ArcGIS Server puede sacar provecho de la información de usuario y rol almacenada en un servidor LDAP como el Servidor de directorio de Apache o Microsoft Active Directory. ArcGIS Server trata al servidor LDAP como fuente de usuario/rol de solo lectura y, por lo tanto, no puede utilizar el Administrador de ArcGIS Server para agregar o eliminar usuarios y roles o editar sus atributos.
Para usar LDAP, debe implementar Web Adaptor en un servidor de aplicaciones Java como Apache Tomcat, IBM WebSphere u Oracle WebLogic. No puede utilizar ArcGIS Web Adaptor (IIS) para realizar la autenticación en el nivel Web con LDAP.
Los servicios Web de ArcGIS se pueden proteger con usuarios y roles desde un servidor LDAP con estos pasos:
- Configurar la configuración de seguridad.
- Revisar los usuarios y roles.
- Configurar la autenticación de niveles web en el Web Adaptor del servidor
- Establecer permisos para los servicios.
Configurar los ajustes de seguridad
Siga los pasos a continuación para configurar la seguridad con el Administrador:
- Abra el Administrador e inicie sesión como el administrador del sitio principal. Debe usar la cuenta del administrador del sitio principal. Si necesita ayuda con este paso, consulte Iniciar sesión en el Administrador.
- Haga clic en Seguridad > Configuración.
- Haga clic en el botón Editar junto a Ajustes de configuración.
- En la página Administración de usuarios y roles, elija la opción Usuarios y roles en un sistema corporativo existente (LDAP o dominio de Windows) y haga clic en Siguiente.
- En la página tipo de almacenamiento de Enterprise, seleccione la opción LDAP y haga clic en Siguiente.
- En la siguiente página, deberá introducir los parámetros para conectarse al servidor LDAP. Haga clic en Test de conexión para crear una prueba de conexión con el servidor LDAP. Si el intento de conexión tiene éxito, haga clic en Siguiente. En la siguiente tabla se describen los parámetros en esta página:
Parámetro Descripción Ejemplo Nombre del host
Nombre del equipo host en el que se ejecuta el servidor LDAP.
myservername
Puerto
Número de puerto en el equipo host donde el servidor LDAP está en línea para recibir conexiones entrantes. Si el servidor LDAP admite las conexiones seguras (ldaps), ArcGIS for Server cambiará automáticamente al protocolo ldaps. Si el puerto especificado es 10389, ArcGIS Server realizará una conexión segura al puerto 10636. Si el puerto especificado es 389, ArcGIS Server realizará una conexión segura al puerto 636.
10636
636
DN base
Nombre distinguido (DN) del nodo en el servidor de directorio donde se mantiene la información de usuario.
ou=users,ou=arcgis,dc=mydomain,dc=com
Dirección URL
La dirección URL de LDAP que se utilizará para conectarse al servidor LDAP (esto se genera automáticamente). Edite esta dirección URL si no es correcta o se necesitan cambios. Si el servidor LDAP no utiliza el puerto 636 estándar para las conexiones seguras, especifique aquí el número de puerto personalizado.
ldaps://myservername:636/ou=users,ou=arcgis,dc=mydomain,dc=com
ldaps://myservername:10636/ou=users,ou=arcgis,dc=mydomain,dc=com
ldaps://myservername:10300/ou=users,ou=arcgis,dc=mydomain,dc=com (puerto personalizado)
Atributo de RDN
El atributo Nombre distinguido relativo (RDN) para las entradas de usuario en el servidor LDAP.
Para el DN "cn=john,ou=users,ou=arcgis,dc=mydomain,dc=com" el RDN es "cn=john" y el atributo RDN es cn.
Para el DN "uid=john,ou=users,ui=arcgis,dc=mydomain,dc=com" el RDN es "uid=john" y el atributo RDN es cn.
DN del administrador
El DN de una cuenta de administrador LDAP que tiene acceso al nodo que incluye información del usuario.
Le recomendamos que especifique una cuenta de administrador con una contraseña que no caduque. Si no es posible, deberá repetir los pasos de esta sección cada vez que cambie la contraseña de la cuenta.
uid=admin, ou=administrators, dc=mydomain, dc=com
Contraseña
Contraseña del administrador.
adminpassword
- En la siguiente página, introduzca los parámetros para recuperar los roles del servidor LDAP. En la siguiente tabla se describen los parámetros en detalle:
Parámetro Descripción Ejemplo DN base
DN del nodo en el servidor de directorio donde se mantiene la información de rol.
ou=roles,ou=arcgis,dc=mydomain,dc=com
Dirección URL
La dirección URL de LDAP que se utilizará para conectarse al servidor (esto se genera automáticamente). Edite esta dirección URL si no es correcta o se necesitan cambios.
ldaps://myservername:10636/ou=roles,ou=arcgis,dc=mydomain,dc=com
Atributo de usuario en entrada de rol
El nombre del atributo en la entrada del rol que contiene el DN de usuarios que son miembros de este rol.
