Skip To Content

Usar el portal con autenticación LDAP y de niveles web

Puede proteger el acceso al portal mediante el Protocolo de acceso al directorio ligero (LDAP). Cuando se usa LDAP, los inicios de sesión se administran mediante el servidor LDAP de la organización.

Para utilizar LDAP, puede configurar la autenticación en el nivel del portal o la autenticación en el nivel Web mediante el ArcGIS Web Adaptor (Java Platform) implementado en un servidor de aplicaciones Java. No puede utilizar ArcGIS Web Adaptor (IIS) para realizar la autenticación de nivel web con LDAP. Si no lo ha hecho todavía, instale y configure ArcGIS Web Adaptor (Java Platform) con su portal.

Nota:

Para utilizar la autenticación de nivel web con un sitio de ArcGIS Server federado, debe deshabilitar la autenticación de nivel web (incluida la autenticación de certificado de cliente) y habilitar el acceso anónimo en ArcGIS Web Adaptor configurado con su sitio de ArcGIS Server antes de federarlo con el portal. Aunque pueda parecer poco intuitivo, esto es necesario para que el sitio quede libre para federarlo con el portal y pueda leer los usuarios y los roles del portal. Si el sitio de ArcGIS Server todavía no utiliza autenticación de nivel web, no es necesario hacer nada. Para obtener instrucciones sobre cómo agregar un servidor al portal, consulte Federar un sitio de ArcGIS Server con su portal.

Configurar el portal con LDAP

De forma predeterminada, Portal for ArcGIS aplica HTTPS a todas las comunicaciones. Si ha cambiado anteriormente esta opción para permitir la comunicación tanto HTTP como HTTPS, debe reconfigurar el portal para que utilice solo la comunicación HTTPS siguiendo los pasos que aparecen a continuación.

Configure el portal para utilizar HTTPS para todas las comunicaciones.

  1. Inicie sesión en el sitio web del portal como administrador de la organización. La URL tiene el formato https://webadaptorhost.domain.com/webadaptorname/home.
  2. Haga clic en Organización y en la pestaña Configuración, después, haga clic en Seguridad en el lado izquierdo de la página.
  3. Habilite Permitir acceso al portal solo a través de HTTPS.

Actualizar el almacén de identidades del portal

A continuación, actualice el almacén de identidades del portal para utilizar usuarios y grupos de LDAP.

  1. Inicie sesión en ArcGIS Portal Directory como administrador de su organización. La URL tiene el formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Haga clic en Seguridad > Config > Actualizar almacén de identidad.
  3. En el cuadro de texto Configuración de almacén de usuario (en formato JSON), pegue la información de configuración de usuario de LDAP de su organización (en formato JSON). Como opción, puede actualizar la siguiente muestra con información de usuario específica de su organización.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "userFullnameAttribute": "cn",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
        "userEmailAttribute": "mail",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "uid"
      }
    }

    En la mayoría de los casos, solo deberá modificar valores para los parámetros user, userPassword y ldapURLForUsers. Su administrador de LDAP deberá proporcionar la URL a LDAP.

    En el ejemplo anterior, la dirección URL de LDAP hace referencia a los usuarios dentro de un OU específico (ou=usuarios). Si hay usuarios en varios OU, la dirección URL de LDAP puede apuntar a un nivel de OU más alto o incluso al nivel de raíz si es necesario. En ese caso, la dirección URL tendría el siguiente aspecto:

    "ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",

    La cuenta que utilice para el parámetro de usuario solo necesita permisos para consultar las direcciones de correo electrónico y los nombres de usuario de los usuarios de la organización. Aunque escriba la contraseña con texto no cifrado, esta se cifrará cuando haga clic en Actualizar configuración (más abajo).

    Si su LDAP está configurado para distinguir mayúsculas y minúsculas, defina el parámetro caseSensitive en verdadero.

