Puede configurar la autenticación de nivel web para su sitio de ArcGIS Server con la autenticación integrada de Windows. Esto requiere que los usuarios y roles se administren en un servidor Active Directory. Este enfoque puede ser útil si desea que los usuarios puedan aprovechar las cuentas del dominio Windows que ya posee en la red.
Nota:
Si su sitio de ArcGIS Server está federado con un portal, debe proteger el acceso mediante el portal en lugar de utilizar los pasos que se indican en este tema. Consulte Usar la autenticación integrada de Windows con el portal para ver más detalles.
Para usar la autenticación integrada de Windows, debe usar ArcGIS Web Adaptor (IIS) implementado en el servidor web IIS de Microsoft. No puede utilizar ArcGIS Web Adaptor (Java Platform) para llevar a cabo la Autenticación integrada de Windows.
Si los ajustes de inicio de sesión deniegan el derecho de inicio de sesión al equipo donde se aloja Active Directory, se producirá un error al configurar la seguridad. No es necesario otorgar permiso de Inicio de sesión local al grupo del usuario. Para obtener más información, consulte Consideraciones avanzadas para utilizar cuentas de dominio.
Para configurar la autenticación integrada de Windows con el sitio de su servidor, siga estos pasos:
- Configurar ArcGIS Web Adaptor (IIS) para utilizar la autenticación de Windows.
- Configurar ArcGIS Server para utilizar los usuarios y roles de Windows Active Directory.
- Revisar los usuarios y roles
- Configurar privilegios de administrador y editor para usuarios de Active Directory
- Establecer permisos para los servicios
- Probar el acceso a servicios protegidos
Configurar ArcGIS Web Adaptor (IIS) para utilizar la autenticación de Windows.
Para la autenticación integrada de Windows se requiere una autenticación de nivel web y debe hacerse con ArcGIS Web Adaptor (IIS).El web adaptor se basa en IIS para autenticar el usuario y proporcionar al web adaptor el nombre de cuenta del usuario. Una vez que tiene el nombre de cuenta, lo transmite a ArcGIS Server.
- Instale ArcGIS Web Adaptor (IIS), siguiendo las instrucciones indicadas en Instalar ArcGIS Web Adaptor (IIS).
- Configure Web Adaptor siguiendo las instrucciones que se describen en Configurar ArcGIS Web Adaptor después de la instalación.
Nota:
Al configurar ArcGIS Web Adaptor, es necesario habilitar la administración mediante el Web Adaptor. Esto permite a los usuarios de Windows Active Directory publicar servicios desde ArcGIS Pro. Cuando los usuarios con estos roles se conectan al servidor en ArcGIS Pro, deben especificar la URL de Web Adaptor.
- Defina el método de autenticación para el web adaptor utilizando el Administrador de IIS.
- Para abrir el Administrador de IIS, haga clic en Inicio > Panel de control > Herramientas administrativas > Internet Information Services Manager.
- En Sitios, expanda el árbol del lado izquierdo del Administrador de IIS. Expanda Sitio web predeterminado para buscar la aplicación ArcGIS Web Adaptor (IIS). De forma predeterminada, ArcGIS Web Adaptor (IIS) se llama arcgis.
- Edite la propiedad de autenticación para el web adaptor. Quite la selección de autenticación Anónimo y seleccione Autenticación de Windows.
- Cierre el Administrador de IIS.
Configurar la seguridad de ArcGIS Server para utilizar los usuarios y roles de Windows Active Directory
Para apoyar la Autenticación de Windows integrada, configure ArcGIS Server para recuperar los usuarios y roles desde un servidor de Active Directory de Windows.
- Abra Manager e inicie sesión como el administrador principal del sitio. Debe usar la cuenta del administrador principal del sitio. Si necesita ayuda con este paso, consulte Iniciar sesión en Manager.
- Haga clic en Seguridad > Configuración.
- Haga clic en el botón Editar junto a Ajustes de configuración.
- En la Administración de usuario y rol, elija la página Usuarios y roles en un sistema corporativo existente (LDAP o la opción de dominio de Windows) y haga clic en Siguiente.
- En la página tipo de almacenamiento Enterprise, seleccione la opción Dominio de Windows y haga clic en Siguiente.
- En la página Credenciales de dominio de Windows, proporcione las credenciales para una cuenta que tenga permisos para determinar en qué grupos se encuentran los usuarios. Haga clic en Siguiente.
Nota:
Le recomendamos que especifique una cuenta con una contraseña que no caduque. Si no es posible, deberá repetir los pasos de esta sección cada vez que cambie la contraseña.
- En la página Nivel de autenticación, elija Nivel Web.
- Revise el resumen de sus selecciones. Haga clic en Finalizar para aplicar y guardar la configuración de seguridad.
Revisar los usuarios y roles
Después de configurar un dominio de Windows de Active Directory como el usuario y el almacén de roles, revise los usuarios y roles para asegurarse de que se recuperan correctamente. Para agregar, editar o quitar usuarios y roles, debe utilizar las herramientas disponibles en el servidor de Active Directory.
- En Manager, haga clic en Seguridad > Usuarios.
- Verifique que los usuarios se recuperaron como se esperaba desde el servidor de dominio de Windows. Si Active Directory tiene varios dominios, se mostrarán los usuarios del dominio al que pertenezca el servidor SIG. Para ver los usuarios de otros dominios, proporcione la cadena de caracteres de búsqueda [nombre de dominio]\ en el campo Buscar usuario y, a continuación, haga clic en el botón Buscar .
