Puede proteger el acceso al portal mediante la autenticación integrada de Windows (IWA). Cuando se usa la IWA, los inicios de sesión se administran mediante Active Directory de Microsoft Windows. Los usuarios no inician y cierran sesión en el sitio web del portal. En lugar de eso, cuando abren el sitio web, inician sesión con las mismas cuentas que utilizan para iniciar sesión en Windows.
Para usar la Autenticación integrada de Windows, hay que utilizar ArcGIS Web Adaptor (IIS) implementado en el servidor web IIS de Microsoft. No puede utilizar ArcGIS Web Adaptor (Java Platform) para llevar a cabo la Autenticación integrada de Windows. Si no lo ha hecho ya, instale y configure ArcGIS Web Adaptor (IIS) con su portal.
Nota:
Para utilizar la autenticación de nivel web con un sitio de ArcGIS Server federado, debe deshabilitar la autenticación de nivel web (incluida la autenticación de certificado de cliente) y habilitar el acceso anónimo en ArcGIS Web Adaptor configurado con su sitio de ArcGIS Server antes de federarlo con el portal. Aunque pueda parecer poco intuitivo, esto es necesario para que el sitio quede libre para federarlo con el portal y pueda leer los usuarios y los roles del portal. Si el sitio de ArcGIS Server todavía no utiliza autenticación de nivel web, no es necesario hacer nada. Para obtener instrucciones sobre cómo agregar un servidor al portal, consulte Federar un sitio de ArcGIS Server con su portal.
Siga estos pasos para configurar IWA con su portal:
Configurar su portal para usar Windows Active Directory
De forma predeterminada, Portal for ArcGIS aplica HTTPS a todas las comunicaciones. Si ha cambiado anteriormente esta opción para permitir la comunicación tanto HTTP como HTTPS, deberá reconfigurar el portal para que utilice solo la comunicación HTTPS siguiendo los pasos que aparecen a continuación.
Nota:
Al usar un almacén de identidades de Active Directory, ArcGIS Enterprise admite la autenticación desde varios dominios con un solo bosque, pero no proporciona autenticación entre bosques. Para admitir usuarios corporativos desde varios bosques, se requiere un proveedor de identidad SAML.
Configure el portal para utilizar HTTPS para todas las comunicaciones.
- Inicie sesión en el sitio web del portal como administrador de la organización. La URL tiene el formato https://webadaptorhost.domain.com/webadaptorname/home.
- Haga clic en Organización y en la pestaña Configuración, después, haga clic en Seguridad en el lado izquierdo de la página.
- Habilite Permitir acceso al portal solo a través de HTTPS.
Actualizar el almacén de identidades del portal
A continuación, actualice el almacén de identidades del portal para utilizar usuarios y grupos de Active Directory.
- Inicie sesión en el Directorio de Portal for ArcGIS como administrador de su organización. La URL tiene el formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Haga clic en Seguridad > Config > Actualizar almacén de identidades.
- En el cuadro de texto Configuración de almacén de usuario (en formato JSON), pegue la información de configuración de usuario de Windows Active Directory. Como alternativa, puede actualizar la siguiente muestra con información de usuario específica de su organización:
{ "type": "WINDOWS", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "mydomain\\winaccount", "userFullnameAttribute": "cn", "userEmailAttribute": "mail", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "caseSensitive": "false" } }
En la mayoría de los casos, solo deberá modificar valores para los parámetros userPassword y user. Aunque escriba la contraseña con texto no cifrado, esta se cifrará cuando haga clic en Actualizar configuración (más abajo). La cuenta que especifique para el parámetro de usuario solo necesita permisos para consultar la dirección de correo electrónico y el nombre completo de las cuentas de Windows en la red. Si es posible, especifique una cuenta cuya contraseña no caduque.
En el caso poco común de que Windows Active Directory esté configurado para distinguir entre mayúsculas y minúsculas, defina el parámetro caseSensitive como true.