En el Servidor de directorio de Apache, el nombre de atributo que se utiliza más comúnmente es uniqueMember. En Microsoft Active Directory, el nombre de atributo utilizado más comúnmente es miembro.
- Después de introducir los parámetros, haga clic en Siguiente.
- En la página Nivel de autenticación, elija dónde desea que se realice la autenticación y haga clic en Siguiente. Para obtener más información sobre esta opción, consulte Configurar seguridad de ArcGIS Server.
- Revise el resumen de sus selecciones. Haga clic en Atrás para realizar cambios o Finalizar para aplicar y guardar la configuración de seguridad.
Revisar los usuarios y roles
Después de configurar la seguridad para utilizar el almacenamiento de usuario y de rol, revise la gestión de los usuarios y roles para asegurarse de que se importaron correctamente. Para agregar, editar o eliminar usuarios y roles, debe utilizar las herramientas de administración de usuario proporcionado por el proveedor de LDAP.
- En el Administrador, haga clic en Seguridad > Usuarios.
- Verifique que los usuarios se recuperaron como se esperaba desde el servidor LDAP.
- Haga clic en Roles para revisar los roles recuperados desde el servidor LDAP.
- Verifique que los roles se recuperaron desde el servidor LDAP correctamente. Haga clic en el botón Editar junto a un rol que compruebe la pertenencia al rol. Modifique el valor Tipo de rol como necesario. Para obtener información sobre los tipos de rol, consulte Restringir acceso a ArcGIS Server.
Almacenamiento en caché de usuarios y roles
A partir de ArcGIS 10.5, los usuarios y roles de LDAP se almacenarán en caché en el servidor tras una solicitud de usuarios o roles. Esto optimiza el rendimiento de sus servicios seguros. De forma predeterminada, los usuarios y roles se almacenarán en caché durante 30 minutos. Puede modificar este período de tiempo estableciendo la propiedad minutesToCacheUserRoles con otro valor en el Directorio del administrador de ArcGIS Server, en las propiedades del sistema. También puede deshabilitar el almacenamiento en caché estableciendo la propiedad en cero.
Configurar la autenticación de niveles web en el Web Adaptor del servidor
LDAP requiere autenticación de niveles web y esto se debe configurar con ArcGIS Web Adaptor (Java Platform). Web Adaptor utiliza el servidor de aplicaciones Java para autenticar el usuario y proporcionar a Web Adaptor el nombre de cuenta del usuario. Una vez que tiene el nombre de cuenta, lo transmite al servidor.
Nota:
Al configurar Web Adaptor es necesario habilitar la administración mediante Web Adaptor. Esto permite a los usuarios de LDAP publicar servicios desde ArcGIS Desktop. Cuando los usuarios con estos roles se conectan al servidor en ArcGIS Desktop, deben especificar la dirección URL de Web Adaptor.
Una vez que haya instalado y configurado ArcGIS Web Adaptor (Java Platform) con el servidor, tendrá que configurar un dominio LDAP en su servidor de aplicaciones Java y configurar el método de autenticación de Web Adaptor. Para obtener instrucciones, consulte la documentación del producto de su servidor de aplicaciones Java o contacte con el administrador del sistema.
Establecer los permisos para los servicios Web de ArcGIS
Una vez que haya configurado la configuración de seguridad y definido los usuarios y roles, puede establecer permisos de los servicios para controlar quién puede acceder a ellos.
ArcGIS Server controla el acceso a los servicios Web de SIG alojados en el servidor mediante un modelo de control de acceso basado en roles. En un modelo de control de acceso basado en roles, el permiso para acceder a un servicio protegido está controlado por la asignación de roles a ese servicio. Para usar un servicio protegido, el usuario debe ser miembro de un rol a que se le ha asignado permisos para acceder a él.
Los permisos se pueden asignar a un servicio Web individual o a la carpeta principal que contiene un grupo de servicios. Si asigna permisos para una carpeta, cualquier servicio contenido dentro hereda los permisos de la carpeta. Por ejemplo, si desea otorgar un rol el acceso a la carpeta sitio (raíz), los usuarios que pertenecen a ese rol podrán acceder a todos los servicios alojados en este lugar. También, para invalidar permisos heredados automáticamente por un servicio de su carpeta principal, puede editar el servicio y quitar específicamente los permisos que han heredado.
Para establecer permisos para un servicio, consulte Editar permisos en Manager.