Usar el portal con autenticación LDAP y de niveles web
Puede configurar el portal para que use el mismo Protocolo de acceso al directorio ligero (LDAP) que utiliza su organización para autenticar usuarios. Para usar LDAP con el portal, debe completar los pasos siguientes en el orden que se indica:
- Configure el portal con el LDAP que se emplea en su organización.
- Configure la autenticación de niveles web en el Web Adaptor del portal.
- Otorgue uno de los privilegios de administrador de usuarios de LDAP al portal.
Para comenzar, siga los pasos en las siguientes secciones.
Legado: En la versión 10.2, se le pedía que editara un archivo de propiedades en disco para configurar la seguridad para su portal. Esto ya no es necesario a partir de la versión 10.2.1. Las siguientes instrucciones sólo se aplican a la versión 10.2.1 y posteriores. Si necesita ayuda con estas instrucciones en la versión 10.2, consulte la documentación de la versión 10.2.
Configurar el portal con LDAP
En primer lugar, configure el portal de modo que use exclusivamente SSL. Esto se define en la página Seguridad del sitio web del portal.
- Inicie sesión en el sitio web del portal como administrador del portal.
- Haga clic en Editar configuración en la página Mi organización.
- Haga clic en Seguridad.
- Active Permitir acceso al portal solo a través de SS.
- Haga clic en Guardar para aplicar los cambios.
A continuación, actualice el almacén de identidades del portal para usar el sistema LDAP de su organización.
- Inicie sesión en el directorio de Portal for ArcGIS con una cuenta que tenga privilegios de administrador. La URL tiene el formato https://webadaptor.domain.com/arcgis/portaladmin.
- Haga clic en seguridad > Config > Actualizar almacén de identidades.
- Coloque el JSON de configuración de la LDAP en el cuadro de texto Configuración de almacén de usuarios (en formato JSON).
Puede copiar el texto siguiente y modificarlo para que incluya la información específica de su sitio:
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin\,ou=system", "userFullnameAttribute": "cn", "ldapURLForUsers": "ldap://bar2:10389/ou=users\,ou=ags\,dc=example\,dc=com", "userEmailAttribute": "email", "usernameAttribute": "cn", "caseSensitive": "false", "userSearchAttribute": "cn" } }
En la mayoría de los casos, solo deberá modificar los valores de los parámetros user, userPassword y ldapURLForUsers. Su administrador de LDAP deberá proporcionar la URL a LDAP. La cuenta que utilice para el parámetro de usuario solo necesita permisos para consultar la dirección de correo electrónico y los nombres de usuario de los usuarios de la organización. Aunque escriba la contraseña con texto no cifrado, esta se cifrará cuando se almacene o consulte en el directorio de configuraciones del portal.
Si su sistema LDAP está configurado para no tener en cuenta los caracteres en mayúsculas y minúsculas, ajuste el parámetro caseSensitive a "false".
- Cuando haya terminado de introducir el JSON para la configuración del almacén de usuarios, haga clic en Actualizar configuración para guardar los cambios.
Al hacer clic en Actualizar configuración, el portal se reiniciará automáticamente. Esto puede tardar varios minutos en completarse.
Configurar la autenticación de niveles web en el Web Adaptor del portal
LDAP requiere autenticación de niveles web y esto se debe configurar con ArcGIS Web Adaptor (Java Platform). Web Adaptor utiliza el servidor de aplicaciones Java para autenticar el usuario y proporcionar a Web Adaptor el nombre de cuenta del usuario. Una vez que tiene el nombre de cuenta, lo transmite al portal.
Una vez que haya instalado y configurado Web Adaptor (Java Platform) con el portal, tendrá que configurar un dominio LDAP en su servidor de aplicaciones Java y configurar el método de autenticación de Web Adaptor. Para obtener instrucciones, consulte la documentación del producto de su servidor de aplicaciones Java o consulte al administrador del sistema.
Si va a agregar un sitio de ArcGIS Server a su portal y desea utilizar la autenticación de nivel web con el sitio, deberá deshabilitar la autenticación de nivel web (básica o digest) y habilitar el acceso anónimo en ArcGIS Web Adaptor configurado con su sitio antes de agregarlo al portal. Aunque pueda parecer poco intuitivo, esto es necesario para que el sitio quede libre para federarlo con el portal y pueda leer los usuarios y los roles del portal. Si el sitio de ArcGIS Server no usa aún autenticación de niveles web, no debe hacer nada. Para obtener instrucciones sobre cómo agregar un servidor al portal, consulte Federar un sitio de ArcGIS Server con su portal.
