Asegurar servicios Web con la Autenticación de Windows integrada
Este tutorial muestra cómo proteger los servicios Web de ArcGIS mediante la Autenticación de Windows integrada. La autenticación de Windows integrada requiere que los usuarios y roles se administren en un servidor de Active Directory de Microsoft Windows. Este enfoque puede ser útil si desea que los usuarios de SIG puedan aprovechar las cuentas que ya posee en la red.
Puede utilizar la Autenticación de Windows integrada cuando los usuarios tienen cuentas de dominio de Windows y acceden a los servicios a través de una red local.
Si la configuración de su inicio de sesión deniega el derecho de inicio de sesión al equipo donde se aloja Active Directory, se producirá un error al configurar la seguridad. No es necesario otorgar permiso de Inicio de sesión local al grupo del usuario. Para obtener más información, consulte Consideraciones avanzadas para utilizar cuentas de dominio.
Nota:La autenticación integrada en Windows no se admite a través de Internet y requiere la instalación y configuración de ArcGIS Web Adaptor (IIS). El Web Adaptor ArcGIS Server realiza la autenticación, mientras que autoriza el acceso a los servicios web.
Para proteger los servicios Web de ArcGIS mediante la Autenticación de Windows integrada, siga estos pasos:
- Configurar el ArcGIS Web Adaptor (IIS) para utilizar la autenticación de Windows.
- Configurar ArcGIS Server para utilizar los usuarios y roles de WindowsActive Directory.
- Revisar los usuarios y roles.
- Configurar privilegios de administrador y responsable de publicación para usuarios de Active Directory.
- Establecer permisos para los servicios.
- Probar el acceso a servicios protegidos.
Configurar el ArcGIS Web Adaptor (IIS) para utilizar la autenticación de Windows
Después de configurar sus servicios para utilizar los usuarios y roles en un servidor de Active Directory de Windows, debe instalar y configurar el ArcGIS Web Adaptor (IIS) y configurar IIS para utilizar la autenticación de Windows como el método de autenticación.
- Instale Web Adaptor, siguiendo las instrucciones indicadas en Instalar el ArcGIS Web Adaptor (IIS).
- Configure Web Adaptor siguiendo las instrucciones que se describen en Configurar ArcGIS Web Adaptor después de la instalación.
- Establezca el método de autenticación para la Web Adaptor utilizando el Administrador de IIS.
- Para abrir el Administrador de IIS, haga clic en Inicio > Panel de control > Herramientas administrativas > Internet Information Services Manager.
- Expanda el árbol del lado izquierdo del Administrador de IIS, en Sitios. Expanda Sitio Web predeterminado para buscar la aplicación ArcGIS Web Adaptor (IIS). De forma predeterminada, ArcGIS Web Adaptor (IIS) se llama arcgis.
- Edite la propiedad de autenticación para la Web Adaptor. Quite la selección de autenticación Anónimo y seleccione Autenticación de Windows.
- Cierre el Administrador de IIS.
Configurar la seguridad de ArcGIS Server para utilizar los usuarios y roles de Windows de Active Directory
Para apoyar la Autenticación de Windows integrada, configure ArcGIS Server para recuperar los usuarios y roles desde un servidor de Active Directory de Windows:
- Abra el Administrador e inicie sesión como el administrador del sitio principal o un usuario con acceso administrativo. Si necesita ayuda con este paso, consulte Iniciar sesión en el Administrador.
- Haga clic en Seguridad > Configuración.
- Haga clic en el botón Editar
junto a Ajustes de configuración. - En la Administración de usuario y rol, elija la página Usuarios y roles en un sistema corporativa existente (LDAP o la opción de dominio de Windows) y haga clic en Siguiente.
- En la página Tipo de almacenamiento corporativo, seleccione la opción Dominio de Windows y haga clic en Siguiente.
- En la página Credenciales de dominio de Windows, introduzca las credenciales para una cuenta que tenga permisos para determinar en qué grupos se encuentran los usuarios. Haga clic en Siguiente.Nota:
Le recomendamos que especifique una cuenta con una contraseña que no caduque. Si no es posible, deberá repetir los pasos de esta sección cada vez que cambie la contraseña de la cuenta.
- En la página Nivel de autenticación, elija Nivel Web.
- Revise el resumen de sus selecciones. Haga clic en Finalizar para aplicar y guardar la configuración de seguridad.
Revisar usuarios y roles
Después de configurar un dominio de Windows de Active Directory como el almacenamiento de usuario y de rol, revise los usuarios y roles para asegurarse de que se recuperan correctamente. Para agregar, editar o eliminar usuarios y roles, debe utilizar las herramientas disponibles en el servidor de Active Directory.
- En el Administrador, haga clic en Seguridad > Usuarios.