- Haga clic en Roles para revisar los roles recuperados desde el servidor de dominio de Windows. Si Active Directory tiene varios dominios, se mostrarán los roles del dominio al que pertenezca el servidor SIG. Para ver los roles de otros dominios, proporcione la cadena de caracteres de búsqueda [nombre de dominio]\ en el campo Buscar rol y, a continuación, haga clic en el botón Buscar .
- Verifique que los roles se han recuperado como se esperaba.
Nota:
En la versión 10.3.1 y versiones posteriores, ArcGIS Web Adaptor (IIS) tiene propiedades para configurar las opciones relacionadas con la autenticación de Active Directory. Para obtener más información, consulte Configurar las opciones de la caché en RAM de ArcGIS Web Adaptor en la ayuda de ArcGIS Web Adaptor (IIS).
Almacenamiento en caché de usuarios y roles
A partir de la versión 10.5, los usuarios y roles de su Active Directory se almacenarán en caché en el servidor tras una solicitud de usuarios o roles. Esto optimiza el rendimiento de sus servicios seguros. De forma predeterminada, los usuarios y roles se almacenarán en caché durante 30 minutos. Puede modificar este período de tiempo estableciendo la propiedad minutesToCacheUsersAndRoles con otro valor en el Directorio de administrador de ArcGIS Server, en las propiedades del sistema. También puede deshabilitar el almacenamiento en caché estableciendo la propiedad en cero.
Configurar privilegios de administrador y editor para usuarios de Active Directory
De forma predeterminada, ArcGIS Server solo permite que el administrador principal del sitio acceda al servidor. Si va a utilizar usuarios de Active Directory para administrar ArcGIS Server o publicar servicios, tendrá que completar los pasos siguientes.
- En ArcGIS Server Manager, haga clic en la pestaña Seguridad y abra la página Usuarios.
- Utilice la herramienta Buscar usuario para localizar al usuario a quien desea asignar privilegios de administrador o de editor. Revise los roles de los que este usuario es miembro y elija el rol al que se asignarán privilegios de administrador o publicador.
- Abra la página Roles y utilice la herramienta Buscar rol para localizar el rol elegido en el paso anterior.
- Haga clic en el botón Editar que se encuentra junto al rol.
- Para el parámetro Tipo de rol, elija Publicador o Administrador.
- Haga clic en Guardar para aplicar los cambios.
Establecer los permisos para los servicios Web de ArcGIS
Una vez que haya configurado la configuración de seguridad y definido los usuarios y roles, puede establecer permisos de los servicios para controlar quién puede acceder a ellos.
ArcGIS Server controla el acceso a los servicios utilizando un modelo de control de acceso basado en roles. En un modelo de control de acceso basado en roles, el permiso para acceder a un servicio protegido está controlado por la asignación de roles a ese servicio. Para usar un servicio protegido, el usuario debe ser miembro de un rol a que se le ha asignado permisos para acceder a él.
Para cambiar los permisos para un servicio, consulte Controlar el acceso a los servicios.
Nota:
Al examinar ArcGIS Server Manager utilizando la autenticación integrada de Windows, el vínculo de Cerrar sesión ya no está visible. Esto se debe a que el usuario que está ejecutando el navegador Web ha iniciado sesión automáticamente mediante el sistema operativo. Para ejecutar el navegador como otro usuario, puede utilizar la opción de comando Ejecutar como de Windows. Para ello, localice el acceso directo al programa en el menú Inicio, pulse la tecla Mayúsculas mientras hace clic con el botón derecho en el programa y elija Ejecutar como otro usuario.
Probar el acceso a servicios protegidos
Para hacer una prueba de la instalación, identifique una cuenta de usuario de dominio de Windows que tenga acceso a la carpeta raíz (sitio) que contienen los servicios. Inicie sesión en Windows utilizando esta cuenta de usuario, abra un navegador web y acceda a su ArcGIS Server WSDL:
https://webadaptorhost.domain.com/webadaptorname/services?wsdl
De forma similar, también puede ver el Directorio de servicios para comprobar el acceso a los servicios seguros:
https://webadaptorhost.domain.com/webadaptorname/rest/services
Nota:
Al examinar el Directorio de servicios utilizando la autenticación integrada de Windows, el vínculo de Cerrar sesión ya no está visible. Esto se debe a que el usuario que está ejecutando el navegador Web ha iniciado sesión automáticamente mediante el sistema operativo. Para ejecutar el navegador como otro usuario, puede utilizar la opción de comando Ejecutar como de Windows. Para ello, localice el acceso directo al programa en el menú Inicio, pulse la tecla Mayúsculas mientras hace clic con el botón derecho en el programa y elija Ejecutar como otro usuario.
Para determinar qué usuarios de dominio de Windows tienen acceso a la carpeta raíz, haga lo siguiente:
- Inicie sesión en Manager y haga clic en Servicios.
- Haga clic en el botón Bloquear junto al carpeta del sitio (raíz) e identifique los roles a que se han dado permiso para acceder a esta carpeta. Si no hay ningún rol que tenga acceso, concédaselo al menos a uno haciendo clic en Agregar rol .
- Haga clic en Seguridad > Roles y en el botón Editar para el rol que tiene acceso a la carpeta raíz.
- Vea la lista de usuarios que son miembros de este rol.