Configure el portal para utilizar HTTPS para todas las comunicaciones.

De forma predeterminada, Portal for ArcGIS aplica HTTPS a todas las comunicaciones. Si ha cambiado anteriormente esta opción para permitir la comunicación tanto HTTP como HTTPS, debe reconfigurar el portal para que utilice solo la comunicación HTTPS siguiendo los pasos que aparecen a continuación:

  1. Inicie sesión en el sitio web del portal como administrador de su organización. La URL tiene el formato https://webadaptorhost.domain.com/webadaptorname/home.
  2. En la página Organización, haga clic en la pestaña Configuración y, a continuación, haga clic en Seguridad.
  3. Active Permitir acceso al portal solo a través de HTTPS.
  4. Haga clic en Guardar para aplicar los cambios.

Actualizar el almacén de identidades del portal

A continuación, actualice el almacén de identidades del portal para utilizar usuarios y grupos de LDAP o Active Directory.

Actualizar el almacén de identidades del portal usando LDAP

  1. Inicie sesión en ArcGIS Portal Directory como administrador de su organización. La URL tiene el formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Haga clic en Seguridad > Config > Actualizar almacén de identidad.
  3. En el cuadro de texto Configuración de almacén de usuario (en formato JSON), pegue la información de configuración de usuario de LDAP de su organización (en formato JSON). Como opción, puede actualizar la siguiente muestra con información de usuario específica de su organización.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "userFullnameAttribute": "cn",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
        "userEmailAttribute": "mail",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "uid"
      }
    }

    En la mayoría de los casos, solo deberá modificar valores para los parámetros user, userPassword y ldapURLForUsers. Su administrador de LDAP deberá proporcionar la URL a LDAP.

    En el ejemplo anterior, la dirección URL de LDAP hace referencia a los usuarios dentro de un OU específico (ou=usuarios). Si hay usuarios en varios OU, la dirección URL de LDAP puede apuntar a un nivel de OU más alto o incluso al nivel de raíz si es necesario. En ese caso, la dirección URL tendría el siguiente aspecto:

    "ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",

    La cuenta que utilice para el parámetro de usuario solo necesita permisos para consultar la dirección de correo electrónico y los nombres de usuario de los usuarios de la organización. Aunque escriba la contraseña con texto no cifrado, esta se cifrará cuando haga clic en Actualizar configuración (más abajo).

    Si su sistema LDAP está configurado para tener en cuenta los caracteres en mayúsculas y minúsculas, establezca el parámetro caseSensitive en verdadero.

  4. Si desea crear grupos en el portal que utilicen los grupos corporativos existentes en el almacén de identidades, pegue la información de configuración de grupos LDAP de su organización (en formato JSON) en el cuadro de texto Configuración de almacén de grupos (en formato JSON) como se muestra a continuación. Como opción, puede actualizar la siguiente muestra con información de grupo específica de su organización. Si solo desea usar grupos integrados del portal, elimine la información del cuadro de texto y omita este paso.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
        "ldapURLForRoles": "ldaps://myLdapServer:10636/dc=example,dc=com",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "uid",
        "memberAttributeInRoles": "member",
        "rolenameAttribute":"cn"
      }
    }

    En la mayoría de los casos, solo deberá modificar valores para los parámetros user, userPassword y ldapURLForUsers. Su administrador de LDAP deberá proporcionar la URL a LDAP.

    En el ejemplo anterior, la dirección URL de LDAP hace referencia a los usuarios dentro de un OU específico (ou=usuarios). Si hay usuarios en varios OU, la dirección URL de LDAP puede apuntar a un nivel de OU más alto o incluso al nivel de raíz si es necesario. En ese caso, la dirección URL tendría el siguiente aspecto:

    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

    La cuenta que utilice para el parámetro de usuario solo necesita permisos para consultar la dirección de correo electrónico y los nombres de usuario de los usuarios de la organización. Aunque escriba la contraseña con texto no cifrado, esta se cifrará cuando haga clic en Actualizar configuración (más abajo).

    Si su sistema LDAP está configurado para tener en cuenta los caracteres en mayúsculas y minúsculas, establezca el parámetro caseSensitive en verdadero.

  5. Haga clic en Actualizar configuración para guardar los cambios.

Actualizar el almacén de identidades del portal usando Active Directory

  1. Inicie sesión en ArcGIS Portal Directory como administrador de su organización. La URL tiene el formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Haga clic en Seguridad > Config > Actualizar almacén de identidad.
  3. En el cuadro de texto Configuración de almacén de usuarios (en formato JSON), pegue la información de configuración de usuarios de Windows Active Directory (en formato JSON) de su organización. Como opción, puede actualizar la siguiente muestra con información de usuario específica de su organización.