- Si desea crear grupos en el portal que utilicen los grupos corporativos existentes en el almacén de identidades, pegue la información de configuración del grupo Windows Active Directory de su organización (en formato JSON) en el cuadro de texto Configuración de almacén de grupo (en formato JSON) como se muestra a continuación. Como opción, puede actualizar la siguiente muestra con información de grupo específica de su organización. Si solo desea usar grupos integrados del portal, elimine la información del cuadro de texto y omita este paso.
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }
En la mayoría de los casos, solo deberá modificar valores para los parámetros userPassword y user. Aunque escriba la contraseña con texto no cifrado, esta se cifrará cuando haga clic en Actualizar configuración (más abajo). La cuenta que se especifica para el parámetro de usuario solo necesita permisos para buscar los nombres de los grupos de Windows en la red. Si es posible, especifique una cuenta cuya contraseña no caduque.
- Haga clic en Actualizar configuración para guardar los cambios.
- Si ha configurado un portal de alta disponibilidad, reinicie cada equipo del portal. Consulte Detener e iniciar el portal para obtener instrucciones completas.
Configurar parámetros adicionales del almacén de identidades
Si lo desea, puede modificar los parámetros de configuración adicionales del almacén de identidades con la API de administración del Directorio de Portal for ArcGIS. Estos parámetros incluyen la restricción de si los grupos se refrescan automáticamente cuando un usuario corporativo inicia sesión en el portal, la configuración del intervalo de actualización de la pertenencia y la definición de si se comprueba la existencia de varios formatos de nombre de usuario. Consulte Actualizar almacén de identidades para obtener información detallada.
Agregar cuentas corporativas a su portal
De forma predeterminada, los usuarios corporativos pueden acceder al sitio web del portal. Sin embargo, solo pueden ver elementos que hayan sido compartidos con todos los usuarios de la organización. Esto se debe a que las cuentas corporativas no se han agregado al portal y no se les ha concedido privilegios de acceso.
Agregue cuentas a su portal por medio de uno de los siguientes métodos:
- Sitio web de Portal for ArcGIS (de uno en uno o de forma masiva desde un archivo CSV o desde grupos corporativos existentes)
- secuencia de comandos de Python
- Utilidad de línea de comandos
- Automáticamente
Se recomienda que designe al menos una cuenta corporativa como Administrador de su portal. Para ello, elija el rol de Administrador al agregar la cuenta. Cuando tenga una cuenta de administrador del portal alternativa, puede asignar la cuenta de administrador inicial al rol Usuario o eliminar la cuenta. Consulte Acerca de la cuenta de administrador inicial para obtener más información.
Una vez que las cuentas se hayan agregado y haya completado los pasos siguientes, los usuarios podrán iniciar sesión en la organización y acceder al contenido.
Configurar ArcGIS Web Adaptor para usar IWA
Para configurar ArcGIS Web Adaptor para usar IWA, siga estos pasos:
- Abra Internet Information Server (IIS) Manager.
- En el panel Conexiones, localice y expanda el sitio web que aloja ArcGIS Web Adaptor.
- Haga clic en el nombre de ArcGIS Web Adaptor. El valor predeterminado es arcgis.
- En el panel Inicio, haga doble clic en Autenticación.
- Seleccione Autenticación anónima y haga clic en Deshabilitar.
- Seleccione Autenticación de Windows y haga clic en Habilitar.
- Cierre el administrador de Internet Information Server (IIS).
Verificar el acceso al portal mediante IWA
Para verificar que puede acceder al portal mediante IWA, siga estos pasos:
- Abra el sitio web del portal. La URL tiene el formato https://webadaptorhost.domain.com/webadaptorname/home.
- Verifique que se le han solicitado sus credenciales de cuenta corporativa o que ha iniciado sesión automáticamente mediante su cuenta corporativa. Si no observa este comportamiento, confirme que la cuenta de Windows que utilizó para iniciar sesión en el equipo se agregó al portal.
Impedir que los usuarios creen sus propias cuentas integradas
Puede impedir que los usuarios creen sus propias cuentas integradas mediante la opción deshabilitar la capacidad de los usuarios de crear nuevas cuentas integradas en la configuración de la organización.