Usar la autenticación de Windows integrada con el portal
Puede proteger el acceso al portal mediante la autenticación de Windows integrada (IWA). Cuando se usa la IWA, los inicios de sesión se administran mediante Active Directory de Microsoft Windows. Los usuarios no inician y cierran sesión en el sitio web del portal. En lugar de eso, cuando abren el sitio web, inician sesión con las mismas cuentas que utilizan para iniciar sesión en Windows.
Hay tres pasos principales que se deben completar para configurar la IWA con el portal, y además se deben seguir en este orden.
- Configurar Portal for ArcGIS para utilizar los usuarios de Active Directory de Windows
- Configurar ArcGIS Web Adaptor para utilizar la autenticación de Windows
- Designar una cuenta de Windows como administrador
Legado: En la versión 10.2, se le pedía que editara un archivo de propiedades en disco para configurar la seguridad para su portal. Esto ya no es necesario a partir de la versión 10.2.1. Las siguientes instrucciones sólo se aplican a la versión 10.2.1 y posteriores. Si necesita ayuda con estas instrucciones en la versión 10.2, consulte la documentación de la versión 10.2.
Configurar Portal for ArcGIS para utilizar los usuarios de Active Directory de Windows
En primer lugar, configure el portal de modo que use exclusivamente SSL. Esto se define en la página Seguridad del sitio web del portal.
- Inicie sesión en el sitio web del portal como administrador del portal.
- Haga clic en Editar configuración en la página Mi organización.
- Haga clic en Seguridad.
- Active Permitir acceso al portal solo a través de SS.
- Haga clic en Guardar para aplicar los cambios.
A continuación, actualice el almacén de identidades del portal para utilizar cuentas de Active Directory de Windows.
- Inicie sesión en el Directorio del portal con una cuenta que tenga privilegios de administrador. La URL tiene el formato https://webadaptor.domain.com/arcgis/portaladmin.
- Haga clic en seguridad > Config > Actualizar almacén de identidades.
- Coloque el JSON de configuración de la IWA en el cuadro de texto Configuración de almacén de usuarios (en formato JSON).
Puede copiar el texto siguiente y modificarlo para que incluya la información específica de su sitio:
{ "type": "WINDOWS", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "mydomain\\winaccount", "userFullnameAttribute": "cn", "userEmailAttribute": "email", "caseSensitive": "false" } }
En la mayoría de los casos, solo deberá modificar valores para los parámetros de usuario y contraseña de usuario. Aunque escriba la contraseña con texto no cifrado, esta se cifrará cuando se almacene o consulte en el directorio de configuraciones del portal. La cuenta que utilice para el parámetro de usuario solo necesita permisos para consultar la dirección de correo electrónico y el nombre completo de las cuentas de Windows en la red. Si es posible, utilice una cuenta cuya contraseña no caduque.
En el caso poco común de que su Active directory esté configurado para distinguir entre mayúsculas y minúsculas, ajuste el parámetro caseSensitive a "true".
- Cuando haya terminado de introducir el JSON para la configuración del almacén de usuarios, haga clic en Actualizar configuración para guardar los cambios y reiniciar el portal.
Configurar ArcGIS Web Adaptor para utilizar la autenticación de Windows
A continuación, configure ArcGIS Web Adaptor para que utilice la autenticación de Windows. Para ArcGIS Web Adaptor (IIS), defina el método de autenticación en el Administrador de IIS.
- Inicie el Administrador de IIS.
- Acceda al sitio web de ArcGIS Web Adaptor en el panel Conexiones.
Expanda <su servidor> > Sitios > Sitio web predeterminado y haga clic en Web Adaptor. Si ha utilizado el nombre predeterminado, el sitio se llamará arcgis.
- Haga doble clic en Autenticación en el panel Inicio.
- Haga clic en Autenticación anónima y haga clic en Deshabilitar.
- Haga clic en Autenticación de Windows y haga clic en Habilitar.
- Cierre el Administrador de IIS.
