Puede proteger el acceso a su organización mediante la Autenticación integrada de Windows (IWA). Cuando se usa la IWA, los inicios de sesión se administran mediante Active Directory de Microsoft Windows. Los usuarios no inician y cierran sesión en el sitio web de la organización. En lugar de eso, cuando abren el sitio web, inician sesión con las mismas cuentas que utilizan para iniciar sesión en Windows.
Para usar la Autenticación integrada de Windows, debe utilizar ArcGIS Web Adaptor (IIS) implementado en el servidor web de Microsoft IIS. No puede utilizar ArcGIS Web Adaptor (Java Platform) para llevar a cabo la Autenticación integrada de Windows. Si no lo ha hecho ya, instale y configure ArcGIS Web Adaptor (IIS) con su organización.
Configurar su organización para usar Windows Active Directory
De forma predeterminada, ArcGIS Enterprise aplica HTTPS a todas las comunicaciones. Si ha cambiado anteriormente esta opción para permitir la comunicación tanto HTTP como HTTPS, debe reconfigurar el portal para que utilice solo la comunicación HTTPS siguiendo los pasos que aparecen a continuación.
Nota:
Al usar un almacén de identidades de Active Directory, ArcGIS Enterprise admite la autenticación desde varios dominios con un solo bosque, pero no proporciona autenticación entre bosques. Para admitir usuarios específicos de la organización desde varios bosques, es necesario un proveedor de identidad SAML.
Configure la organización para utilizar HTTPS para todas las comunicaciones.
Siga estos pasos para configurar la organización y usar HTTPS:
- Inicie sesión en el sitio web de la organización como administrador.
La URL tiene el formato https://organization.example.com/<context>/home.
- Haga clic en Organización y en la pestaña Configuración, después, haga clic en Seguridad en el lado izquierdo de la página.
- Habilite Permitir acceso al portal solo a través de HTTPS.
Configurar el almacén de identidades mediante usuarios y grupos de Active Directory
A continuación, actualice el almacén de identidades del portal para utilizar usuarios y grupos de Active Directory de Windows.
- Inicie sesión en ArcGIS Enterprise Manager como administrador de su organización.
La URL tiene el formato https://organization.example.com/<context>/manager.
- Haga clic en Seguridad y en Almacén de identidades.
Los botones bajo Almacén de usuarios y Almacén de grupos le permiten seleccionar cómo se administrarán los usuarios y los grupos en su organización.
- Seleccione Windows en Almacén de usuarios.
Con los usuarios de Windows, puede utilizar el almacén de grupos integrado o un almacén de grupos de Windows. Los cuadros de entrada de la sección Configuración de almacenes de usuarios y grupos cambian según el tipo de almacén de grupo seleccionado.
- En la sección Configuración de almacenes de usuarios y grupos, introduzca la información apropiada en cada campo.
Las descripciones de cada cuadro de texto son las siguientes:
- Username (Required)
- Password (Required)
- Are usernames case sensitive?— Sí o No.
- User first name attribute (Required)— Atributo del servidor de directorio para el nombre de pila de un usuario.
- User last name attribute (Required)— Atributo del servidor de directorio para los apellidos de un usuario.
- User email attribute (Required)— Atributo del servidor de directorio para la dirección de correo electrónico de un usuario.
- Domain controller (Required)
- Domain controller mapping
- Haga clic en Guardar cuando haya terminado de introducir la información para configurar su almacén de identidades.
Configurar parámetros adicionales del almacén de identidades
Si lo desea, puede modificar los parámetros de configuración adicionales del almacén de identidades con la API de administración de ArcGIS Enterprise. Estos parámetros incluyen la restricción de si los grupos se refrescan automáticamente cuando un usuario específico de la organización inicia sesión en la organización, la configuración del intervalo de actualización de la pertenencia y la definición de si se comprueba la existencia de varios formatos de nombre de usuario. Consulte Actualizar almacén de identidades para obtener información detallada.
Agregar cuentas específicas de la organización
De forma predeterminada, los usuarios específicos de la organización pueden acceder a la organización ArcGIS Enterprise. Sin embargo, solo pueden ver elementos que hayan sido compartidos con todos los usuarios de la organización. Esto se debe a que las cuentas específicas de la organización no se han agregado y no se les ha concedido privilegios de acceso.
Agregue cuentas a su organización utilizando uno de los siguientes métodos:
- De forma individual o masiva (uno a la vez, de forma masiva desde un archivo .csv o desde grupos de Active Directory existentes)
- Automáticamente
Se recomienda que designe al menos una cuenta específica de la organización como administrador de su portal. Para ello, elija el rol de Administrador al agregar la cuenta. Cuando tenga una cuenta de administrador del portal alternativa, puede asignar la cuenta de administrador inicial al rol Usuario o eliminar la cuenta. Consulte Acerca de la cuenta de administrador inicial para obtener más información.
Una vez que las cuentas se hayan agregado y haya completado los pasos siguientes, los usuarios podrán iniciar sesión en la organización y acceder al contenido.
Configurar ArcGIS Web Adaptor para usar IWA
Para configurar ArcGIS Web Adaptor para usar IWA, siga estos pasos:
- Abra Internet Information Server (IIS) Manager.
- En el panel Conexiones, localice y expanda el sitio web que aloja ArcGIS Web Adaptor.
- Haga clic en el nombre de ArcGIS Web Adaptor.
El valor predeterminado es arcgis.
- En el panel Inicio, haga doble clic en Autenticación.
- Seleccione Autenticación anónima y haga clic en Deshabilitar.
- Seleccione Autenticación de Windows y haga clic en Habilitar.
- Cierre el administrador de Internet Information Server (IIS).
Verificar el acceso al portal mediante IWA
Para verificar que puede acceder al portal mediante IWA, siga estos pasos:
- Abra el portal.
La URL tiene el formato https://organization.example.com/<context>/home.
- Verifique que se le han solicitado sus credenciales de la cuenta específica de la organización o que ha iniciado sesión automáticamente mediante su cuenta específica de la organización. Si no observa este comportamiento, confirme que la cuenta de Windows que utilizó para iniciar sesión en el equipo se agregó al portal.
Impedir que los usuarios creen sus propias cuentas integradas
Puede impedir que los usuarios creen sus propias cuentas integradas mediante la opción deshabilitar la capacidad de los usuarios de crear nuevas cuentas integradas en la configuración de la organización.