- Verifique que los usuarios se recuperaron como se esperaba desde el servidor de dominio de Windows. Si Active Directory tiene varios dominios, se mostrarán los usuarios del dominio al que pertenezca el servidor SIG. Para ver los usuarios de otros dominios, introduzca la cadena de búsqueda [nombre de dominio]\ en el campo Buscar usuario y haga clic en Buscar
. - Haga clic en Roles para revisar los roles recuperados desde el servidor de dominio de Windows. Si Active Directory tiene varios dominios, se mostrarán los roles del dominio al que pertenezca el servidor SIG. Para ver los roles de otros dominios, introduzca la cadena de búsqueda [nombre de dominio]\ en el campo Buscar rol y haga clic en Buscar .
- Verifique que los roles se han recuperado como se esperaba.
Configurar privilegios de administrador y responsable de publicación para usuarios de Active Directory
Para uso inmediato, ArcGIS Server solo permite que el administrador principal del sitio acceda al servidor. Si va a usar usuarios de Active Directory para administrar ArcGIS Server o publicar servicios, tendrá que realizar los pasos siguientes.
- En ArcGIS Server Manager, haga clic en la pestaña Seguridad y abra la página Usuarios.
- Utilice la herramienta Buscar usuario para localizar al usuario a quien desea asignar privilegios de administrador o de responsable de publicación. Revise los roles de los que este usuario es miembro y elija el rol al que se asignarán privilegios de administrador o de responsable de publicación.
- Abra la página Roles y use la herramienta Buscar rol para localizar el rol elegido en el paso anterior.
- Haga clic en el botón Editar situado junto al rol.
- Para el parámetro Tipo de rol, elija Responsable de publicación o Administrador.
- Haga clic en Guardar para aplicar los cambios.
Establecer permisos para los servicios Web de ArcGIS
Una vez que haya configurado la configuración de seguridad y definido los usuarios y roles, puede establecer permisos de los servicios para controlar quién puede acceder a ellos.
ArcGIS 10.1 for Server controla el acceso a los servicios Web de SIG alojados en el servidor mediante un modelo de control de acceso basado en roles. En un modelo de control de acceso basado en roles, el permiso para acceder a un servicio protegido está controlado por la asignación de roles a ese servicio. Para usar un servicio protegido, el usuario debe ser miembro de un rol a que se le ha asignado permisos para acceder a él.
Los permisos se pueden asignar a un servicio Web individual o a la carpeta principal que contiene un grupo de servicios. Si asigna permisos para una carpeta, cualquier servicio contenido dentro hereda los permisos de la carpeta. Por ejemplo, si desea otorgar un rol el acceso a la carpeta sitio (raíz), los usuarios que pertenecen a ese rol podrán acceder a todos los servicios alojados en este lugar. También, para invalidar permisos heredados automáticamente por un servicio de su carpeta principal, puede editar el servicio y quitar específicamente los permisos que han heredado.
Para establecer permisos para un servicio, consulte Editar permisos en el Administrador.
Nota:Al examinar el ArcGIS Server Manager utilizando la Autenticación de Windows integrada, el vínculo de Cerrar sesión ya no está visible. Esto se debe a que el usuario que está ejecutando el navegador Web ha iniciado sesión automáticamente mediante el sistema operativo. Para ejecutar el navegador como otro usuario, puede utilizar la opción de comando Ejecutar como de Windows. Para ello, localice el acceso directo al programa en el menú Inicio, mantenga pulsada la tecla Mayúsculas, haga clic en el programa con el botón derecho y seleccione Ejecutar como otro usuario.
Probar el acceso a servicios protegidos
Para hacer una prueba de la instalación, identifique una cuenta de usuario de dominio de Windows que tenga acceso a la carpeta raíz (sitio) que contienen los servicios. Inicie sesión en Windows utilizando esta cuenta de usuario, abra un navegador Web y acceda a su ArcGIS Server WSDL:
http://webadaptor.domain.com/arcgis/services?wsdl
De forma similar, también puede ver el Directorio de servicios para comprobar el acceso a los servicios seguros:
http://webadaptor.domain.com/arcgis/rest/services
Nota:Al examinar el Directorio de servicios utilizando la Autenticación de Windows integrada, el vínculo de Cerrar sesión ya no está visible. Esto se debe a que el usuario que está ejecutando el navegador Web ha iniciado sesión automáticamente mediante el sistema operativo. Para ejecutar el navegador como otro usuario, puede utilizar la opción de comando Ejecutar como de Windows. Para ello, localice el acceso directo al programa en el menú Inicio, mantenga pulsada la tecla Mayúsculas, haga clic en el programa con el botón derecho y seleccione Ejecutar como otro usuario.
Para determinar qué usuarios de dominio de Windows tienen acceso a la carpeta raíz, haga lo siguiente:
- Inicie sesión en el Administrador y haga clic en Servicios.
- Haga clic en el botón Bloquear.
junto al carpeta del sitio (raíz) e identifique los roles que han recibido permiso para acceder a esta carpeta. Si no hay ningún rol que tenga acceso, concédaselo al menos a uno haciendo clic en Agregar rol 
. - Haga clic en Seguridad > Roles y haga clic en el botón Editar para el rol que tiene acceso a la carpeta raíz.
- Vea la lista de usuarios que son miembros de este rol.