Designar una cuenta de LDAP como administrador
El modo de agregar una cuenta de LDAP a su portal dependerá de si este está configurado para agregar cuentas corporativas al portal automáticamente cuando los usuarios inicien sesión utilizando un inicio de sesión corporativo o si las cuentas se deben agregar desde el Directorio de Portal for ArcGIS. Para obtener información sobre esta configuración, consulte Configurar la creación de cuentas.
Si el portal está configurado para agregar cuentas corporativas automáticamente, abra la página de inicio del sitio web del portal mientras está conectado con la cuenta de LDAP que desea utilizar como administrador del portal. Dependiendo del navegador y la configuración, es posible que se le pida que inicie sesión.
Si registra cuentas para usuarios corporativos de forma manual
Si el portal está configurado de modo que debe agregar las cuentas utilizando la herramienta CreateUsers, siga las instrucciones de Agregar miembros a un portal para agregar la cuenta de LDAP como administrador del portal. Asegúrese de que selecciona el rol de Administrador al registrar la cuenta corporativa.
Si las cuentas se registran automáticamente para usuarios corporativos
Si su portal está configurado para que las cuentas corporativas se registren en el portal la primera vez que acceden a él, deberá acceder al portal con la cuenta de LDAP para registrarla en el portal y, a continuación, iniciar sesión en el portal con la cuenta de administrador inicial y asignar el rol de administrador al usuario de LDAP.
Cuando una cuenta se añade por primera vez al portal, tiene asignado el rol de usuario. Solo un administrador puede cambiar el rol de una cuenta; por tanto, debe iniciar sesión utilizando la cuenta de administrador inicial y asignar una cuenta de LDAP al rol de administrador. Dado que Web Adaptor se ha configurado para la autenticación LDAP, debe conectarse al portal a través del puerto 7443 y no de la URL de Web Adaptor para iniciar sesión usando la cuenta de administrador inicial.
- Conéctese al sitio web del portal mientras tiene una sesión de usuario abierta en su equipo con la cuenta de LDAP. Si esa cuenta pertenece a otro usuario, pídale que se conecte al portal para que su cuenta quede registrada en el portal.
- Una vez que la cuenta de LDAP se haya agregado al portal, abra un navegador y conéctese al sitio web del portal a través del puerto 7443, por ejemplo, https://portal.domain.com:7443/arcgis/home.
- Inicie sesión usando la cuenta de administrador inicial que creó cuando configuró el portal.
- En la cuenta de LDAP que usará para administrar su portal, cambie el rol a Administrador.
- Cierre la sesión en el sitio web.
Ahora, cuando inicie sesión en el equipo con esta cuenta de LDAP, podrá establecer conexión con el portal a través de la URL de Web Adaptor y administrar el portal.
Degradar o eliminar la cuenta de administrador inicial
Ahora que tiene una cuenta de administrador del portal alternativa, puede asignar la cuenta de administrador inicial al rol Usuario o eliminar la cuenta. Consulte Acerca de la cuenta de administrador inicial para obtener más información.
Impedir que los usuarios creen sus propias cuentas.
Después de haber protegido el acceso al portal, puede deshabilitar el botón Crear una cuenta y la página de registro (signup.html) en el sitio web del portal para que la gente no pueda crear cuentas propias. Esto significa que todos los miembros inician sesión en el portal con sus credenciales corporativas y no pueden crearse cuentas de miembros innecesarias.
Siga estos pasos para impedir que los usuarios creen sus propias cuentas:
- Vaya a <Portal for ArcGIS installation directory>\customizations\10.2.2\webapps\arcgis#home\js\esri\arcgisonline y abra config.js en un editor de texto.
- Localice la propiedad showSignUp y especifique el valor como false.
- Guarde y cierre el archivo
- Para aplicar las modificaciones, reinicie el portal.
- Cuando el portal se haya reiniciado, borre la caché del navegador (incluidas las cookies) para ver los cambios en el sitio web del portal.