Si va a agregar un sitio de ArcGIS Server a su portal y desea utilizar la autenticación de nivel web con el sitio, deberá deshabilitar la autenticación de nivel web (básica o digest) y habilitar el acceso anónimo en ArcGIS Web Adaptor configurado con su sitio antes de agregarlo al portal. Aunque pueda parecer poco intuitivo, esto es necesario para que el sitio quede libre para federarlo con el portal y pueda leer los usuarios y los roles del portal. Si el sitio de ArcGIS Server no usa aún autenticación de niveles web, no debe hacer nada. Para obtener instrucciones sobre cómo agregar un servidor al portal, consulte Federar un sitio de ArcGIS Server con su portal.
Designar una cuenta de Windows como administrador
El modo de agregar una cuenta de Windows a su portal dependerá de si este está configurado para agregar cuentas al portal automáticamente cuando los usuarios inicien sesión utilizando un inicio de sesión corporativo o si las cuentas se deben agregar desde el Directorio de Portal for ArcGIS. Para obtener información sobre esta configuración, consulte Configurar la creación de cuentas.
Si registra cuentas para usuarios corporativos de forma manual
Si el portal está configurado de modo que debe agregar las cuentas utilizando la herramienta de creación de usuarios, siga las instrucciones de Agregar cuentas corporativas a su portal para agregar la cuenta de Windows como administrador del portal. Asegúrese de que selecciona el rol de Administrador al registrar la cuenta corporativa.
Si las cuentas se registran automáticamente para usuarios corporativos
Si el portal está configurado para registrar cuentas corporativas automáticamente, abra la página de inicio del sitio web del portal mientras está conectado con la cuenta de Windows que desea utilizar como administrador del portal. Dependiendo del navegador y la configuración, es posible que se le pida que inicie sesión.
Cuando una cuenta se agrega por primera vez al portal de forma automática, tiene asignado el rol de usuario. Solo un administrador puede cambiar el rol de una cuenta; por tanto, debe iniciar sesión utilizando la cuenta de administrador inicial y asignar una cuenta de Windows al rol de administrador. Dado que Web Adaptor se ha configurado para la autenticación de Windows, debe conectarse al portal a través del puerto 7443 y no de Web Adaptor para iniciar sesión usando la cuenta de administrador inicial.
- Conéctese al portal mientras está conectado con la cuenta de Windows que desea utilizar como administrador. Si esta cuenta pertenece a otro usuario, pídale que se conecte al portal para que la cuenta quede registrada con el portal.
- Una vez que la cuenta de Windows se haya agregado al portal, abra un explorador y conéctese al portal mediante el puerto 7443, por ejemplo, https://portal.domain.com:7443/arcgis/home.
- Inicie sesión usando la cuenta de administrador inicial que creó cuando configuró Portal for ArcGIS.
- Busque la cuenta de Windows que usará para administrar el portal y cambie el rol a Administrador. La cuenta aparecerá en el formato username@domain.
- Cierre la sesión en el sitio web.
Ahora, cuando inicie sesión en el equipo con esta cuenta de Windows, podrá establecer conexión con el portal a través de Web Adaptor y administrar el portal.
Degradar o eliminar la cuenta de administrador inicial
Ahora que tiene una cuenta de administrador del portal alternativa, puede asignar la cuenta de administrador inicial al rol Usuario o eliminar la cuenta. Consulte Acerca de la cuenta de administrador inicial para obtener más información.
Impedir que los usuarios creen sus propias cuentas.
Después de haber protegido el acceso al portal, puede deshabilitar el botón Crear una cuenta y la página de registro (signup.html) en el sitio web del portal para que la gente no pueda crear cuentas propias. Esto significa que todos los miembros inician sesión en el portal con sus credenciales corporativas y no pueden crearse cuentas de miembros innecesarias.
Siga estos pasos para impedir que los usuarios creen sus propias cuentas:
- Vaya a <Portal for ArcGIS installation directory>\customizations\10.2.2\webapps\arcgis#home\js\esri\arcgisonline y abra config.js en un editor de texto.
- Localice la propiedad showSignUp y especifique el valor como false.
- Guarde y cierre el archivo
- Para aplicar las modificaciones, reinicie el portal.
- Cuando el portal se haya reiniciado, borre la caché del navegador (incluidas las cookies) para ver los cambios en el sitio web del portal.