Cuando utilice Active Directory para autenticar usuarios, puede utilizar la autenticación de certificado de cliente basada en infraestructura de clave pública (PKI) para acceder de forma segura a ArcGIS Server.
Para usar la Autenticación integrada de Windows y la autenticación de certificados de clientes, debe utilizar ArcGIS Web Adaptor (IIS) implementado en el servidor web ISS de Microsoft. No puede utilizar ArcGIS Web Adaptor (Java Platform) para llevar a cabo la autenticación integrada. Para obtener instrucciones sobre cómo instalar y configurar ArcGIS Web Adaptor (IIS) con su sitio de ArcGIS Server, consulte la Guía de instalación de ArcGIS Web Adaptor (IIS).
Nota:
Si desea federar un sitio de ArcGIS Server con un portal y usar Active Directory y la autenticación de certificados de clientes con el servidor, deberá desactivar la autenticación de certificado cliente en su sitio de ArcGIS Server y habilitar el acceso anónimo antes de federarlo con el portal. Aunque pueda parecer poco intuitivo, esto es necesario para que el sitio quede libre para federarlo con el portal y pueda leer los usuarios y los roles del portal. Después, puede configurar Active Directory y el certificado del cliente con el portal.
Configuración de un servidor con Active Directory
Consulte las secciones siguientes para configurar un servidor con Active Directory.
Configurar la seguridad de ArcGIS Server para utilizar los usuarios y roles de Active Directory
Para permitir la autenticación de Windows integrada, configure ArcGIS Server para recuperar los usuarios y roles desde un servidor de Windows Active Directory.
- Abra Manager e inicie sesión como el administrador principal del sitio. Si necesita ayuda con este paso, consulte Iniciar sesión en Manager.
Debe usar la cuenta del administrador principal del sitio.
- Haga clic en Seguridad > Configuración.
- Haga clic en el botón Editar junto a Ajustes de configuración.
- En la Administración de usuario y rol, elija la página Usuarios y roles en un sistema corporativo existente (LDAP o la opción de dominio de Windows) y haga clic en Siguiente.
- En la página tipo de almacenamiento Enterprise, seleccione la opción Dominio de Windows y haga clic en Siguiente.
- En la página Credenciales de dominio de Windows, proporcione las credenciales para una cuenta que tenga permisos para determinar en qué grupos se encuentran los usuarios. Haga clic en Siguiente.
Nota:
Le recomendamos que especifique una cuenta con una contraseña que no caduque. Si no es posible, deberá repetir los pasos de esta sección cada vez que cambie la contraseña.
- En la página Nivel de autenticación, elija Nivel Web.
- Revise el resumen de sus selecciones. Haga clic en Finalizar para aplicar y guardar la configuración de seguridad.
Revisar los usuarios y roles
Después de configurar un dominio de Active Directory como almacén de los usuarios y los roles, revise los usuarios y los roles para asegurarse de que se recuperaron correctamente. Para agregar, editar o eliminar usuarios y roles, debe utilizar las herramientas disponibles en el servidor de Active Directory.
- En Manager, haga clic en Seguridad > Usuarios.
- Verifique que los usuarios se recuperaron correctamente del servidor de dominio de Windows.
Si Active Directory tiene varios dominios, se mostrarán los usuarios del dominio al que pertenezca el servidor SIG.
- Para ver los usuarios de otros dominios, proporcione la cadena de caracteres de búsqueda [nombre de dominio]\ en el campo Buscar usuario y, a continuación, haga clic en el botón Buscar .
- Haga clic en Roles para revisar los roles recuperados desde el servidor de dominio de Windows.
Si Active Directory tiene varios dominios, se mostrarán los roles del dominio al que pertenezca el servidor SIG.
- Para ver los roles de otros dominios, proporcione la cadena de caracteres de búsqueda [nombre de dominio]\ en el campo Buscar rol y, a continuación, haga clic en el botón Buscar .
- Verifique que los roles se han recuperado como se esperaba.
Configurar privilegios de administrador y editor para usuarios de Active Directory
De forma predeterminada, ArcGIS Server solo otorga acceso al servidor al administrador principal del sitio. Si va a utilizar usuarios de Active Directory para administrar ArcGIS Server o publicar servicios, tendrá que completar los pasos siguientes.
- En ArcGIS Server Manager, haga clic en la pestaña Seguridad y abra la página Usuarios.
