Usar autenticación LDAP y de nivel web

Puede proteger el acceso a la organización mediante el Protocolo de acceso al directorio ligero (LDAP). Cuando se usa LDAP, los inicios de sesión se administran mediante el servidor LDAP de la organización.

Para utilizar LDAP, puede configurar la autenticación en el nivel del portal o la autenticación en el nivel Web mediante el ArcGIS Web Adaptor (Java Platform) implementado en un servidor de aplicaciones Java. No puede utilizar ArcGIS Web Adaptor (IIS) para realizar la autenticación de nivel web con LDAP.

Configurar su organización con LDAP

De forma predeterminada, ArcGIS Enterprise aplica HTTPS a todas las comunicaciones. Si ha cambiado anteriormente esta opción para permitir la comunicación tanto HTTP como HTTPS, debe reconfigurar el portal para que utilice solo la comunicación HTTPS siguiendo los pasos que aparecen a continuación.

Configure la organización para utilizar HTTPS para todas las comunicaciones.

Siga estos pasos para configurar la organización y usar HTTPS:

  1. Inicie sesión en el sitio web de la organización como administrador.

    La URL tiene el formato https://organization.example.com/<context>/home.

  2. Haga clic en Organización y en la pestaña Configuración, después, haga clic en Seguridad en el lado izquierdo de la página.
  3. Habilite Permitir acceso al portal solo a través de HTTPS.

Configurar su almacén de identidades utilizando usuarios y grupos de LDAP

A continuación, actualice el almacén de identidades de su organización para utilizar usuarios y grupos de LDAP.

  1. Inicie sesión en el ArcGIS Enterprise Manager como administrador de su organización. La URL tiene el formato  https://organization.example.com/<context>/manager.
  2. Haga clic en Seguridad > Almacén de identidades.
  3. Las opciones bajo Almacén de usuarios y Almacén de grupos le permiten seleccionar cómo se administrarán los usuarios y los grupos en su organización.
  4. Seleccione LDAP en el Almacén de usuarios. Con usuarios de LDAP, puede utilizar el almacén de grupos integrado o un almacén de grupos de LDAP. Los cuadros de entrada de la sección Configuración de almacenes de usuarios y grupos cambiarán según el tipo de almacén de grupo seleccionado.
  5. En la Configuración de almacenes de usuarios y grupos, introduzca la información apropiada en cada campo. Las descripciones de cada cuadro de texto son las siguientes:

    • Type—LDAP o LDAPS.
    • Hostname (Required)—El nombre del equipo host en el que se ejecuta el directorio LDAP.
    • Port (Required)—El número de puerto en el equipo host donde el directorio LDAP está a la escucha de conexiones entrantes.
      Nota:

      En el caso de las conexiones seguras, suele ser 636.

    • User Base DN (Required)—El nombre distintivo (DN) del servidor de directorio de nodo en el que se mantiene la información de usuario, por ejemplo: ou=users,dc=example,dc=com.
    • Group base DN (Required)—El nombre distintivo (DN) del servidor de directorio de nodo en el que se mantiene la información de usuario, por ejemplo: ou=groups,dc=example,dc=com.
    • Username (Required)—El nombre distintivo (DN) de una cuenta de usuario de LDAP que tiene acceso al nodo que incluye información del usuario. Esta cuenta no necesita acceso administrativo.
    • Password (Required)—La contraseña de la cuenta de usuario de LDAP que se utiliza para acceder al servidor de directorio.
    • LDAP URL for users—La URL de LDAP para usuarios que se utilizará para conectarse al directorio LDAP.
      Nota:
      Se genera automáticamente, pero se puede cambiar si es necesario.
    • LDAP URL for groups—La URL de LDAP para grupos que se utilizará para conectarse al directorio LDAP.
      Nota:
      Se genera automáticamente, pero se puede cambiar si es necesario.
    • Are usernames case sensitive?—Sí o No.
    • User first name attribute (Required)—Atributo del servidor de directorio para el nombre de pila de un usuario.
    • User last name attribute (Required)—Atributo del servidor de directorio para los apellidos de un usuario.
    • User email attribute (Required)—Atributo del servidor de directorio para la dirección de correo electrónico de un usuario.
    • Username attribute (Required)—Atributo del servidor de directorio para el nombre de usuario de un usuario.
    • User search attribute—Este es un campo opcional y solo es necesario al configurar Enterprise para usar la autenticación de nivel web en un Web Adaptor de Java. En algunos escenarios, es posible que el Web Adaptor de Java devuelva el nombre de usuario autenticado en un formato distinto del nombre de usuario esperado especificado anteriormente. Un ejemplo de esto sería cuando se configura un Web Adaptor de Java para usar la autenticación de certificado de cliente y se devuelve el nombre distintivo completo del usuario desde el servidor web, en lugar de únicamente el nombre de usuario. En este ejemplo, el atributo de búsqueda de usuario debería establecerse en distinguishedName.
    • Member attribute (Required)—El atributo de servidor de directorio para la lista de usuarios que son miembros de un grupo determinado.
    • Group name attribute (Required)—El atributo del servidor de directorio para el nombre de un grupo.

  6. Haga clic en Guardar cuando haya terminado de introducir la información para configurar el almacén de identidades.

Agregar cuentas específicas de la organización

De forma predeterminada, los usuarios específicos de la organización pueden acceder a la organización ArcGIS Enterprise. Sin embargo, solo pueden ver elementos que hayan sido compartidos con todos los usuarios de la organización. Esto se debe a que las cuentas específicas de la organización no se han agregado y no se les ha concedido privilegios de acceso.

Agregue cuentas a su organización utilizando uno de los siguientes métodos:

Se recomienda que designe al menos una cuenta específica de la organización como Administrador de su portal. Para ello, elija el rol de Administrador al agregar la cuenta. Cuando tenga una cuenta de administrador del portal alternativa, puede asignar la cuenta de administrador inicial al rol Usuario o eliminar la cuenta. Consulte Acerca de la cuenta de administrador inicial para obtener más información.

Una vez que las cuentas se hayan agregado y haya completado los pasos siguientes, los usuarios podrán iniciar sesión en la organización y acceder al contenido.

Configurar ArcGIS Web Adaptor para utilizar la autenticación de nivel web

Una vez que haya instalado y configurado ArcGIS Web Adaptor (Java Platform) con su organización siguiendo la guía de instalación adecuada, debe configurar su servidor de aplicaciones Java con dos tareas principales:

  1. Realice la integración con su almacén de identidades LDAP. De este modo, su servidor de aplicaciones Java podrá autenticar a los usuarios administrados en ese almacenamiento LDAP.
  2. Habilite un mecanismo de autenticación basado en navegador, como la autenticación basada en formularios o cuadros de diálogo, para el contexto de ArcGIS Web Adaptor de la organización.

Para obtener instrucciones, consulte al administrador del sistema, la documentación del producto de su servidor de aplicaciones Java o Servicios Profesionales de Esri.

Verificar que se puede acceder al portal usando LDAP

  1. Abra el sitio web del portal.

    La URL tiene el formato https://organization.example.com/<context>/home.

  2. Verifique que se le hayan solicitado las credenciales de la cuenta de LDAP. Si no observa este comportamiento, verifique que la cuenta de LDAP que utilizó para iniciar sesión en el equipo se agregó al portal.

Impedir que los usuarios creen sus propias cuentas integradas

Puede impedir que los usuarios creen sus propias cuentas integradas mediante la opción deshabilitar la capacidad de los usuarios de crear nuevas cuentas integradas en la configuración de la organización.