Asegurar servicios Web con la Autenticación de Windows integrada

Este tutorial muestra cómo proteger los servicios Web de ArcGIS mediante la Autenticación de Windows integrada. La autenticación de Windows integrada requiere que los usuarios y roles se administren en un servidor de Active Directory de Microsoft Windows. Este enfoque puede ser útil si desea que los usuarios de SIG puedan aprovechar las cuentas que ya posee en la red.

Puede utilizar la Autenticación de Windows integrada cuando los usuarios tienen cuentas de dominio de Windows y acceden a los servicios a través de una red local.

NotaNota:

La autenticación de Windows integrada no se admite a través de Internet y requiere la instalación y configuración de ArcGIS Web Adaptor (IIS). Para obtener información, consulte Sobre el ArcGIS Web Adaptor. El Web Adaptor ArcGIS Server realiza la autenticación, mientras que autoriza el acceso a los servicios web.

Para proteger los servicios Web de ArcGIS mediante la Autenticación de Windows integrada, siga estos pasos:

  1. Configurar ArcGIS Server para utilizar los usuarios y roles de WindowsActive Directory.
  2. Revisar los usuarios y roles.
  3. Establecer permisos para los servicios.
  4. Configurar el ArcGIS Web Adaptor (IIS) para utilizar la autenticación de Windows.
  5. Probar el acceso a servicios protegidos.

Configurar la seguridad de ArcGIS Server para utilizar los usuarios y roles de Windows de Active Directory

Para apoyar la Autenticación de Windows integrada, configure ArcGIS Server para recuperar los usuarios y roles desde un servidor de Active Directory de Windows:

Pasos:
  1. Abra el Administrador e inicie sesión como el administrador del sitio principal o un usuario con acceso administrativo. Si necesita ayuda con este paso, consulte Iniciar sesión en el Administrador.
  2. Haga clic en Seguridad > Configuración.
  3. Haga clic en el botón Editar Editar junto a Ajustes de configuración.
  4. En la Administración de usuario y rol , elija la página Usuarios y roles en un sistema corporativa existente (LDAP o la opción de dominio de Windows) y haga clic en Siguiente.
  5. En la página Tipo de almacenamiento corporativo, seleccione la opción Dominio de Windows y haga clic en Siguiente.
  6. En la página Credenciales Windows Domain , introduzca las credenciales para un usuario con acceso de lectura en el dominio y, a continuación, haga clic en Siguiente.
  7. En la página Nivel de autenticación, elija Nivel Web.
  8. Revise el resumen de sus selecciones. Haga clic en Finalizar para aplicar y guardar la configuración de seguridad.

Revisar usuarios y roles

Después de configurar un dominio de Windows de Active Directory como el almacenamiento de usuario y de rol, revise los usuarios y roles para asegurarse de que se recuperan correctamente. Para agregar, editar o eliminar usuarios y roles, debe utilizar las herramientas disponibles en el servidor de Active Directory.

Pasos:
  1. En el Administrador, haga clic en Seguridad > Usuarios.
  2. Verifique que los usuarios se recuperaron como se esperaba desde el servidor de dominio de Windows.
  3. Haga clic en Roles para revisar los roles recuperados desde el servidor de dominio de Windows.
  4. Verifique que los roles se recuperaron correctamente. Haga clic en el botón Editar junto a un rol que compruebe la pertenencia al rol. Modifique el valor Tipo de rol como necesario. Para obtener información sobre los tipos de rol, consulte Cómo funciona de seguridad de ArcGIS Server.

Establecer permisos para los servicios Web de ArcGIS

Una vez que haya configurado la configuración de seguridad y definido los usuarios y roles, puede establecer permisos de los servicios para controlar quién puede acceder a ellos.

ArcGIS 10.1 for Server controla el acceso a los servicios Web de SIG alojados en el servidor mediante un modelo de control de acceso basado en roles. En un modelo de control de acceso basado en roles, el permiso para acceder a un servicio protegido está controlado por la asignación de roles a ese servicio. Para usar un servicio protegido, el usuario debe ser miembro de un rol a que se le ha asignado permisos para acceder a él.

Los permisos se pueden asignar a un servicio Web individual o a la carpeta principal que contiene un grupo de servicios. Si asigna permisos para una carpeta, cualquier servicio contenido dentro hereda los permisos de la carpeta. Por ejemplo, si desea otorgar un rol el acceso a la carpeta sitio (raíz), los usuarios que pertenecen a ese rol podrán acceder a todos los servicios alojados en este lugar. También, para invalidar permisos heredados automáticamente por un servicio de su carpeta principal, puede editar el servicio y quitar específicamente los permisos que han heredado.

Para establecer permisos para un servicio, consulte Editar permisos en el Administrador.

Configurar el ArcGIS Web Adaptor (IIS) para utilizar la autenticación de Windows

Después de configurar sus servicios para utilizar los usuarios y roles en un servidor de Active Directory de Windows, debe instalar y configurar el ArcGIS Web Adaptor (IIS) y configurar IIS para utilizar la autenticación de Windows como el método de autenticación.

Pasos:
  1. Instale Web Adaptor, siguiendo las instrucciones indicadas en Instalar el ArcGIS Web Adaptor (IIS).
  2. Configurar la Web Adaptor, siguiendo las instrucciones en Configurar la Web Adaptor después de la instalación.
  3. Establezca el método de autenticación para la Web Adaptor utilizando el Administrador de IIS.
    1. Para abrir el Administrador de IIS, haga clic en Inicio > Panel de control > Herramientas administrativas > Internet Information Services Manager.
    2. Expanda el árbol del lado izquierdo del Administrador de IIS, en Sitios. Expanda Sitio Web predeterminado para buscar la aplicación ArcGIS Web Adaptor (IIS) . Por defecto, el ArcGIS Web Adaptor (IIS) se denomina arcgis.
    3. Edite la propiedad de autenticación para la Web Adaptor. Quite la selección de autenticación Anónimo y seleccione Autenticación de Windows.
    4. Cierre el Administrador de IIS.

Probar el acceso a servicios protegidos

Para hacer una prueba de la instalación, identifique una cuenta de usuario de dominio de Windows que tenga acceso a la carpeta raíz (sitio) que contienen los servicios. Inicie sesión en Windows utilizando esta cuenta de usuario, abra un navegador Web y acceda a su ArcGIS Server WSDL:

http://<webadaptor host>/arcgis/services?wsdl

Para determinar qué usuarios de dominio de Windows tienen acceso a la carpeta raíz, haga lo siguiente:

Pasos:
  1. Inicie sesión en el Administrador de ArcGIS Server y haga clic en Servicios.
  2. Haga clic en el botón Bloquear. Bloquear junto al carpeta del sitio (raíz) e identifique los roles que han recibido permiso para acceder a esta carpeta. Si no hay ningún rol que tenga acceso, concédaselo a al menos uno haciendo clic en Agregar rol Agregar rol.
  3. Haga clic en Seguridad > Roles y en el botón Editar para el rol que tiene acceso a la carpeta raíz.
  4. Vea la lista de usuarios que son miembros de este rol.
Copyright © 1995-2013 Esri. Todos los derechos reservados.
9/12/2013