Cuando utilice el protocolo de directorio de acceso ligero (LDAP) para autenticar a los usuarios, puede usar la infraestructura de clave pública (PKI) para proteger el acceso a su organización de ArcGIS Enterprise.
Para utilizar LDAP y PKI, debe configurar la autenticación de certificado de cliente basada en PKI mediante ArcGIS Web Adaptor (Java Platform) implementado en un servidor de aplicaciones Java. No puede utilizar ArcGIS Web Adaptor (IIS) para realizar la autenticación de certificado cliente basada en PKI con LDAP. Si no lo ha hecho todavía, instale y configure ArcGIS Web Adaptor (Java Platform) con su portal.
Configurar su organización con LDAP
De forma predeterminada, la organización de ArcGIS Enterprise aplica HTTPS a todas las comunicaciones. Si ha cambiado anteriormente esta opción para permitir la comunicación tanto HTTP como HTTPS, deberá reconfigurar el portal para que utilice solo la comunicación HTTPS siguiendo los pasos que aparecen a continuación.
Configure la organización para utilizar HTTPS para todas las comunicaciones.
Siga estos pasos para configurar la organización y usar HTTPS:
- Inicie sesión en el sitio web de la organización como administrador.
La URL tiene el formato https://webadaptorhost.domain.com/webadaptorname/home.
- Haga clic en Organización y en la pestaña Configuración, después, haga clic en Seguridad en el lado izquierdo de la página.
- Habilite Permitir acceso al portal solo a través de HTTPS.
Actualizar el almacén de identidades del portal
A continuación, actualice el almacén de identidades del portal para utilizar usuarios y grupos de LDAP.
- Inicie sesión en el Directorio de Portal for ArcGIS como administrador de su organización. La URL tiene el formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Haga clic en Seguridad > Config > Actualizar almacén de identidad.
- En el cuadro de texto Configuración de almacén de usuario (en formato JSON), pegue la información de configuración de usuario de LDAP de su organización (en formato JSON). Como alternativa, puede actualizar la siguiente muestra con información de usuario específica de su organización:
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "userFullnameAttribute": "cn", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com", "userEmailAttribute": "mail", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "dn" } }
En la mayoría de los casos, solo deberá modificar valores para los parámetros user, userPassword, ldapURLForUsers y userSearchAttribute. El userSearchAttribute es el valor del parámetro Subject del certificado PKI. Si su organización utiliza otro atributo en el certificado PKI, como por ejemplo el correo electrónico, debe actualizar el parámetro userSearchAttribute para que coincida con el parámetro Subject del certificado PKI. Su administrador de LDAP deberá proporcionar la URL a LDAP.
En el ejemplo anterior, la dirección URL de LDAP hace referencia a los usuarios dentro de un OU específico (ou=usuarios). Si hay usuarios en varios OU, la dirección URL de LDAP puede apuntar a un nivel de OU más alto o incluso al nivel de raíz si es necesario. En ese caso, la dirección URL tendría el siguiente aspecto:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
La cuenta que utilice para el parámetro de usuario solo necesita permisos para consultar la dirección de correo electrónico y los nombres de usuario de los usuarios de la organización. Aunque escriba la contraseña con texto no cifrado, esta se cifrará cuando haga clic en Actualizar configuración (más abajo).
Si su LDAP está configurado para distinguir mayúsculas y minúsculas, defina el parámetro caseSensitive en verdadero.
- Si desea crear grupos en el portal que utilicen los grupos LDAP existentes en su almacén de identidades, pegue la información de configuración del grupo LDAP de su organización (en formato JSON) en el cuadro de texto Configuración de almacén de grupos (en formato JSON) como se muestra a continuación. Como opción, puede actualizar la siguiente muestra con información de grupo específica de su organización. Si solo desea usar grupos integrados del portal, elimine la información del cuadro de texto y omita este paso.
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com", "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "dn", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
En la mayoría de los casos, solo deberá modificar valores para los parámetros user, userPassword, ldapURLForUsers, ldapURLForGroups y userSearchAttribute. El userSearchAttribute es el valor del parámetro Subject del certificado PKI. Si su organización utiliza otro atributo en el certificado PKI, como por ejemplo el correo electrónico, debe actualizar el parámetro userSearchAttribute para que coincida con el parámetro Subject del certificado PKI. Su administrador de LDAP deberá proporcionar la URL a LDAP.
En el ejemplo anterior, la dirección URL de LDAP hace referencia a los usuarios dentro de un OU específico (ou=usuarios). Si hay usuarios en varios OU, la dirección URL de LDAP puede apuntar a un nivel de OU más alto o incluso al nivel de raíz si es necesario. En ese caso, la dirección URL tendría el siguiente aspecto:
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
La cuenta que utilice para el parámetro user necesita permisos para consultar los nombres de los grupos de su organización. Aunque escriba la contraseña con texto no cifrado, esta se cifrará cuando haga clic en Actualizar configuración (más abajo).
Si su LDAP está configurado para distinguir mayúsculas y minúsculas, defina el parámetro caseSensitive en verdadero.
- Haga clic en Actualizar configuración para guardar los cambios.
- Si ha configurado un portal de alta disponibilidad, reinicie cada equipo del portal. Consulte Detener e iniciar el portal para obtener instrucciones completas.
Agregar cuentas específicas de la organización
De forma predeterminada, los usuarios específicos de la organización pueden acceder a la organización ArcGIS Enterprise. Sin embargo, solo pueden ver elementos que hayan sido compartidos con todos los usuarios de la organización. Esto se debe a que las cuentas específicas de la organización no se han agregado y no se les ha concedido privilegios de acceso.
Agregue cuentas a su organización utilizando uno de los siguientes métodos:
- De forma individual o masiva (uno a la vez, de forma masiva desde un archivo .csv o desde grupos de Active Directory existentes)
- Utilidad de línea de comandos
- Automáticamente
Se recomienda que designe al menos una cuenta específica de la organización como Administrador de su portal. Para ello, elija el rol de Administrador al agregar la cuenta. Cuando tenga una cuenta de administrador del portal alternativa, puede asignar la cuenta de administrador inicial al rol Usuario o eliminar la cuenta. Consulte Acerca de la cuenta de administrador inicial para obtener más información.
Una vez que las cuentas se hayan agregado y haya completado los pasos siguientes, los usuarios podrán iniciar sesión en la organización y acceder al contenido.
Configurar ArcGIS Web Adaptor para utilizar la autenticación PKI
Una vez que haya instalado y configurado ArcGIS Web Adaptor (Java Platform) con su organización, configure un dominio LDAP en su servidor de aplicaciones Java y configure la autenticación de certificados de cliente basada en PKI para ArcGIS Web Adaptor. Para obtener instrucciones, consulte la documentación del producto de su servidor de aplicaciones Java o contacte con el administrador del sistema.
Verificar el acceso a la organización mediante LDAP y PKI
Para verificar que puede acceder al portal mediante LDAP y PKI, siga estos pasos:
- Abra el portal de ArcGIS Enterprise. La URL tiene el formato https://webadaptorhost.domain.com/webadaptorname/home. La URL tiene el formato https://organization.example.com/<context>/home.
- Verifique que se le hayan solicitado las credenciales de seguridad y que puede acceder al sitio web.
Impedir que los usuarios creen sus propias cuentas integradas
Puede impedir que los usuarios creen sus propias cuentas integradas mediante la opción deshabilitar la capacidad de los usuarios de crear nuevas cuentas integradas en la configuración de la organización.