Skip To Content

Controlar el acceso en ArcGIS Server

La seguridad de los recursos SIG se basa en la autenticación adecuada y rigurosa y la autorización de los usuarios. La autenticación es el proceso de verificar la identidad de un usuario, mientras que la autorización es el proceso de verificar que un usuario autenticado tiene permiso para acceder al recurso solicitado o realizar la operación solicitada. Para aplicar los permisos para recursos y operaciones protegidos, primero se autentica al usuario y, a continuación, se verifica su autorización. El modelo de seguridad define estos términos.

El modelo de seguridad de su sitio de ArcGIS Server determina quién puede acceder a los servicios del sitio, quién puede publicar, modificar y eliminar servicios y quién puede realizar tareas administrativas en el sitio. Existen varios modelos de seguridad en función de la configuración de la implementación SIG y de si se desea integrar el proveedor de identidades específico de su organización con la implementación.

Usuarios, roles y permisos

Cuando un recurso de ArcGIS Server está protegido, solo los usuarios autorizados pueden acceder a ese recurso. ArcGIS Enterprise, incluido un ArcGIS Server independiente, administra el acceso a un recurso protegido utilizando un sistema de control de acceso basado en roles. En un sistema de control de acceso basado en roles existen tres componentes principales: usuarios, roles y permisos.

Usuarios

Un usuario es cualquier persona o agente de software que accede a un recurso del servidor. Un almacén de identidades es una lista de usuarios que pueden solicitar recursos. El portal de ArcGIS Server y ArcGIS Enterprise tienen almacenes de identidades integrados y también puede utilizar los almacenes de identidades de un proveedor de identidades específico de la organización.

Roles

Un rol es un conjunto con un nivel específico de acceso. Los usuarios que componen un rol generalmente se relacionan con función, título o alguna otra relación. Por ejemplo, los usuarios que realizan la administración de un sitio de ArcGIS Server se podrían agrupan en un rol denominado Administrador y a los usuarios que solo necesitan ver y explorar recursos SIG se les podría asignar un rol denominado Viewer. En el almacén de identidades integrado de ArcGIS Server, un usuario puede pertenecer a más de un rol. En el almacén de identidades integrado del portal de ArcGIS Enterprise, a un usuario se le otorga un solo rol.

Permisos

Los permisos otorgan la autoridad de realizar una tarea determinada o acceder a un recurso determinado. Solo es posible asignar un permiso a un rol. Los usuarios individuales solo pueden adquirir permisos heredándolos de sus roles. El control de acceso basado en roles ofrece la posibilidad de aplicar, administrar y hacer auditorías a las políticas de control de acceso de una organización de forma eficiente y eficaz. Los permisos los administra internamente ArcGIS Server.

Modelos de seguridad disponibles

ArcGIS Server es un componente principal de la plataforma de ArcGIS Enterprise, que proporciona a la organización un sistema SIG Web completo. ArcGIS Server puede implementarse como un sistema independiente o puede integrarse con un portal de ArcGIS Enterprise mediante federación.

Patrón de implementación base de ArcGIS Enterprise

El administrador del servidor determina el modelo de seguridad de un sitio de ArcGIS Server independiente. En una implementación de ArcGIS Enterprise federada, el administrador del portal determina los modelos de uso compartido y de seguridad, reemplazando los del sitio del servidor.

Los portales de ArcGIS Server y ArcGIS Enterprise ofrecen una autenticación integrada efectiva y sólida, así como almacenes de identidades que se aplican de forma predeterminada. ArcGIS Enterprisey los sitios de ArcGIS Server independientes también son compatibles con la autenticación de nivel web y los proveedores de identidad externos. Cuando se configura este tipo de proveedor, la autenticación de usuario se realiza a través de su almacén de identidades.

Sitios de ArcGIS Server independientes

ArcGIS Server utiliza un modelo de acceso basado en roles. Se asignan a los usuarios uno o varios roles a los que se han otorgado permisos determinados.

