Skip To Content

Proteger los servicios web con la Autenticación de Windows integrada

Este tutorial muestra cómo proteger los servicios Web de ArcGIS mediante la Autenticación de Windows integrada. Esto requiere que los usuarios y funciones se gestionen en un servidor Active Directory de Microsoft Windows. Este enfoque puede ser útil si desea que los usuarios de SIG puedan aprovechar las cuentas del dominio Windows que ya posee en la red.

Nota:

Si su sitio de ArcGIS Server está federado con un portal, debe proteger el acceso mediante el portal en lugar de utilizar los pasos que se indican en este tema. Consulte Usar la autenticación de Windows integrada con el portal para ver más detalles.

Para usar la autenticación de Windows integrada, debe usar ArcGIS Web Adaptor (IIS) implementado en el servidor web IIS de Microsoft. No puede utilizar ArcGIS Web Adaptor (Java Platform) para llevar a cabo la autenticación de Windows integrada.

Si la configuración de su inicio de sesión deniega el derecho de inicio de sesión al equipo donde se aloja Active Directory, se producirá un error al configurar la seguridad. No es necesario otorgar permiso de Inicio de sesión local al grupo del usuario. Para obtener más información, consulte Consideraciones avanzadas para utilizar cuentas de dominio.

Para proteger los servicios Web de ArcGIS mediante la Autenticación de Windows integrada, siga estos pasos:

  1. Configurar el ArcGIS Web Adaptor (IIS) para utilizar la autenticación de Windows.
  2. Configurar ArcGIS Server para utilizar los usuarios y roles de Windows Active Directory.
  3. Revisar los usuarios y roles.
  4. Configurar privilegios de administrador y editor para usuarios de Active Directory.
  5. Establecer permisos para los servicios.
  6. Probar el acceso a servicios protegidos.

Configurar el ArcGIS Web Adaptor (IIS) para utilizar la autenticación de Windows.

Para la autenticación integrada de Windows se requiere una autenticación de nivel web y debe hacerse con ArcGIS Web Adaptor (IIS).El web adaptor se basa en IIS para autenticar el usuario y proporcionar al web adaptor el nombre de cuenta del usuario. Una vez que tiene el nombre de cuenta, lo transmite a ArcGIS Server.

  1. Instale ArcGIS Web Adaptor (IIS) siguiendo las instrucciones que se describen en Instalar ArcGIS Web Adaptor (IIS).
  2. Configure Web Adaptor siguiendo las instrucciones que se describen en Configurar ArcGIS Web Adaptor después de la instalación.
    Nota:

    Al configurar el web adaptor es necesario habilitar la administración mediante el web adaptor. Esto permite a los usuarios de Windows Active Directory para publicar servicios desde ArcGIS Desktop. Cuando los usuarios con estos roles se conectan al servidor en ArcGIS Desktop, deben especificar la dirección URL de Web Adaptor.

  3. Defina el método de autenticación para el web adaptor utilizando el Administrador de IIS.
    1. Para abrir el Administrador de IIS, haga clic en Inicio > Panel de control > Herramientas administrativas > Internet Information Services Manager.
    2. En Sitios, expanda el árbol del lado izquierdo del Administrador de IIS. Expanda Sitio Web predeterminado para buscar la aplicación ArcGIS Web Adaptor (IIS). De forma predeterminada, ArcGIS Web Adaptor (IIS) se llama arcgis.
    3. Edite la propiedad de autenticación para el web adaptor. Quite la selección de autenticación Anónimo y seleccione Autenticación de Windows.
    4. Cierre el Administrador de IIS.

Configurar la seguridad de ArcGIS Server para utilizar los usuarios y roles de Windows Active Directory

Para apoyar la Autenticación integrada de Windows, configure ArcGIS Server para recuperar los usuarios y roles desde un servidor de Windows Active Directory.

