Proteger los servicios Web con la Autenticación de Windows integrada
En este tema
- Configurar el
ArcGIS Web Adaptor (IIS) para utilizar la autenticación de Windows. - Configurar la seguridad de ArcGIS Server para utilizar los usuarios y roles de Windows de Active Directory
- Revisar los usuarios y roles
- Configurar privilegios de administrador y editor para usuarios de Active Directory
- Establecer los permisos para los servicios Web de ArcGIS
- Probar el acceso a servicios protegidos
Este tutorial muestra cómo proteger los servicios Web de ArcGIS mediante la Autenticación de Windows integrada. Esto requiere que los usuarios y funciones se gestionen en un servidor Active Directory de Microsoft Windows. Este enfoque puede ser útil si desea que los usuarios de SIG puedan aprovechar las cuentas del dominio Windows que ya posee en la red.
Para usar la autenticación de Windows integrada, debe usar ArcGIS Web Adaptor (IIS) implementado en el servidor web IIS de Microsoft. No puede utilizar ArcGIS Web Adaptor (Java Platform) para llevar a cabo la autenticación de Windows integrada.
Si la configuración de su inicio de sesión deniega el derecho de inicio de sesión al equipo donde se aloja Active Directory, se producirá un error al configurar la seguridad. No es necesario otorgar permiso de Inicio de sesión local al grupo del usuario. Para obtener más información, consulte Consideraciones avanzadas para utilizar cuentas de dominio.
Para proteger los servicios Web de ArcGIS mediante la Autenticación de Windows integrada, siga estos pasos:
- Configurar el ArcGIS Web Adaptor (IIS) para utilizar la autenticación de Windows.
- Configurar ArcGIS Server para utilizar los usuarios y roles de Windows Active Directory.
- Revisar los usuarios y roles.
- Configurar privilegios de administrador y editor para usuarios de Active Directory.
- Establecer permisos para los servicios.
- Probar el acceso a servicios protegidos.
Configurar el ArcGIS Web Adaptor (IIS) para utilizar la autenticación de Windows.
Web Adaptor utiliza IIS para autenticar el usuario y proporcionar a Web Adaptor el nombre de cuenta del usuario. Una vez que tiene el nombre de cuenta, lo transmite a ArcGIS Server.
- Instale Web Adaptor, siguiendo las instrucciones indicadas en Instalar el ArcGIS Web Adaptor (IIS).
- Configure Web Adaptor siguiendo las instrucciones que se describen en Configurar ArcGIS Web Adaptor después de la instalación.
Nota:
Al configurar Web Adaptor es necesario habilitar la administración mediante Web Adaptor. Esto permite a los usuarios de Windows Active Directory para publicar servicios desde ArcGIS for Desktop. Cuando los usuarios con estos roles se conectan al servidor en ArcGIS for Desktop, deben especificar la dirección URL de Web Adaptor.
- Establezca el método de autenticación para la Web Adaptor utilizando el Administrador de IIS.
- Para abrir el Administrador de IIS, haga clic en Inicio > Panel de control > Herramientas administrativas > Internet Information Services Manager.
- En Sitios, expanda el árbol del lado izquierdo del Administrador de IIS. Expanda Sitio Web predeterminado para buscar la aplicación ArcGIS Web Adaptor (IIS). De forma predeterminada, ArcGIS Web Adaptor (IIS) se llama arcgis.
- Edite la propiedad de autenticación para la Web Adaptor. Quite la selección de autenticación Anónimo y seleccione Autenticación de Windows.
- Cierre el Administrador de IIS.
Configurar la seguridad de ArcGIS Server para utilizar los usuarios y roles de Windows de Active Directory
Para apoyar la Autenticación de Windows integrada, configure ArcGIS Server para recuperar los usuarios y roles desde un servidor de Active Directory de Windows.
- Abra el Administrador e inicie sesión como el administrador del sitio principal. Debe usar la cuenta del administrador del sitio principal. Si necesita ayuda con este paso, consulte Iniciar sesión en el Administrador.
- Haga clic en Seguridad > Configuración.
- Haga clic en el botón Editar
junto a Ajustes de configuración. - En la Administración de usuario y rol, elija la página Usuarios y roles en un sistema corporativa existente (LDAP o la opción de dominio de Windows) y haga clic en Siguiente.
- En la página tipo de almacenamiento Enterprise, seleccione la opción Dominio de Windows y haga clic en Siguiente.
- En la página Credenciales de dominio de Windows, proporcione las credenciales para una cuenta que tenga permisos para determinar en qué grupos se encuentran los usuarios. Haga clic en Siguiente.
Nota:
Le recomendamos que especifique una cuenta con una contraseña que no caduque. Si no es posible, deberá repetir los pasos de esta sección cada vez que cambie la contraseña de la cuenta.
- En la página Nivel de autenticación, elija Nivel Web.
- Revise el resumen de sus selecciones. Haga clic en Finalizar para aplicar y guardar la configuración de seguridad.
Revisar los usuarios y roles
Después de configurar un dominio de Windows de Active Directory como el usuario y el almacén de roles, revise los usuarios y roles para asegurarse de que se recuperan correctamente. Para agregar, editar o quitar usuarios y roles, debe utilizar las herramientas disponibles en el servidor de Active Directory.
- En el Administrador, haga clic en Seguridad > Usuarios.