Para administrar estos usuarios y roles, los sitios de ArcGIS Server de una configuración independiente pueden utilizar el almacén de identidades integrado, así como varios tipos de proveedores de identidad externos. Puede cambiar esta configuración utilizando el Asistente para la configuración de seguridad de ArcGIS Server Manager.

La autenticación para un sitio de ArcGIS Server independiente se puede realizar en el nivel servidor o en el nivel web.

En la siguiente tabla se describen las configuraciones de almacén de identidades que son compatibles con el tipo de autenticación elegido:

Mecanismo de autenticaciónConfiguraciones de almacén de identidades compatibles

Autenticación de ArcGIS Server

  • Usuarios y roles integrados
  • Usuarios de Active Directory y roles de Active Directory o el almacenamiento integrado
  • Usuarios de LDAP y roles de LDAP o el almacenamiento integrado
  • Usuarios de un almacenamiento personalizado y roles en el almacenamiento personalizado o el almacenamiento integrado

Autenticación en nivel web

Cualquier almacenamiento de usuario para el que el servidor web tenga soporte integrado o extensible

Por ejemplo, si su servidor web tiene compatibilidad integrada para los almacenes de identidades personalizados, Active Directory y LDAP, puede utilizar una de las siguientes configuraciones:

  • Usuarios de Active Directory y roles de Active Directory o el almacenamiento integrado
  • Usuarios de LDAP y roles de LDAP o el almacenamiento integrado
  • Usuarios de un almacenamiento personalizado y roles en el almacenamiento personalizado o integrado

Tal y como muestra el diagrama siguiente, la autenticación de nivel de servidor tiene lugar en el sitio del servidor, mientras que la autenticación de nivel web se basa en el almacén de identidades externo para validar las credenciales del usuario.

Modelos de autenticación de ArcGIS Server independientes

El almacén de identidades integrado se administra en ArcGIS Server Manager cuando está configurado. La información relativa a usuarios y roles se guarda en el almacén de configuración del servidor y solo ArcGIS Server tiene acceso a esa información. Los usuarios se autentican en el almacén de identidades utilizando tokens, cadenas de caracteres de información cifradas que contienen el nombre de usuario, el tiempo de caducidad del token y otros datos de información confidencial.

Se pueden configurar muchos tipos de sistemas de autenticación de nivel web con los sitios de ArcGIS Server independientes. Entre ellos se incluyen directorios Lightweight Directory Access Protocol (LDAP), la autenticación de certificados de cliente basada en la infraestructura de clave pública (PKI) y la Autenticación integrada de Windows (IWA).

Si su sitio de ArcGIS Server seguirá siendo un sitio independiente y no va a configurar ninguna autenticación de nivel web, consulte Configurar la autenticación de nivel servidor.

Si va a configurar la autenticación de nivel web (a través de un directorio LDAP, IWA o autenticación de certificado de cliente) con su sitio de ArcGIS Server independiente, consulte Configurar la autenticación de nivel web.

Sitios de ArcGIS Server federados

Si va a federar su sitio de ArcGIS Server con un portal de ArcGIS Enterprise, existen varios modelos de seguridad posibles para la implementación de ArcGIS Enterprise. Independientemente del modelo de seguridad que tenga su portal, una vez que federa su sitio de ArcGIS Server con el portal, ese modelo de seguridad reemplazará el almacén de identidades del servidor, incluidos todos los usuarios y roles que haya configurado en ArcGIS Server Manager.

El portal tiene su propio almacén de identidades integrado y se puede configurar con la autenticación de nivel web a través de los proveedores de identidad basados en IWA, autenticación de certificado de cliente o LDAP, del mismo modo que se puede configurar un sitio de ArcGIS Server independiente. Además, es posible configurar los proveedores de identidad externos que cumplen con el lenguaje de marcado para confirmaciones de seguridad (SAML) con un portal de ArcGIS Enterprise.

Si su sitio de ArcGIS Server está federado o si planea federarlo con un portal de ArcGIS Enterprise, consulte Federar un sitio de ArcGIS Server con su portal. Puede obtener más información sobre las opciones de modelos de seguridad del portal en esa sección, así como en la documentación de Portal for ArcGIS.