  1. Abra el Administrador e inicie sesión como el administrador del sitio principal. Debe usar la cuenta del administrador del sitio principal. Si necesita ayuda con este paso, consulte Iniciar sesión en el Administrador.
  2. Haga clic en Seguridad > Configuración.
  3. Haga clic en el botón Editar Editar junto a Ajustes de configuración.
  4. En la Administración de usuario y rol, elija la página Usuarios y roles en un sistema corporativo existente (LDAP o la opción de dominio de Windows) y haga clic en Siguiente.
  5. En la página tipo de almacenamiento Enterprise, seleccione la opción Dominio de Windows y haga clic en Siguiente.
  6. En la página Credenciales de dominio de Windows, proporcione las credenciales para una cuenta que tenga permisos para determinar en qué grupos se encuentran los usuarios. Haga clic en Siguiente.
    Nota:

    Le recomendamos que especifique una cuenta con una contraseña que no caduque. Si no es posible, deberá repetir los pasos de esta sección cada vez que cambie la contraseña de la cuenta.

  7. En la página Nivel de autenticación, elija Nivel Web.
  8. Revise el resumen de sus selecciones. Haga clic en Finalizar para aplicar y guardar la configuración de seguridad.

Revisar los usuarios y roles

Después de configurar un dominio de Windows de Active Directory como el usuario y el almacén de roles, revise los usuarios y roles para asegurarse de que se recuperan correctamente. Para agregar, editar o quitar usuarios y roles, debe utilizar las herramientas disponibles en el servidor de Active Directory.

  1. En el Administrador, haga clic en Seguridad > Usuarios.
  2. Verifique que los usuarios se recuperaron como se esperaba desde el servidor de dominio de Windows. Si Active Directory tiene varios dominios, se mostrarán los usuarios del dominio al que pertenezca el servidor SIG. Para ver los usuarios de otros dominios, proporcione la cadena de caracteres de búsqueda [nombre de dominio]\ en el campo Buscar usuario y, a continuación, haga clic en el botón Buscar Buscar.
  3. Haga clic en Roles para revisar los roles recuperados desde el servidor de dominio de Windows. Si Active Directory tiene varios dominios, se mostrarán los roles del dominio al que pertenezca el servidor SIG. Para ver los roles de otros dominios, proporcione la cadena de caracteres de búsqueda [nombre de dominio]\ en el campo Buscar rol y, a continuación, haga clic en el botón Buscar Buscar.
  4. Verifique que los roles se han recuperado como se esperaba.
Nota:

En la versión 10.3.1 y versiones posteriores, ArcGIS Web Adaptor (IIS) tiene propiedades para configurar las opciones relacionadas con la autenticación de Active Directory. Para obtener más información, consulte Configurar las opciones de la caché en RAM del sistema ArcGIS Web Adaptor en la ayuda de Web Adaptor (IIS).

Almacenamiento en caché de usuarios y roles

A partir de ArcGIS 10.5, los usuarios y roles de su Active Directory se almacenarán en caché en el servidor tras una solicitud de usuarios o roles. Esto optimiza el rendimiento de sus servicios seguros. De forma predeterminada, los usuarios y roles se almacenarán en caché durante 30 minutos. Puede modificar este período de tiempo estableciendo la propiedad minutesToCacheUserRoles con otro valor en el Directorio del administrador de ArcGIS Server, en las propiedades del sistema. También puede deshabilitar el almacenamiento en caché estableciendo la propiedad en cero.

Configurar privilegios de administrador y editor para usuarios de Active Directory

Para uso inmediato, ArcGIS Server solo permite que el administrador principal del sitio acceda al servidor. Si va a usar usuarios de Active Directory para administrar ArcGIS Server o publicar servicios, tendrá que realizar los pasos siguientes.

