Si utiliza Active Directory para autenticar a los usuarios, puede usar una infraestructura de clave pública (PKI) para proteger el acceso a ArcGIS Server.
Para usar la Autenticación integrada de Windows y PKI, debe usar ArcGIS Web Adaptor (IIS) implementado en el servidor web IIS de Microsoft. No puede utilizar ArcGIS Web Adaptor (Java Platform) para llevar a cabo la autenticación integrada de Windows. Si aún no lo ha hecho, instale y configure ArcGIS Web Adaptor (IIS) con su sitio de ArcGIS Server.
Nota:
Si desea federar su sitio de ArcGIS Server con un portal y usar Active Directory y PKI con el servidor, deberá desactivar la autenticación de certificado cliente basada en PKI en su sitio de ArcGIS Server y habilitar el acceso anónimo antes de federarlo con el portal. Aunque pueda parecer poco intuitivo, esto es necesario para que el sitio quede libre para federarlo con el portal y pueda leer los usuarios y los roles del portal. Después, puede configurar Active Directory y PKI con el portal.
Configure su servidor con Active Directory
Configurar la seguridad de ArcGIS Server para utilizar los usuarios y roles de Active Directory
Para permitir la Autenticación de Windows integrada, configure ArcGIS Server para recuperar los usuarios y roles desde un servidor de Windows Active Directory.
- Abra Manager e inicie sesión como el administrador principal del sitio. Debe usar la cuenta del administrador principal del sitio. Si necesita ayuda con este paso, consulte Iniciar sesión en Manager.
- Haga clic en Seguridad > Configuración.
- Haga clic en el botón Editar junto a Ajustes de configuración.
- En la Administración de usuario y rol, elija la página Usuarios y roles en un sistema corporativo existente (LDAP o la opción de dominio de Windows) y haga clic en Siguiente.
- En la página tipo de almacenamiento Enterprise, seleccione la opción Dominio de Windows y haga clic en Siguiente.
- En la página Credenciales de dominio de Windows, proporcione las credenciales para una cuenta que tenga permisos para determinar en qué grupos se encuentran los usuarios. Haga clic en Siguiente.
Nota:
Le recomendamos que especifique una cuenta con una contraseña que no caduque. Si no es posible, deberá repetir los pasos de esta sección cada vez que cambie la contraseña.
- En la página Nivel de autenticación, elija Nivel Web.
- Revise el resumen de sus selecciones. Haga clic en Finalizar para aplicar y guardar la configuración de seguridad.
Revisar los usuarios y roles
Después de configurar un dominio de Active Directory como el almacenamiento de usuario y de rol, revise los usuarios y roles para asegurarse de que se recuperaron correctamente. Para agregar, editar o quitar usuarios y roles, debe utilizar las herramientas disponibles en el servidor de Active Directory.
- En Manager, haga clic en Seguridad > Usuarios.
- Verifique que los usuarios se recuperaron como se esperaba desde el servidor de dominio de Windows. Si Active Directory tiene varios dominios, se mostrarán los usuarios del dominio al que pertenezca el servidor SIG. Para ver los usuarios de otros dominios, proporcione la cadena de caracteres de búsqueda [nombre de dominio]\ en el campo Buscar usuario y, a continuación, haga clic en el botón Buscar .
- Haga clic en Roles para revisar los roles recuperados desde el servidor de dominio de Windows. Si Active Directory tiene varios dominios, se mostrarán los roles del dominio al que pertenezca el servidor SIG. Para ver los roles de otros dominios, proporcione la cadena de caracteres de búsqueda [nombre de dominio]\ en el campo Buscar rol y, a continuación, haga clic en el botón Buscar .
- Verifique que los roles se han recuperado como se esperaba.
Configurar privilegios de administrador y editor para usuarios de Active Directory
De forma predeterminada, ArcGIS Server solo permite que el administrador principal del sitio acceda al servidor. Si va a utilizar usuarios de Active Directory para administrar ArcGIS Server o publicar servicios, tendrá que completar los pasos siguientes.
- En ArcGIS Server Manager, haga clic en la pestaña Seguridad y abra la página Usuarios.
