Usar Windows Active Directory y PKI para proteger el acceso al portal

Puede usar la infraestructura de clave pública (PKI) para proteger el acceso al portal cuando Windows Active Directory gestione las cuentas de usuarios.

Las siguientes secciones explican la configuración de Portal for ArcGIS y de ArcGIS Web Adaptor (IIS) de modo que usen una PKI. Es necesario completar todos los pasos en el orden que se presenta aquí. Si necesita ayuda para configurar otros servidores web de modo que usen PKI con ArcGIS Web Adaptor, póngase en contacto con los Servicios profesionales de Esri.

En estos pasos se entiende que ya ha instalado ArcGIS Web Adaptor (IIS) y Portal for ArcGIS, y que ha registrado el portal con Web Adaptor.

HerenciaHerencia:

Legado: En la versión 10.2, se le pedía que editara un archivo de propiedades en disco para configurar la seguridad para su portal. Esto ya no es necesario a partir de la versión 10.2.1. Las siguientes instrucciones sólo se aplican a la versión 10.2.1 y posteriores. Si necesita ayuda con estas instrucciones en la versión 10.2, consulte la documentación de la versión 10.2.

Configurar Portal for ArcGIS para utilizar los usuarios de Active Directory de Windows

En primer lugar, configure el portal de modo que use exclusivamente SSL. Esto se define en la página Seguridad del sitio web del portal.

Pasos:
  1. Inicie sesión en el sitio web del portal como administrador del portal.
  2. Haga clic en Editar configuración en la página Mi organización.
  3. Haga clic en Seguridad.
  4. Active Permitir acceso al portal solo a través de SS.
  5. Haga clic en Guardar para aplicar los cambios.
NotaNota:

Si va a agregar un sitio de ArcGIS Server a su portal y desea utilizar la autenticación de nivel web con el sitio, deberá deshabilitar la autenticación de nivel web (básica o digest) y habilitar el acceso anónimo en ArcGIS Web Adaptor configurado con su sitio antes de agregarlo al portal. Aunque pueda parecer poco intuitivo, esto es necesario para que el sitio quede libre para federarlo con el portal y pueda leer los usuarios y los roles del portal. Si el sitio de ArcGIS Server no usa aún autenticación de niveles web, no debe hacer nada. Para obtener instrucciones sobre cómo agregar un servidor al portal, consulte Federar un sitio de ArcGIS Server con su portal.

A continuación, actualice el almacén de identidades del portal para utilizar cuentas de Active Directory de Windows.

Pasos:
  1. Inicie sesión en el Directorio del portal con una cuenta que tenga privilegios de administrador. La URL tiene el formato https://webadaptor.domain.com/arcgis/portaladmin.
  2. Haga clic en seguridad > Config > Actualizar almacén de identidades.
  3. Coloque el JSON de configuración de la Windows Active Directory en el cuadro de texto Configuración de almacén de usuarios (en formato JSON).

    Puede copiar el texto siguiente y modificarlo para que incluya la información específica de su sitio:

    {
  "type": "WINDOWS",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "mydomain\\winaccount",
    "userFullnameAttribute": "cn",
    "userEmailAttribute": "email",
    "caseSensitive": "false"
  }
}

    En la mayoría de los casos, solo deberá modificar valores para los parámetros de usuario y contraseña de usuario. Aunque escriba la contraseña con texto no cifrado, esta se cifrará cuando se almacene o consulte en el directorio de configuraciones del portal. La cuenta que utilice para el parámetro de usuario solo necesita permisos para consultar la dirección de correo electrónico y el nombre completo de las cuentas de Windows en la red. Si es posible, utilice una cuenta cuya contraseña no caduque.

  4. Cuando haya terminado de introducir el JSON para la configuración del almacén de usuarios, haga clic en Actualizar configuración para guardar los cambios.

Instalar y activar la autenticación de asignaciones de certificado de cliente de Active Directory

Es necesario instalar y activar la autenticación de asignaciones de certificado de cliente de Active Directory en IIS.

Instalar la autenticación de asignaciones de certificado de cliente de Active Directory

La asignación de certificado de cliente de Active Directory no está disponible en la instalación predeterminada de IIS. Las instrucciones para instalar esta característica varían según el sistema operativo.

Windows Server 2008/R2 y 2012/R2

Pasos:
  1. Abra Herramientas administrativas y haga clic en Administrador del servidor.
  2. En el panel jerárquico Administrador de servidores, expanda Roles y haga clic en Servidor web (IIS).
  3. Desplácese a la sección Servicios de función y haga clic en Agregar servicios de función.
  4. En la página Seleccionar servicios de función del Asistente Agregar servicios de función, seleccione Autenticación de asignaciones de certificado de cliente y haga clic en Siguiente.
  5. Haga clic en Instalar.

Windows 7, 8 y 8.1

Pasos:
  1. Abra el Panel de control y haga clic en Programas y características > Activar o desactivar las características de Windows.
  2. Expanda Servicios de Internet Information Server > Servicios World Wide Web > Seguridad y seleccione Autenticación de asignaciones de certificado de cliente.
  3. Haga clic en Aceptar.

Activar la autenticación de asignaciones de certificado de cliente de Active Directory

La asignación de certificado de cliente de Active Directory no se activa automáticamente después de instalar la característica en Windows. Es necesario activarla en IIS utilizando los pasos siguientes.

