Skip To Content

Configurar la autenticación de nivel web con un directorio LDAP

Puede configurar un sitio de ArcGIS Server independiente para utilizar la información de usuarios y roles almacenada en un directorio LDAP como el servidor de Apache Directory o Microsoft Active Directory. Cuando está configurado, sustituye el uso del almacén de identidades integrado del servidor para administrar usuarios y roles. ArcGIS Server trata al directorio LDAP como fuente de solo lectura de información sobre usuarios/roles y, por lo tanto, no es posible utilizar ArcGIS Server Manager para agregar o eliminar usuarios y roles ni editar sus atributos.

Nota:

Si un sitio de ArcGIS Server independiente está federado con un portal de ArcGIS Enterprise, adopta la configuración de seguridad y uso compartido del portal. Consulte Usar el portal con LDAP o Active Directory y autenticación de nivel web para obtener el flujo de trabajo equivalente en el portal.

Para usar LDAP, debe implementar Web Adaptor en un servidor de aplicaciones Java como Apache Tomcat, IBM WebSphere u Oracle WebLogic. No puede utilizar ArcGIS Web Adaptor (IIS) para realizar la autenticación en el nivel web con LDAP.

Es posible configurar un directorio LDAP para administrar los usuarios y roles del servidor con estos pasos:

  1. Configurar la configuración de seguridad.
  2. Revisar los usuarios y roles.
  3. Configurar la autenticación de niveles web en el Web Adaptor del servidor
  4. Controlar los permisos de sus servicios.

Configurar los ajustes de seguridad

Siga los pasos a continuación para configurar la seguridad con Manager:

  1. Abra Manager e inicie sesión como el administrador principal del sitio. Debe usar la cuenta del administrador principal del sitio. Si necesita ayuda con este paso, consulte Iniciar sesión en Manager.
  2. Haga clic en Seguridad > Configuración.
  3. Haga clic en el botón Editar Editar junto a Ajustes de configuración.
  4. En la Administración de usuario y rol, elija la página Usuarios y roles en un sistema corporativo existente (LDAP o la opción de dominio de Windows) y haga clic en Siguiente.
  5. En la página tipo de almacenamiento de Enterprise, seleccione la opción LDAP y haga clic en Siguiente.
  6. En la siguiente página, deberá proporcionar los parámetros para conectarse al directorio LDAP. Haga clic en Probar conexión para crear una prueba de conexión con el directorio LDAP. Si el intento de conexión tiene éxito, haga clic en Siguiente. En la siguiente tabla se describen los parámetros en esta página:

    ParámetroDescripciónEjemplo

    Nombre del host

    Nombre del equipo host en el que se ejecuta el directorio LDAP.

    myservername

    Puerto

    Número de puerto en el equipo host donde el directorio LDAP está a la escucha de conexiones entrantes. Si el directorio LDAP admite las conexiones seguras (ldaps), ArcGIS Server cambiará automáticamente al protocolo ldaps. Si el puerto especificado es 10389, ArcGIS Server realizará una conexión segura al puerto 10636. Si el puerto especificado es 389, ArcGIS Server realizará una conexión segura al puerto 636.

    10636

    636

    DN base

    Nombre distinguido (DN) del nodo en el servidor de directorio donde se mantiene la información de usuario.

    ou=users,ou=arcgis,dc=mydomain,dc=com

    Dirección URL

    La URL de LDAP que se utilizará para conectarse al directorio LDAP (se genera automáticamente). Edite esta dirección URL si no es correcta o se necesitan cambios. Si el directorio LDAP no utiliza el puerto 636 estándar para las conexiones seguras, especifique aquí el número de puerto personalizado.

    ldaps://myservername:636/ou=users,ou=arcgis,dc=mydomain,dc=com

    ldaps://myservername:10636/ou=users,ou=arcgis,dc=mydomain,dc=com

    ldaps://myservername:10300/ou=users,ou=arcgis,dc=mydomain,dc=com (puerto personalizado)

    Atributo de RDN

    El atributo Nombre distinguido relativo (RDN) para las entradas de usuario en el directorio LDAP.

    Para el DN "cn=john,ou=users,ou=arcgis,dc=mydomain,dc=com" el RDN es "cn=john" y el atributo RDN es cn.

    Para el DN "uid=john,ou=users,ui=arcgis,dc=mydomain,dc=com" el RDN es "uid=john" y el atributo RDN es cn.

    DN del administrador

    El DN de una cuenta de administrador LDAP que tiene acceso al nodo que incluye información del usuario.