- Verifique que los usuarios se recuperaron como se esperaba desde el servidor de dominio de Windows. Si Active Directory tiene varios dominios, se mostrarán los usuarios del dominio al que pertenezca el servidor SIG. Para ver los usuarios de otros dominios, proporcione la cadena de caracteres de búsqueda [nombre de dominio]\ en el campo Buscar usuario y, a continuación, haga clic en el botón Buscar
. - Haga clic en Roles para revisar los roles recuperados desde el servidor de dominio de Windows. Si Active Directory tiene varios dominios, se mostrarán los roles del dominio al que pertenezca el servidor SIG. Para ver los roles de otros dominios, proporcione la cadena de caracteres de búsqueda [nombre de dominio]\ en el campo Buscar rol y, a continuación, haga clic en el botón Buscar .
- Verifique que los roles se han recuperado como se esperaba.
Nota:
En la versión 10.3.1 y versiones posteriores, ArcGIS Web Adaptor (IIS) tiene propiedades para configurar las opciones relacionadas con la autenticación de Active Directory. Para obtener más información, consulte Configurar las opciones de la caché en RAM del sistema ArcGIS Web Adaptor en la ayuda de Web Adaptor (IIS).
Configurar privilegios de administrador y editor para usuarios de Active Directory
Para uso inmediato, ArcGIS Server solo permite que el administrador principal del sitio acceda al servidor. Si va a usar usuarios de Active Directory para administrar ArcGIS Server o publicar servicios, tendrá que realizar los pasos siguientes.
- En ArcGIS Server Manager, haga clic en la pestaña Security y abra la página Usuarios.
- Utilice la herramienta Buscar usuario para localizar al usuario a quien desea asignar privilegios de administrador o de editor. Revise los roles de los que este usuario es miembro y elija el rol al que se asignarán privilegios de administrador o de editor.
- Abra la página Roles y utilice la herramienta Buscar rol para localizar el rol elegido en el paso anterior.
- Haga clic en Editar que se encuentra junto al rol.
- Para el parámetro Tipo de rol, elija Publicador o Administrador.
- Haga clic en Guardar para aplicar los cambios.
Establecer los permisos para los servicios Web de ArcGIS
Una vez que haya configurado la configuración de seguridad y definido los usuarios y roles, puede establecer permisos de los servicios para controlar quién puede acceder a ellos.
ArcGIS Server controla el acceso a los servicios Web de SIG alojados en el servidor mediante un modelo de control de acceso basado en roles. En un modelo de control de acceso basado en roles, el permiso para acceder a un servicio protegido está controlado por la asignación de roles a ese servicio. Para usar un servicio protegido, el usuario debe ser miembro de un rol a que se le ha asignado permisos para acceder a él.
Los permisos se pueden asignar a un servicio Web individual o a la carpeta principal que contiene un grupo de servicios. Si asigna permisos para una carpeta, cualquier servicio contenido dentro hereda los permisos de la carpeta. Por ejemplo, si desea otorgar un rol el acceso a la carpeta sitio (raíz), los usuarios que pertenecen a ese rol podrán acceder a todos los servicios alojados en este lugar. También, para invalidar permisos heredados automáticamente por un servicio de su carpeta principal, puede editar el servicio y quitar específicamente los permisos que han heredado.
Para establecer permisos para un servicio, consulte Editar permisos en Manager.
Nota:
Al examinar el ArcGIS Server Manager utilizando la Autenticación de Windows integrada, el vínculo de Cerrar sesión ya no está visible. Esto se debe a que el usuario que está ejecutando el navegador Web ha iniciado sesión automáticamente mediante el sistema operativo. Para ejecutar el navegador como otro usuario, puede utilizar la opción de comando Ejecutar como de Windows. Para ello, localice el acceso directo al programa en el menú Inicio, mantenga pulsada la tecla Mayúsculas, haga clic en el programa con el botón derecho y elija Ejecutar como otro usuario.
Probar el acceso a servicios protegidos
Para hacer una prueba de la instalación, identifique una cuenta de usuario de dominio de Windows que tenga acceso a la carpeta raíz (sitio) que contienen los servicios. Inicie sesión en Windows utilizando esta cuenta de usuario, abra un navegador Web y acceda a su ArcGIS Server WSDL:
http://webadaptor.domain.com/arcgis/services?wsdl
De forma similar, también puede ver el Directorio de servicios para comprobar el acceso a los servicios seguros:
http://webadaptor.domain.com/arcgis/rest/services
Nota:
Al examinar el Directorio de servicios utilizando la Autenticación de Windows integrada, el vínculo de Cerrar sesión ya no está visible. Esto se debe a que el usuario que está ejecutando el navegador Web ha iniciado sesión automáticamente mediante el sistema operativo. Para ejecutar el navegador como otro usuario, puede utilizar la opción de comando Ejecutar como de Windows. Para ello, localice el acceso directo al programa en el menú Inicio, mantenga pulsada la tecla Mayúsculas, haga clic en el programa con el botón derecho y elija Ejecutar como otro usuario.
Para determinar qué usuarios de dominio de Windows tienen acceso a la carpeta raíz, haga lo siguiente:
- Inicie sesión en el Administrador y haga clic en Servicios.
- Haga clic en el botón Bloquear
junto al carpeta del sitio (raíz) e identifique los roles a que se han dado permiso para acceder a esta carpeta. Si no hay ningún rol que tenga acceso, concédaselo al menos a uno haciendo clic en Agregar rol 
. - Haga clic en Seguridad > Roles y haga clic en Editar para el rol que tiene acceso a la carpeta raíz.
- Vea la lista de usuarios que son miembros de este rol.