En algunas situaciones, Portal for ArcGIS actúa como servidor proxy. Esta capacidad se utiliza en las siguientes situaciones:
- Intenta acceder a un recurso de un dominio diferente al del portal y no está disponible la compatibilidad con el uso compartido de recursos de orígenes distintos (CORS). CORS es una especificación que permite que un servidor web y un navegador web interaccionen y determinen si se debe permitir una solicitud de orígenes distintos.
- Intenta compartir con otros usuarios un recurso protegido, pero desea ocultar las credenciales de usuario requeridas para acceder al recurso.
De manera predeterminada, la capacidad proxy no está restringida. Como consecuencia, el portal se puede usar de forma indebida para lanzar ataques de denegación de servicio (DoS) o de falsificación de solicitud de servidor (SSRF) contra cualquier equipo al que pueda tener acceso el equipo del portal. Para mitigar esta posible vulnerabilidad, es recomendable restringir la capacidad proxy del portal definiendo una lista de direcciones web aprobadas. Portal for ArcGIS solo podrá procesar solicitudes como proxy para las direcciones de la lista; las demás se bloquearán. Si ha federado ArcGIS Server con el portal, la lista debe contener las direcciones de todos los equipos del sitio, así como cualquier recurso que se haya compartido como elemento en el portal.
Para definir una lista de direcciones aprobadas, siga los pasos que se describen a continuación.
- Abra un navegador web e inicie sesión en el Directorio del administrador del portal como Administrador de su organización. La URL está en el formato https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Haga clic en Seguridad > Configuración > Actualizar configuración de seguridad.
- En el campo Configuración, agregue la propiedad allowedProxyHosts y especifique la lista de direcciones aprobadas, por ejemplo:
{ "disableServicesDirectory": false, "enableAutomaticAccountCreation": false, "allowedProxyHosts": "gisserver1.domain.com,gisserver2.domain.com" }
Nota:
Use el formato (.*).domain.com para permitir solicitudes proxy a todos los equipos de un dominio especificado. Use los comodines (*) con cuidado; podría dar acceso accidentalmente a usuarios no autorizados en los equipos restringidos.
- Haga clic en Actualizar configuración.