En algunas situaciones, ArcGIS Enterprise actúa como servidor proxy. Esta capacidad se utiliza en las siguientes situaciones:
- Intenta acceder a un recurso de un dominio diferente al del portal y no está disponible la compatibilidad con el uso compartido de recursos de orígenes distintos (CORS). CORS es una especificación que permite que un servidor web y un navegador web interaccionen y determinen si se debe permitir una solicitud de orígenes distintos.
- Intenta compartir con otros usuarios un recurso protegido, pero desea ocultar las credenciales de usuario requeridas para acceder al recurso.
De manera predeterminada, la capacidad proxy no está restringida. Como consecuencia, el portal se puede usar de forma indebida para lanzar ataques de denegación de servicio (DoS) o de falsificación de solicitud de servidor (SSRF) contra cualquier equipo al que pueda tener acceso el equipo del portal. Para mitigar esta posible vulnerabilidad, es recomendable restringir la capacidad proxy del portal definiendo una lista de direcciones web aprobadas. ArcGIS Enterprise solo podrá procesar solicitudes como proxy para las direcciones de la lista; las demás se bloquearán. Si ha federado ArcGIS Server con el portal, la lista debe contener las direcciones de todos los equipos del sitio, así como cualquier recurso que se haya compartido como elemento en el portal.
Para definir una lista de direcciones aprobadas, siga los pasos que se describen a continuación.
- Abra un navegador web e inicie sesión en el Directorio de administrador de ArcGIS Enterprise como administrador de su organización. La URL está en el formato https://example.organization.com/<context>/admin.
- Haga clic en Seguridad > Configuración > Actualizar configuración.
- En el campo Security Configuration (JSON), agregue la propiedad allowedProxyHosts y especifique la lista de direcciones aprobadas.
{ "disableServicesDirectory": false, "enableAutomaticAccountCreation": false; "allowedProxyHosts": "gisserver1.domain.com,gisserver2.domain.com" }
Nota:
Use el formato (.*).domain.com para permitir solicitudes proxy a todos los equipos de un dominio especificado. Use los comodines (*) con cuidado, ya que podría dar acceso accidentalmente a usuarios no autorizados en los equipos restringidos. - Haga clic en Actualizar configuración de seguridad.