Skip To Content

Administrar el acceso al portal

Uno de los aspectos clave de planificar una implementación de ArcGIS Enterprise es decidir cómo se van a administrar las cuentas que tendrán acceso al portal y qué privilegios se van a conceder a esas cuentas. Determinar cómo se van a administrar las cuentas pasa por elegir un almacén de identidades.

Nota:

Cada miembro de ArcGIS Enterprise y ArcGIS Online necesita su propia licencia. Dicho esto, ambos productos admiten inicios de sesión específicos de la organización con SAML y OpenID Connect para poder agilizar la autenticación entre sistemas. Esto significa que puede utilizar el mismo nombre de usuario y contraseña para ambas organizaciones; sin embargo, no puede iniciar sesión en ArcGIS Enterprise y esperar ver el contenido que vería al iniciar sesión en su cuenta de ArcGIS Online. Son organizaciones separadas, cada una con sus propios almacenes de identidades y conjunto de contenido asociado.

Descripción de los almacenes de identidades

El almacén de identidades del organización define dónde se almacenan las credenciales de las cuentas del portal, cómo se produce la autenticación y cómo se administra la pertenencia a grupos. La organización de ArcGIS Enterprise admite dos tipos de almacenes de identidades: integrados y específicos de la organización.

Almacén de identidades integrado

El portal de ArcGIS Enterprise se puede configurar para permitir a los miembros crear cuentas y grupos en el portal. Si está habilitado, puede usar el vínculo Crear una cuenta de la página Iniciar sesión del sitio web del portal para agregar una cuenta integrada en el portal y empezar a proporcionar contenido a la organización o a acceder a los recursos creados por otros miembros. Cuando se crean cuentas y grupos en el portal de esta forma, se utiliza el almacén de identidades integrado, que realiza la autenticación y almacena los nombres, las contraseñas y los roles de los usuarios de las cuentas del portal, así como la pertenencia a grupos.

Debe usar el almacén de identidades integrado para crear la cuenta de administrador inicial de la organización, pero podrá cambiar más adelante a un almacén de identidades específico de la organización. El almacén de identidades integrado resulta útil para poner en marcha el portal y también para el desarrollo y las pruebas. Sin embargo, los entornos de producción utilizan normalmente almacenes de identidad específicos de la organización.

Nota:

Si necesita revertir de un almacén de identidades específico de la organización a un almacén de identidades integrado, puede hacerlo eliminando cualquier información de los cuadros de texto Configuración de almacén de usuarios y Configuración de almacén de grupos de la página Actualizar almacén de identidades del Directorio de administrador del portal. Para obtener más información, consulte la documentación de API REST de ArcGIS.

Almacén de identidades específico de la organización

ArcGIS Enterprise se ha diseñado de modo que se puedan usar las cuentas y los grupos específicos de la organización para controlar el acceso a la organización de ArcGIS. Por ejemplo, puede controlar el acceso al portal usando las credenciales del servidor Lightweight Directory Access Protocol (LDAP), el servidor Active Directory y los proveedores de identidades que admiten el inicio de sesión único de navegador web de Security Assertion Markup Language (SAML) 2.0. Este proceso se describe en la documentación como configuración de inicios de sesión específicos de la organización.

La ventaja de esta estrategia es que no necesita crear cuentas adicionales en el portal. Los miembros utilizan el inicio de sesión que ya se ha definido en el almacén de identidades específico de la organización. La administración de las credenciales de la cuenta, incluidas las políticas de complejidad y caducidad de las contraseñas, es totalmente externa al portal. Esto posibilita una experiencia de inicio de sesión único para que los usuarios no tengan que volver a introducir sus credenciales.

Del mismo modo, puede crear grupos en el portal que utilicen los grupos de Active Directory, LDAP o SAML existentes en su almacén de identidades. Asimismo, se pueden agregar en masa cuentas específicas de la organización desde los grupos de Active Directory, LDAP o SAML de su organización. Cuando los miembros inician sesión en el portal, el acceso al contenido, los elementos y los datos se controla por medio de las reglas de pertenencia definidas en el grupo de Active Directory, LDAP o SAML. La administración de la pertenencia a grupos es totalmente externa al portal.