Pasos:
  1. Inicie el Administrador de servicios de Internet Information Server (IIS).
  2. En el nodo Conexiones, haga clic en el nombre de su servidor web.
  3. Haga doble clic en Autenticación en la ventana Vista Características.
  4. Compruebe que se muestra Autenticación de certificados de cliente de Active Directory. Si la característica no aparece o no está disponible, tal vez deba reiniciar su servidor web para completar la instalación de la función de autenticación de certificados de cliente de Active Directory.
  5. Haga doble clic en Autenticación de certificados de cliente de Active Directory y seleccione Activar en la ventana Acciones.

Se mostrará un mensaje que indica que es necesario activar SSL para usar la autenticación de certificados de cliente de Active Directory. Esto se aborda en la sección siguiente.

Configurar Web Adaptor para que exija SSL

Modifique la configuración de autenticación y de SSL para Web Adaptor.

Pasos:
  1. Inicie el Administrador de servicios de Internet Information Server (IIS).
  2. Expanda el nodo Conexiones y seleccione el sitio de Web Adaptor.
  3. Haga doble clic en Autenticación en la ventana Vista Características.
  4. Deshabilite todas las formas de autenticación.
  5. Vuelva a seleccionar Web Adaptor en la lista Conexiones.
  6. Haga doble clic en Configuración de SSL.
  7. Active la opción Requerir SSL y elija la opción Requerir en Certificados de cliente.
  8. Haga clic en Aplicar para guardar los cambios.

Designar una cuenta de Active Directory como administrador

El modo de agregar una cuenta de Active Directory a su portal dependerá de si este está configurado para agregar cuentas al portal automáticamente cuando los usuarios inicien sesión utilizando un inicio de sesión corporativo o si las cuentas se deben agregar desde el Directorio de Portal for ArcGIS. Para obtener información sobre esta configuración, consulte Configurar la creación de cuentas.

Si registra cuentas para usuarios corporativos de forma manual

Si el portal está configurado de modo que debe agregar las cuentas utilizando la herramienta CreateUsers, siga las instrucciones de Agregar miembros a un portal para agregar la cuenta de Active directory como administrador del portal. Asegúrese de que selecciona el rol de Administrador al registrar la cuenta corporativa.

Si las cuentas se registran automáticamente para usuarios corporativos

Si el portal está configurado para agregar cuentas corporativas automáticamente, abra la página de inicio del sitio web del portal mientras está conectado con la cuenta de Active Directory que desea utilizar como administrador del portal. Dependiendo del navegador y la configuración, es posible que se le pida que inicie sesión.

Cuando una cuenta se agrega por primera vez al portal de forma automática, tiene asignado el rol de usuario. Solo un administrador puede cambiar el rol de una cuenta; por tanto, debe iniciar sesión en el portal utilizando la cuenta de administrador inicial y asignar a la cuenta de Active Directory el rol de administrador. Dado que Web Adaptor se ha configurado para la autenticación de Windows, debe conectarse al portal a través del puerto 7443 y no de Web Adaptor para iniciar sesión usando la cuenta de administrador inicial.

Pasos:
  1. Conéctese al portal mientras tiene una sesión abierta con la cuenta corporativa a la que desea asignar el rol de administrador. Si esa cuenta pertenece a otro usuario, pídale que se conecte al portal para que su cuenta quede registrada en el portal.
  2. Una vez que la cuenta se haya agregado al portal, abra un navegador y conéctese al portal mediante el puerto 7443, por ejemplo, https://portal.domain.com:7443/arcgis/home.
  3. Inicie sesión usando la cuenta de administrador inicial que creó cuando configuró Portal for ArcGIS.
  4. Busque la cuenta de Active Directory que desea usar para administrar el portal y cambie el rol a Administrador. La cuenta aparecerá en el formato username@domain.
  5. Cierre la sesión en el sitio web.

Ahora, cuando inicie sesión en el equipo con esta cuenta de Active Directory, podrá establecer conexión con el portal a través de Web Adaptor y administrar el portal.

Degradar o eliminar la cuenta de administrador inicial

Ahora que tiene una cuenta de administrador del portal alternativa, puede asignar la cuenta de administrador inicial al rol Usuario o eliminar la cuenta. Consulte Acerca de la cuenta de administrador inicial para obtener más información.

Impedir que los usuarios creen sus propias cuentas.

Después de haber protegido el acceso al portal, puede deshabilitar el botón Crear una cuenta y la página de registro (signup.html) en el sitio web del portal para que la gente no pueda crear cuentas propias. Esto significa que todos los miembros inician sesión en el portal con sus credenciales corporativas y no pueden crearse cuentas de miembros innecesarias.

Siga estos pasos para impedir que los usuarios creen sus propias cuentas:

Pasos:
  1. Vaya a <Portal for ArcGIS installation directory>\customizations\10.2.2\webapps\arcgis#home\js\esri\arcgisonline y abra config.js en un editor de texto.
  2. Localice la propiedad showSignUp y especifique el valor como false.
  3. Guarde y cierre el archivo
  4. Para aplicar las modificaciones, reinicie el portal.
  5. Cuando el portal se haya reiniciado, borre la caché del navegador (incluidas las cookies) para ver los cambios en el sitio web del portal.
Copyright © 1995-2014 Esri. All rights reserved.
5/9/2014