- Utilice la herramienta Buscar usuario para localizar al usuario a quien desea asignar privilegios de administrador o de editor. Revise los roles de los que este usuario es miembro y elija el rol al que se asignarán privilegios de administrador o publicador.
- Abra la página Roles y utilice la herramienta Buscar rol para localizar el rol elegido en el paso anterior.
- Haga clic en el botón Editar que se encuentra junto al rol.
- Para el parámetro Tipo de rol, elija Publicador o Administrador.
- Haga clic en Guardar para aplicar los cambios.
Instalar y activar la autenticación de asignaciones de certificado de cliente de Active Directory
La asignación de certificado de cliente de Active Directory no está disponible en la instalación predeterminada de IIS. Primero debe instalar y habilitar la característica.
Instalar la autenticación de asignaciones de certificado de cliente de Active Directory
Las instrucciones para instalar esta característica varían según el sistema operativo.
Windows Server 2016
- Abra Herramientas administrativas y haga clic en Administrador del servidor.
- En el panel jerárquico Administrador de servidores, expanda Roles y haga clic en Servidor web (IIS).
- Expanda los roles de Servidor web y Seguridad.
- En la sección del rol Seguridad, seleccione Autenticación de asignaciones de certificado de cliente y haga clic en Siguiente.
- Haga clic en Siguiente por la pestaña Seleccionar entidades y haga clic en Instalar.
Windows Server 2008 R2 y 2012/R2
- Abra Herramientas administrativas y haga clic en Administrador del servidor.
- En el panel jerárquico Administrador de servidores, expanda Roles y haga clic en Servidor web (IIS).
- Desplácese a la sección Servicios de función y haga clic en Agregar servicios de función.
- En la página Seleccionar servicios de función del Asistente Agregar servicios de función, seleccione Autenticación de asignaciones de certificado de cliente y haga clic en Siguiente.
- Haga clic en Instalar.
Windows 7, 8 y 8.1
- Abra el Panel de control y haga clic en Programas y características > Activar o desactivar las características de Windows.
- Expanda Servicios de Internet Information Server > Servicios World Wide Web > Seguridad y seleccione Autenticación de asignaciones de certificado de cliente.
- Haga clic en Aceptar.
Activar la autenticación de asignaciones de certificado de cliente de Active Directory
Después de instalar la asignación de certificado de cliente de Active Directory, habilite la característica siguiendo los pasos siguientes.
- Inicie el Administrador de Internet Information Server (IIS).
- En el nodo Conexiones, haga clic en el nombre de su servidor web.
- Haga doble clic en Autenticación en la ventana Vista Características.
- Compruebe que se muestra Autenticación de certificados de cliente de Active Directory. Si la característica no aparece o no está disponible, tal vez deba reiniciar su servidor web para completar la instalación de la función de autenticación de certificados de cliente de Active Directory.
- Haga doble clic en Autenticación de certificados de cliente de Active Directory y seleccione Habilitar en la ventana Acciones.
Se mostrará un mensaje que indica que es necesario activar SSL para usar la autenticación de certificados de cliente de Active Directory. Esto se aborda en la sección siguiente.
Configurar ArcGIS Web Adaptor para requerir certificados cliente y SSL
- Inicie el Administrador de Internet Information Server (IIS).
- Expanda el nodo Conexiones y seleccione el sitio de Web Adaptor.
- Haga doble clic en Autenticación en la ventana Vista Características.
- Deshabilite todas las formas de autenticación.
- Vuelva a seleccionar ArcGIS Web Adaptor en la lista Conexiones.
- Haga doble clic en Configuración de SSL.
- Active la opción Requerir SSL y elija la opción Requerir en Certificados de cliente.
- Haga clic en Aplicar para guardar los cambios.
Comprobar que puede acceder al sitio mediante Active Directory y PKI
- Abra el directorio de servicios. La dirección URL tiene el formato https://webadaptorhost.domain.com/webadaptorname/rest/services.
- Verifique que se le hayan solicitado las credenciales de seguridad y que puede acceder al sitio web.