Usar LDAP y PKI para proteger el acceso

Cuando utilice el protocolo de directorio de acceso ligero (LDAP) para autenticar a los usuarios, puede usar la infraestructura de clave pública (PKI) para proteger el acceso a su organización de ArcGIS Enterprise.

Para utilizar LDAP y PKI, debe configurar la autenticación de certificado de cliente basada en PKI mediante ArcGIS Web Adaptor (Java Platform) implementado en un servidor de aplicaciones Java. No puede utilizar ArcGIS Web Adaptor (IIS) para realizar la autenticación de certificado cliente basada en PKI con LDAP.

Configurar su organización con LDAP

De forma predeterminada, la organización de ArcGIS Enterprise aplica HTTPS a todas las comunicaciones. Si ha cambiado anteriormente esta opción para permitir la comunicación tanto HTTP como HTTPS, deberá reconfigurar el portal para que utilice solo la comunicación HTTPS siguiendo los pasos que aparecen a continuación.

Configure la organización para utilizar HTTPS para todas las comunicaciones.

Siga estos pasos para configurar la organización y usar HTTPS:

  1. Inicie sesión en el sitio web de la organización como administrador.

    La URL tiene el formato https://organization.example.com/<context>/home.

  2. Haga clic en Organización y en la pestaña Configuración, después, haga clic en Seguridad en el lado izquierdo de la página.
  3. Habilite Permitir acceso al portal solo a través de HTTPS.

Configurar su almacén de identidades utilizando usuarios y grupos de LDAP

A continuación, actualice el almacén de identidades de su organización para utilizar usuarios y grupos de LDAP.

  1. Inicie sesión en ArcGIS Enterprise Manager como administrador de su organización. La URL tiene el formato https://organization.example.com/<context>/manager.
  2. Haga clic en Seguridad y en Almacén de identidades.
  3. Los botones bajo Almacén de usuarios y Almacén de grupos le permiten seleccionar cómo se administrarán los usuarios y los grupos en su organización.
  4. Seleccione LDAP en Almacén de usuarios. Con usuarios de LDAP, puede utilizar el almacén de grupos integrado o un almacén de grupos de LDAP. Los cuadros de entrada de la sección Configuración de almacenes de usuarios y grupos cambian según el tipo de almacén de grupo seleccionado.
  5. En la sección Configuración de almacenes de usuarios y grupos, introduzca la información apropiada en cada campo. Las descripciones de cada cuadro de texto son las siguientes:

    • Type— LDAP o LDAPS.
    • Hostname (Required)— Nombre del equipo host en el que se ejecuta el directorio LDAP.
    • Port (Required)— El número de puerto en el equipo host donde el directorio LDAP está a la escucha de conexiones entrantes.
      Nota:

      En el caso de las conexiones seguras, suele ser 636.

    • User Base DN (Required)— El nombre distintivo (DN) del servidor de directorio de nodo en el que se mantiene la información de usuario, por ejemplo, ou=users,dc=example,dc=com.
    • Group base DN (Required)— El nombre distintivo (DN) del servidor de directorio de nodo en el que se mantiene la información de usuario, por ejemplo, ou=groups,dc=example,dc=com.
    • Username (Required)— El nombre distintivo (DN) de una cuenta de usuario de LDAP que tiene acceso al nodo que incluye información del usuario. Esta cuenta no necesita acceso administrativo.
    • Password (Required)— La contraseña de la cuenta de usuario de LDAP que se utiliza para acceder al servidor de directorio.
    • LDAP URL for users— La URL de LDAP para usuarios que se utilizará para conectarse al directorio LDAP.
      Nota:
      Se genera automáticamente, pero se puede cambiar si es necesario.
    • LDAP URL for groups— La URL de LDAP para grupos que se utilizará para conectarse al directorio LDAP.
      Nota:
      Se genera automáticamente, pero se puede cambiar si es necesario.
    • Are usernames case sensitive?— Sí o No.
    • User first name attribute (Required)— Atributo del servidor de directorio para el nombre de pila de un usuario.
    • User last name attribute (Required)— Atributo del servidor de directorio para los apellidos de un usuario.
    • User email attribute (Required)— Atributo del servidor de directorio para la dirección de correo electrónico de un usuario.
    • Username attribute (Required)—El atributo del servidor de directorio para el nombre de usuario de un usuario.
    • User search attribute— Este es un campo opcional y solo es necesario al configurar Enterprise para usar la autenticación de nivel web en un Web Adaptor de Java. En algunos escenarios, el adaptador web de Java puede devolver el nombre de usuario autenticado en un formato diferente del nombre de usuario esperado especificado anteriormente. Un ejemplo de esto sería cuando se configura un Web Adaptor de Java para usar la autenticación de certificado de cliente y se devuelve el nombre distintivo completo del usuario desde el servidor web, en lugar de únicamente el nombre de usuario. En este ejemplo, el atributo de búsqueda de usuario debería establecerse en distinguishedName.
    • Member attribute (Required)—El atributo de servidor de directorio para la lista de usuarios que son miembros de un grupo determinado.
    • Group name attribute (Required)— El atributo del servidor de directorio para el nombre de un grupo.

  6. Haga clic en Guardar cuando haya terminado de introducir la información para configurar el almacén de identidades.

Agregar cuentas específicas de la organización

De forma predeterminada, los usuarios específicos de la organización pueden acceder a la organización ArcGIS Enterprise. Sin embargo, solo pueden ver elementos que hayan sido compartidos con todos los usuarios de la organización. Esto se debe a que las cuentas específicas de la organización no se han agregado y no se les ha concedido privilegios de acceso.

Agregue cuentas a su organización utilizando uno de los siguientes métodos:

Se recomienda que designe al menos una cuenta específica de la organización como administrador de su portal. Para ello, elija el rol de Administrador al agregar la cuenta. Cuando tenga una cuenta de administrador del portal alternativa, puede asignar la cuenta de administrador inicial al rol Usuario o eliminar la cuenta. Consulte Acerca de la cuenta de administrador inicial para obtener más información.

Una vez que las cuentas se hayan agregado y haya completado los pasos siguientes, los usuarios podrán iniciar sesión en la organización y acceder al contenido.

Configurar ArcGIS Web Adaptor para utilizar la autenticación PKI

Una vez que haya instalado y configurado ArcGIS Web Adaptor (Java Platform) con su organización, configure un dominio LDAP en su servidor de aplicaciones Java y configure la autenticación de certificados de cliente basada en PKI para ArcGIS Web Adaptor. Para obtener instrucciones, consulte la documentación del producto de su servidor de aplicaciones Java o contacte con el administrador del sistema.

Nota:

Para que la autenticación de certificado de cliente (PKI) funcione, TLS 1.3 debe estar deshabilitado en el servidor de aplicaciones Java.

Verificar el acceso a la organización mediante LDAP y PKI

Para verificar que puede acceder al portal mediante LDAP y PKI, siga estos pasos:

  1. Abra el portal de ArcGIS Enterprise.
  2. Verifique que se le hayan solicitado las credenciales de seguridad y que puede acceder al sitio web.

Impedir que los usuarios creen sus propias cuentas integradas

Puede impedir que los usuarios creen sus propias cuentas integradas mediante la opción deshabilitar la capacidad de los usuarios de crear nuevas cuentas integradas en la configuración de la organización.