  4. Para crear grupos en el portal que utilicen los grupos corporativos existentes en el almacén de identidades, pegue la información de configuración de grupos LDAP de su organización (en formato JSON) en el cuadro de texto Configuración de almacén de grupos (en formato JSON) como se muestra a continuación. Como opción, puede actualizar la siguiente muestra con información de grupo específica de su organización. Si solo desea usar grupos integrados del portal, elimine la información del cuadro de texto y omita este paso.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
        "ldapURLForRoles": "ldaps://myLdapServer:10636/dc=example,dc=com",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "uid",
        "memberAttributeInRoles": "member",
        "rolenameAttribute":"cn"
      }
    }

    En la mayoría de los casos, solo deberá modificar valores para los parámetros user, userPassword, ldapURLForUsers y ldapURLForUsers. Su administrador de LDAP deberá proporcionar la URL a LDAP.

    En el ejemplo anterior, la dirección URL de LDAP hace referencia a los usuarios dentro de un OU específico (ou=usuarios). Si hay usuarios en varios OU, la dirección URL de LDAP puede apuntar a un nivel de OU más alto o incluso al nivel de raíz si es necesario. En ese caso, la dirección URL tendría el siguiente aspecto:

    "ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",

    La cuenta que utilice para el parámetro user necesita permisos para consultar los nombres de los grupos de su organización. Aunque escriba la contraseña con texto no cifrado, esta se cifrará cuando haga clic en Actualizar configuración (más abajo).

    Si su LDAP está configurado para distinguir mayúsculas y minúsculas, defina el parámetro caseSensitive en verdadero.

  5. Haga clic en Actualizar configuración para guardar los cambios.
  6. Si ha configurado un portal de alta disponibilidad, reinicie cada equipo del portal. Consulte Detener e iniciar el portal para obtener instrucciones completas.

Agregar cuentas corporativas a su portal

De forma predeterminada, los usuarios corporativos pueden acceder al sitio web del portal. Sin embargo, solo pueden ver elementos que hayan sido compartidos con todos los usuarios de la organización. Esto se debe a que las cuentas corporativas no se han agregado al portal y no se les ha concedido privilegios de acceso.

Agregue cuentas a su portal por medio de uno de los siguientes métodos:

Se recomienda que designe al menos una cuenta corporativa como Administrador de su portal. Para ello, elija el rol de Administrador al agregar la cuenta. Cuando tenga una cuenta de administrador del portal alternativa, puede asignar la cuenta de administrador inicial al rol Usuario o eliminar la cuenta. Consulte Acerca de la cuenta de administrador inicial para obtener más información.

Una vez que las cuentas se hayan agregado y haya completado los pasos siguientes, los usuarios podrán iniciar sesión en la organización y acceder al contenido.

Configurar ArcGIS Web Adaptor para utilizar la autenticación de nivel web

Una vez que haya instalado y configurado ArcGIS Web Adaptor (Java Platform) con su portal siguiendo la guía de instalación adecuada, debe configurar su servidor de aplicaciones Java con dos tareas principales:

  1. Realice la integración con su almacén de identidades LDAP. De este modo, su servidor de aplicaciones Java podrá autenticar a los usuarios administrados en ese almacenamiento LDAP.
  2. Habilite un mecanismo de autenticación basado en navegador, como la autenticación basada en formularios o cuadros de diálogo, para el contexto de ArcGIS Web Adaptor del portal.

Para obtener instrucciones, consulte al administrador del sistema, la documentación del producto de su servidor de aplicaciones Java o Servicios Profesionales de Esri.

Verificar que se puede acceder al portal usando LDAP

  1. Abra el sitio web del portal. La URL tiene el formato https://webadaptorhost.domain.com/webadaptorname/home.
  2. Verifique que se le hayan solicitado las credenciales cuenta corporativa. Si no observa este comportamiento, verifique que la cuenta corporativa que utilizó para iniciar sesión en el equipo se agregó al portal.

Impedir que los usuarios creen sus propias cuentas integradas

Puede impedir que los usuarios creen sus propias cuentas integradas mediante la opción deshabilitar la capacidad de los usuarios de crear nuevas cuentas integradas en la configuración de la organización.