    {
      "type": "WINDOWS",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "mydomain\\winaccount",
        "userFullnameAttribute": "cn",
        "userEmailAttribute": "mail",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "caseSensitive": "false"
      }
    }

    En la mayoría de los casos, solo deberá modificar valores para los parámetros userPassword y user. Aunque escriba la contraseña con texto no cifrado, esta se cifrará cuando haga clic en Actualizar configuración (más abajo). La cuenta que especifique para el parámetro de usuario solo necesita permisos para consultar la dirección de correo electrónico y el nombre completo de las cuentas de Windows en la red. Si es posible, especifique una cuenta cuya contraseña no caduque.

    En el caso poco común de que Windows Active Directory esté configurado para distinguir entre mayúsculas y minúsculas, defina el parámetro caseSensitive como true.

  4. Si desea crear grupos en el portal que utilicen los grupos corporativos existentes en el almacén de identidades, pegue la información de configuración del grupo de Windows Active Directory de su organización (en formato JSON) en el cuadro de texto Configuración de almacén de grupos (en formato JSON) como se muestra a continuación. Como opción, puede actualizar la siguiente muestra con información de grupo específica de su organización. Si solo desea usar grupos integrados del portal, elimine la información del cuadro de texto y omita este paso.

    {
      "type": "WINDOWS",
      "properties": {
        "isPasswordEncrypted": "false",
        "userPassword": "secret",
        "user": "mydomain\\winaccount"
      }
    }

    En la mayoría de los casos, solo deberá modificar valores para los parámetros userPassword y user. Aunque escriba la contraseña con texto no cifrado, esta se cifrará cuando haga clic en Actualizar configuración (más abajo). La cuenta que se especifica para el parámetro de usuario solo necesita permisos para buscar los nombres de los grupos de Windows en la red. Si es posible, especifique una cuenta cuya contraseña no caduque.

  5. Haga clic en Actualizar configuración para guardar los cambios.

Configurar opcionalmente parámetros de almacén de identidades adicionales

Hay parámetros de configuración de almacén de identidades adicionales que se pueden modificar usando la API de administración del directorio de Portal for ArcGIS. Estos parámetros incluyen opciones como restringir si los grupos se refrescan o no automáticamente cuando un usuario corporativo inicia sesión en el portal, configurar el intervalo de actualización de la pertenencia y definir si se comprueba o no la existencia de varios formatos de nombre de usuario. Consulte Actualizar almacén de identidades para obtener información detallada.

Configurar la autenticación de nivel del portal

Una vez que haya configurado el portal con el almacén de identidades de Active Directory o LDAP, tendrá que habilitar el acceso anónimo mediante el Web Adaptor en el servidor de aplicaciones Java. Cuando un usuario accede a la página de inicio de sesión del portal, puede iniciar sesión usando credenciales corporativas o credenciales integradas. Los usuarios corporativos tendrán que introducir las credenciales de su cuenta cada vez que inicien sesión en el portal. El inicio de sesión automático o único no estará disponible. Este tipo de autenticación también permite a los usuarios anónimos acceder a mapas u otros recursos del portal que se comparten con todo el mundo.

Verificar que se puede acceder al portal usando credenciales

  1. Abra el sitio web del portal. La URL tiene el formato: https://webadaptorhost.domain.com/webadaptorname/home.
  2. Inicie sesión usando las credenciales de su cuenta corporativa (ejemplo de sintaxis a continuación).

Al usar la autenticación de nivel del portal, los miembros de su empresa iniciarán sesión con la siguiente sintaxis:

  • En caso de utilizar el portal con su Active Directory, la sintaxis puede ser domain\username o username@domain. Independientemente de cómo inicia sesión el miembro, el nombre de usuario siempre se muestra como username@domain en el sitio web del portal.
  • Si se utiliza el portal con LDAP, la sintaxis depende de la usernameAtrribute especificada en la configuración del almacén del usuario. Asimismo, en el sitio web del portal se muestra la cuenta en este formato.

Agregar cuentas corporativas a su portal

De forma predeterminada, los usuarios corporativos pueden acceder al sitio web del portal. Sin embargo, solo pueden ver elementos que hayan sido compartidos con todos los usuarios de la organización. Esto se debe a que las cuentas corporativas no se han agregado al portal y no se les ha concedido privilegios de acceso.

Agregue cuentas a su portal por medio de uno de los siguientes métodos:

Se recomienda que designe al menos una cuenta corporativa como administrador de su portal. Para ello, elija el rol de Administrador al agregar la cuenta. Cuando tenga una cuenta de administrador del portal alternativa, puede asignar la cuenta de administrador inicial al rol Usuario o eliminar la cuenta. Consulte Acerca de la cuenta de administrador inicial para obtener más información.

Una vez que se hayan agregado las cuentas, los usuarios pueden iniciar sesión en la organización y acceder al contenido.