Por ejemplo, una práctica recomendada es deshabilitar el acceso anónimo a su portal, conectar su portal a los grupos de Active Directory, LDAP o SAML deseados de su organización y agregar las cuentas específicas de la organización en función de esos grupos. De esta manera, restringe el acceso al portal en función de grupos de Active Directory, LDAP o SAML específicos de su organización.

Utilice un almacén de identidades específico de la organización si su organización desea definir políticas para la caducidad y complejidad de las contraseñas, controlar el acceso mediante grupos de Active Directory, LDAP o SAML existentes o utilizar la autenticación de Autenticación integrada de Windows (IWA) o de certificado de cliente basada en la infraestructura de clave pública (PKI). La autenticación se puede gestionar en el nivel web (usando la autenticación de nivel web), en el nivel de portal (usando la autenticación a nivel de portal), o a través de un proveedor de identidad externo (con SAML).

Al usar un almacén de identidades de Active Directory, ArcGIS Enterprise admite la autenticación desde varios dominios con un solo bosque, pero no proporciona autenticación entre bosques. Para admitir usuarios específicos de organizaciones desde varios bosques, es necesario un proveedor de identidad SAML.

Compatibilidad con varios almacenes de identidades

Con SAML 2.0, puede permitir el acceso al portal usando varios almacenes de identidades. Los usuarios pueden iniciar sesión con cuentas integradas y cuentas administradas en varios proveedores de identidades compatibles con SAML configurados para confiar los unos en los otros. Esta es una buena forma de administrar usuarios que pueden residir dentro o fuera de la organización. Para obtener información detallada, consulte Configurar un proveedor de identidad compatible con SAML con el portal.

Comprender los privilegios de acceso

Una vez que haya decidido cómo se administrarán las cuentas en ArcGIS Enterprise, tiene que decidir qué privilegios desea que tengan los usuarios que acceden a la organización de ArcGIS. Los privilegios se definen en función de si el usuario que accede a su portal forma parte de la organización ArcGIS.

Los usuarios que accedan al portal sin una cuenta de organización de ArcGIS solo podrán buscar y utilizar elementos públicos. Por ejemplo, si un mapa web público está integrado en un sitio web, los usuarios que consulten el mapa estarán accediendo a un elemento del portal aunque no tengan una cuenta. Le corresponde a usted decidir si habilitar o no este tipo de acceso. Siempre puede deshabilitar el acceso para las personas que no pertenezcan a la organización de ArcGIS. Para aprender a hacerlo, consulte Deshabilitar el acceso anónimo.

Los usuarios pueden tener acceso al portal con privilegios elevados si son miembros de su organización de ArcGIS. Los miembros de su organización de ArcGIS se muestran en la página Organización del sitio web del portal. Los miembros de una organización se organizan por tipos de usuarios, que se corresponden con distintos roles con privilegios diferentes. Para obtener más información, consulte Tipos de usuarios, roles y privilegios.

Cuando se agrega al portal una nueva cuenta de organización de ArcGIS, dicha cuenta tiene asignado el rol de usuario de manera predeterminada. Sin embargo, el administrador del portal puede cambiar el rol en cualquier momento.

Administrar cuentas de organización de ArcGIS

Una cuenta de organización de ArcGIS es una cuenta de usuario que se ha agregado al panel de organización del sitio web del portal. A lo largo de la documentación y de la experiencia del usuario en el sitio web del portal, se suele hacer referencia a estos usuarios como miembros de la organización.

Como administrador, es importante que controle por completo no solamente los privilegios asignados a cada miembro de la organización de ArcGIS, sino también a quién se le permite ser miembro de esa organización.