- Utilice la herramienta Buscar usuario para localizar al usuario a quien desea asignar privilegios de administrador o de editor. Revise los roles de los que este usuario es miembro y elija el rol al que se asignarán privilegios de administrador o publicador.
- Abra la página Roles y utilice la herramienta Buscar rol para localizar el rol elegido en el paso anterior.
- Haga clic en el botón Editar que se encuentra junto al rol.
- Para el parámetro Tipo de rol, elija Publicador o Administrador.
- Haga clic en Guardar para aplicar los cambios.
Instalar y activar la autenticación de asignaciones de certificado de cliente de Active Directory
La asignación de certificado de cliente de Active Directory no está disponible en la instalación predeterminada de IIS. Primero debe instalar y habilitar la característica.
Instalar la autenticación de asignaciones de certificado de cliente de Active Directory
Las instrucciones para instalar esta característica varían según el sistema operativo.
Instalar con Windows Server 2016
Siga estos pasos para instalar con Windows Server 2016:
- Abra Herramientas administrativas y haga clic en Administrador del servidor.
- En el panel jerárquico Administrador de servidores, expanda Roles y haga clic en Servidor web (IIS).
- Expanda los roles de Servidor web y Seguridad.
- En la sección del rol Seguridad, seleccione Autenticación de asignaciones de certificado de cliente y haga clic en Siguiente.
- Haga clic en Siguiente en la pestaña Seleccionar entidades y haga clic en Instalar.
Instalación con Windows Server 2008/R2 y 2012/R2
Complete los siguientes pasos para instalar la autenticación de asignaciones de certificado de cliente con Windows Server 2008/R2 y 2012/R2:
- Abra Herramientas administrativas y haga clic en Administrador del servidor.
- En el panel jerárquico Administrador de servidores, expanda Roles y haga clic en Servidor web (IIS).
- Desplácese a la sección Servicios de función y haga clic en Agregar servicios de función.
- En la página Seleccionar servicios de función del Asistente Agregar servicios de función , seleccione Autenticación de asignaciones de certificado de cliente y haga clic en Siguiente.
- Haga clic en Instalar.
Instalar con Windows 7, 8, y 8.1
Complete los siguientes pasos para instalar con Windows 7, 8, y 8.1:
- Abra el Panel de control y haga clic en Programas y características > Activar o desactivar las características de Windows.
- Expanda Servicios de Internet Information Server > Servicios World Wide Web > Seguridad y seleccione Autenticación de asignaciones de certificado de cliente.
- Haga clic en Aceptar.
Activar la autenticación de asignaciones de certificado de cliente de Active Directory
Después de instalar la asignación de certificado de cliente de Active Directory, habilite la característica siguiendo los pasos siguientes.
- Inicie el Administrador de Internet Information Server (IIS).
- En el nodo Conexiones, haga clic en el nombre de su servidor web.
- Haga doble clic en Autenticación en la ventana Vista Características.
- Compruebe que se muestra Autenticación de certificados de cliente de Active Directory.
Si la característica no aparece o no está disponible, tal vez deba reiniciar su servidor web para completar la instalación de la función de autenticación de certificados de cliente de Active Directory.
- Haga doble clic en Autenticación de certificados de cliente de Active Directory y seleccione Habilitar en la ventana Acciones.
Aparece un mensaje que indica que es necesario activar SSL para usar la Autenticación de certificados de cliente de Active Directory. Esto se aborda en la sección siguiente.
Configurar ArcGIS Web Adaptor para requerir certificados cliente y SSL
Complete los siguientes pasos para configurar ArcGIS Web Adaptor para requerir certificados cliente y SSL:
- Inicie el Administrador de Internet Information Server (IIS).
- Expanda el nodo Conexiones y seleccione el sitio de ArcGIS Web Adaptor.
- Haga doble clic en Autenticación en la ventana Vista Características.
- Deshabilite todas las formas de autenticación.
- Vuelva a seleccionar Web Adaptor en la lista Conexiones.
- Haga doble clic en Configuración de SSL.
- Active la opción Requerir SSL y elija la opción Requerir en Certificados de cliente.
- Haga clic en Aplicar para guardar los cambios.
Verificar que se puede acceder al sitio usando Active Directory y la autenticación de certificados de clientes
Siga estos pasos para verificar que puede acceder al sitio:
- Abra el directorio de servicios.
La URL tiene el formato https://webadaptorhost.domain.com/webadaptorname/rest/services.
- Verifique que se le hayan solicitado las credenciales de seguridad y que puede acceder al sitio web.