  1. En ArcGIS Server Manager, haga clic en la pestaña Seguridad y abra la página Usuarios.
  2. Utilice la herramienta Buscar usuario para localizar al usuario a quien desea asignar privilegios de administrador o de editor. Revise los roles de los que este usuario es miembro y elija el rol al que se asignarán privilegios de administrador o de editor.
  3. Abra la página Roles y utilice la herramienta Buscar rol para localizar el rol elegido en el paso anterior.
  4. Haga clic en el botón Editar Editar que se encuentra junto al rol.
  5. Para el parámetro Tipo de rol, elija Publicador o Administrador.
  6. Haga clic en Guardar para aplicar los cambios.

Establecer los permisos para los servicios Web de ArcGIS

Una vez que haya configurado la configuración de seguridad y definido los usuarios y roles, puede establecer permisos de los servicios para controlar quién puede acceder a ellos.

ArcGIS Server controla el acceso a los servicios Web de SIG alojados en el servidor mediante un modelo de control de acceso basado en roles. En un modelo de control de acceso basado en roles, el permiso para acceder a un servicio protegido está controlado por la asignación de roles a ese servicio. Para usar un servicio protegido, el usuario debe ser miembro de un rol a que se le ha asignado permisos para acceder a él.

Los permisos se pueden asignar a un servicio Web individual o a la carpeta principal que contiene un grupo de servicios. Si asigna permisos para una carpeta, cualquier servicio contenido dentro hereda los permisos de la carpeta. Por ejemplo, si desea otorgar un rol el acceso a la carpeta sitio (raíz), los usuarios que pertenecen a ese rol podrán acceder a todos los servicios alojados en este lugar. También, para invalidar permisos heredados automáticamente por un servicio de su carpeta principal, puede editar el servicio y quitar específicamente los permisos que han heredado.

Para establecer permisos para un servicio, consulte Editar permisos en Manager.

Nota:

Al examinar ArcGIS Server Manager utilizando la Autenticación integrada de Windows, el vínculo de Cerrar sesión ya no está visible. Esto se debe a que el usuario que está ejecutando el navegador Web ha iniciado sesión automáticamente mediante el sistema operativo. Para ejecutar el navegador como otro usuario, puede utilizar la opción de comando Ejecutar como de Windows. Para ello, localice el acceso directo al programa en el menú Inicio, mantenga pulsada la tecla Mayúsculas, haga clic con el botón derecho en el programa y elija Ejecutar como otro usuario.

Probar el acceso a servicios protegidos

Para hacer una prueba de la instalación, identifique una cuenta de usuario de dominio de Windows que tenga acceso a la carpeta raíz (sitio) que contienen los servicios. Inicie sesión en Windows utilizando esta cuenta de usuario, abra un navegador web y acceda a su ArcGIS Server WSDL:

http://webadaptorhost.domain.com/webadaptorname/services?wsdl

De forma similar, también puede ver el Directorio de servicios para comprobar el acceso a los servicios seguros:

http://webadaptorhost.domain.com/webadaptorname/rest/services

Nota:

Al examinar el Directorio de servicios utilizando la Autenticación de Windows integrada, el vínculo de Cerrar sesión ya no está visible. Esto se debe a que el usuario que está ejecutando el navegador Web ha iniciado sesión automáticamente mediante el sistema operativo. Para ejecutar el navegador como otro usuario, puede utilizar la opción de comando Ejecutar como de Windows. Para ello, localice el acceso directo al programa en el menú Inicio, mantenga pulsada la tecla Mayúsculas, haga clic con el botón derecho en el programa y elija Ejecutar como otro usuario.

Para determinar qué usuarios de dominio de Windows tienen acceso a la carpeta raíz, haga lo siguiente:

  1. Inicie sesión en el Administrador y haga clic en Servicios.
  2. Haga clic en el botón Bloquear Bloquear junto al carpeta del sitio (raíz) e identifique los roles a que se han dado permiso para acceder a esta carpeta. Si no hay ningún rol que tenga acceso, concédaselo al menos a uno haciendo clic en Agregar rol Agregar rol.
  3. Haga clic en Seguridad > Roles y en el botón Editar Editar para el rol que tiene acceso a la carpeta raíz.
  4. Vea la lista de usuarios que son miembros de este rol.