El número máximo de cuentas de organización de ArcGIS del portal viene definido por el archivo de licencia empleado para asignar la licencia del portal. En cualquier momento, puede comparar el número total de miembros asignados a un tipo de usuario y las licencias de tipo de usuario disponibles desde las pestañas Descripción general o Licencias de la página Organización del sitio web del portal. En la pestaña Descripción general, puede ver el total de licencias asignadas y disponibles en el resumen de Miembros. En la pestaña Licencias, puede visualizar las licencias asignadas y disponibles por tipo de usuario en la pestaña Tipos de usuarios.

Administrar cuentas cuando se usa el almacén integrado

Cuando se usa el almacén integrado, puede configurar el sitio web del portal para que muestre un vínculo que cualquier usuario puede utilizar para unirse a la organización de ArcGIS. Así, es más sencillo que los usuarios se unan a su organización, pero no puede restringir quién se une; cualquiera con acceso al portal puede crear una cuenta. Si desea más control, puede deshabilitar esta experiencia de autoservicio y abastecer su portal de forma masiva con un número predefinido de cuentas. Para obtener más información sobre la creación de cuentas de organización de ArcGIS de forma masiva, consulte Agregar miembros a su portal. También puede eliminar miembros del sitio web del portal o cambiar sus privilegios en cualquier momento.

Administrar cuentas cuando se usa un almacén de identidades específico de la organización

El portal de ArcGIS Enterprise no le permitirá eliminar, editar ni crear cuentas nuevas en el almacén de identidades, pero puede registrar las cuentas específicas de la organización existentes en su organización. Por esta razón, la página de registro del sitio web del portal no estará disponible cuando configure el portal con un almacén de identidades específico de la organización.

Como administrador, normalmente seleccionará los inicios de sesión específicos de la organización que desee agregar a la organización y los agregará de forma masiva. Para obtener más información sobre la creación de cuentas de organización de ArcGIS de forma masiva, consulte Agregar miembros a su portal. También puede eliminar miembros del sitio web del portal o cambiar sus privilegios en cualquier momento.

Como alternativa, puede añadir cualquier cuenta específica de la organización que se conecte a su portal o a cualquiera de sus elementos automáticamente. Para obtener más información, consulte Registro automático de cuentas específicas de la organización.

Es importante entender que cuando el portal se configura con un almacén de identidades específico de la organización, se deshabilita el acceso anónimo a la organización de ArcGIS; es decir, cualquier usuario que tenga acceso al portal debe autenticarse primero en el almacén de identidades. Una vez autenticado, los privilegios del usuario dependerán de si tiene o no una cuenta de organización de ArcGIS.

Nota:

De forma predeterminada, la creación automática de cuentas está deshabilitada en la organización. Para habilitar el registro automático de cuentas, consulte Configurar el registro automático de cuentas de la organización para obtener más información.

Política de bloqueo de cuentas

A menudo los sistemas de software aplican una política de bloqueo de cuentas como protección frente a intentos masivos de adivinar automáticamente la contraseña de un usuario. Si un usuario intenta iniciar sesión sin éxito varias veces en un intervalo de tiempo específico, se le puede impedir que siga intentándolo durante un periodo de tiempo designado. Estas políticas se deben sopesar frente a la realidad de que, a veces, los usuarios olvidan su nombre de usuario y su contraseña y no logran iniciar sesión correctamente.

La política de bloqueo obligatorio del portal depende del tipo de almacén de identidades que se utilice:

Almacén de identidades integrado

El almacén de identidades integrado bloquea a un usuario tras cinco intentos no válidos consecutivos. El bloqueo dura 15 minutos. Esta política se aplica a todas las cuentas del almacén de identidades, incluida la cuenta de administrador inicial. Esta política no se puede modificar ni sustituir.

Almacén de identidades específico de la organización

Cuando se usa un almacén de identidades específico de la organización, la política de bloqueo de la cuenta se hereda del almacén. En algunos casos, se puede cambiar la política de bloqueo de las cuentas para el almacén. Consulte la documentación específica del tipo de almacén para ver cómo se cambia la política de bloqueos de las cuentas.