    Le recomendamos que especifique una cuenta de administrador con una contraseña que no caduque. Si no es posible, deberá repetir los pasos de esta sección cada vez que cambie la contraseña.

    uid=admin, ou=administrators, dc=mydomain, dc=com

    Contraseña

    Contraseña del administrador.

    adminpassword

  7. En la siguiente página, proporcione los parámetros para recuperar los roles del directorio LDAP. En la siguiente tabla se describen los parámetros en detalle:

    ParámetroDescripciónEjemplo

    DN base

    DN del nodo en el servidor de directorio donde se mantiene la información de rol.

    ou=roles,ou=arcgis,dc=mydomain,dc=com

    Dirección URL

    La dirección URL de LDAP que se utilizará para conectarse al servidor (esto se genera automáticamente). Edite esta dirección URL si no es correcta o se necesitan cambios.

    ldaps://myservername:10636/ou=roles,ou=arcgis,dc=mydomain,dc=com

    Atributo de usuario en entrada de rol

    El nombre del atributo en la entrada del rol que contiene el DN de usuarios que son miembros de este rol.

    En el Servidor de directorio de Apache, el nombre de atributo que se utiliza más comúnmente es uniqueMember. En Microsoft Active Directory, el nombre de atributo utilizado más comúnmente es miembro.

  8. Después de proporcionar los parámetros, haga clic en Siguiente.
  9. En la página Nivel de autenticación, elija dónde desea que se realice la autenticación y haga clic en Siguiente. Para obtener más información sobre esta opción, consulte Configurar la seguridad de ArcGIS Server.
  10. Revise el resumen de sus selecciones. Haga clic en Atrás para realizar cambios o Finalizar para aplicar y guardar la configuración de seguridad.

Revisar los usuarios y roles

Después de configurar la seguridad para utilizar el almacenamiento de usuario y de rol, revise la gestión de los usuarios y roles para asegurarse de que se importaron correctamente. Para agregar, editar o eliminar usuarios y roles, debe utilizar las herramientas de administración de usuario proporcionado por el proveedor de LDAP.

  1. En Manager, haga clic en Seguridad > Usuarios.
  2. Verifique que los usuarios se recuperaron como se esperaba desde el directorio LDAP.
  3. Haga clic en Roles para revisar los roles recuperados del directorio LDAP.
  4. Verifique que los roles se han recuperado como se esperaba del directorio LDAP. Haga clic en el botón Editar junto a un rol que compruebe la pertenencia al rol. Modifique el valor Tipo de rol como necesario. Para obtener información sobre los tipos de rol, consulte Restringir el acceso a ArcGIS Server.

Almacenamiento en caché de usuarios y roles

A partir de 10.5, los usuarios y roles de LDAP se almacenarán en caché en el servidor tras una solicitud de usuarios o roles. Esto optimiza el rendimiento de sus servicios seguros. De forma predeterminada, los usuarios y roles se almacenarán en caché durante 30 minutos. Puede modificar este período de tiempo estableciendo la propiedad minutesToCacheUsersAndRoles con otro valor en el Directorio de administrador de ArcGIS Server, en las propiedades del sistema. También puede deshabilitar el almacenamiento en caché estableciendo la propiedad en cero.

Configurar la autenticación de niveles web en el Web Adaptor del servidor

LDAP requiere autenticación de niveles web y esto se debe configurar con ArcGIS Web Adaptor (Java Platform). Web Adaptor utiliza el servidor de aplicaciones Java para autenticar el usuario y proporcionar a Web Adaptor el nombre de la cuenta del usuario. Una vez que tiene el nombre de cuenta, lo transmite al servidor.

Nota:

Al configurar Web Adaptor, es necesario habilitar la administración mediante Web Adaptor. Esto permite a los usuarios del almacén de identidades específico de la organización publicar servicios desde ArcGIS Pro. Cuando los usuarios con estos roles se conectan al servidor en ArcGIS Pro, deben especificar la URL de Web Adaptor.

Una vez que haya instalado y configurado ArcGIS Web Adaptor con el servidor, tendrá que configurar un dominio LDAP en su servidor de aplicaciones Java y configurar el método de autenticación de Web Adaptor. Para obtener instrucciones, consulte la documentación del producto de su servidor de aplicaciones Java o contacte con el administrador del sistema.

Controlar los permisos de sus servicios

Una vez que haya configurado la configuración de seguridad y definido los usuarios y roles, puede establecer permisos de los servicios para controlar quién puede acceder a ellos.

ArcGIS Server controla el acceso a los servicios utilizando un modelo de control de acceso basado en roles. En un modelo de control de acceso basado en roles, el permiso para acceder a un servicio protegido está controlado por la asignación de roles a ese servicio. Para usar un servicio protegido, el usuario debe ser miembro de un rol a que se le ha asignado permisos para acceder a él.

Para cambiar los permisos para un servicio, consulte Controlar el acceso a los servicios.