Cuando utilice Windows Active Directory para autenticar usuarios, puede utilizar la autenticación de certificado de cliente basada en infraestructura de clave pública (PKI) para acceder de forma segura a su organización.
Para usar la Autenticación integrada de Windows y la autenticación de certificado de cliente, debe utilizar ArcGIS Web Adaptor (IIS) implementado en el servidor web IIS de Microsoft. No puede utilizar ArcGIS Web Adaptor (Java Platform) para llevar a cabo la Autenticación integrada de Windows. Si no lo ha hecho todavía, instale y configure ArcGIS Web Adaptor (IIS) con su organización.
Configurar su portal con Windows Active Directory
En primer lugar, configure el portal para utilizar SSL para todas las comunicaciones. A continuación, actualice el almacén de identidades del portal para utilizar usuarios y grupos de Windows Active Directory.
Configure la organización para utilizar HTTPS para todas las comunicaciones.
Siga estos pasos para configurar la organización y usar HTTPS:
- Inicie sesión en el sitio web de la organización como administrador.
La URL tiene el formato https://organization.example.com/<context>/home.
- Haga clic en Organización y en la pestaña Configuración, después, haga clic en Seguridad en el lado izquierdo de la página.
- Habilite Permitir acceso al portal solo a través de HTTPS.
Configurar su almacén de identidades utilizando usuarios y grupos de Active Directory
A continuación, actualice el almacén de identidades de su organización para utilizar usuarios y grupos de Windows Active Directory.
- Inicie sesión en ArcGIS Enterprise Manager como administrador de su organización.
La URL tiene el formato https://site.example.com/<site context>/manager.
- Haga clic en Seguridad > Almacén de identidades.
Los botones de opciones bajo Almacén de usuarios y Almacén de grupos le permiten seleccionar cómo se administrarán los usuarios y los grupos en su organización.
- Seleccione Windows en el Almacén de usuarios.
Con los usuarios de Windows, puede utilizar el almacén de grupos integrado o un almacén de grupos de Windows. Los cuadros de entrada de la sección Configuración de almacenes de usuarios y grupos cambiarán según el tipo de almacén de grupo seleccionado.
- En la Configuración de almacenes de usuarios y grupos, introduzca la información apropiada en cada cuadro de texto.Las descripciones de cada cuadro de texto son las siguientes:
- Nombre de usuario (obligatorio)
- Contraseña (obligatoria)
- ¿Los nombres de usuario distinguen entre mayúsculas y minúsculas?: Sí o No
- Atributo de nombre de pila de usuario (obligatorio): atributo del servidor de directorio para el nombre de pila de un usuario
- Atributo de apellidos de usuario (obligatorio): atributo del servidor de directorio para los apellidos de un usuario
- Atributo de correo electrónico de usuario (obligatorio): atributo del servidor de directorio para la dirección de correo electrónico de un usuario
- Controlador de dominio (obligatorio)
- Asignación de controladores de dominio
- Haga clic en Guardar cuando haya terminado de introducir la información para configurar el almacén de identidades.
Agregar cuentas específicas de la organización
De forma predeterminada, los usuarios específicos de la organización pueden acceder a la organización ArcGIS Enterprise. Sin embargo, solo pueden ver elementos que hayan sido compartidos con todos los usuarios de la organización. Esto se debe a que las cuentas específicas de la organización no se han agregado y no se les ha concedido privilegios de acceso.
Agregue cuentas a su organización utilizando uno de los siguientes métodos:
- De forma individual o masiva (uno a la vez, de forma masiva desde un archivo .csv o desde grupos de Active Directory existentes)
- Automáticamente
Se recomienda que designe al menos una cuenta específica de la organización como administrador de su portal. Para ello, elija el rol de Administrador al agregar la cuenta. Cuando tenga una cuenta de administrador del portal alternativa, puede asignar la cuenta de administrador inicial al rol Usuario o eliminar la cuenta. Consulte Acerca de la cuenta de administrador inicial para obtener más información.
Una vez que las cuentas se hayan agregado y haya completado los pasos siguientes, los usuarios podrán iniciar sesión en la organización y acceder al contenido.
Instalar y activar la autenticación de asignaciones de certificado de cliente de Active Directory
La asignación de certificado de cliente de Active Directory no está disponible en la instalación predeterminada de IIS. Primero debe instalar y habilitar la característica.
Instalar con Windows Server 2016
Complete los siguientes pasos para instalar la autenticación de asignaciones de certificado de cliente con Windows Server 2016:
- Abra Herramientas administrativas y haga clic en Administrador del servidor.
- En el panel jerárquico Administrador de servidores, expanda Roles y haga clic en Servidor web (IIS).
- Expanda los roles de Servidor web y Seguridad.
- En la sección del rol Seguridad, seleccione Autenticación de asignaciones de certificado de cliente y haga clic en Siguiente.
- Haga clic en Siguiente por la pestaña Seleccionar entidades y haga clic en Instalar.
Instalar con Windows Server 2019 o 2022
Siga estos pasos para instalar la Autenticación de asignaciones de certificado de cliente con Windows Server 2019 o 2022:
- Abra Herramientas administrativas y haga clic en Administrador del servidor.
- En el cuadro de mando de Server Manager, haga clic en Agregar roles y características.
- Acepte la configuración predeterminada y haga clic en Siguiente en las páginas Antes de comenzar, Tipo de instalación y Selección del servidor.
- En la página Roles de servidor, habilite Servidor Web (IIS) y haga clic en Siguiente.
- En la página Entidades, haga clic en Siguiente.
- En la página Rol de servidor web (IIS), haga clic en Siguiente.
- En la página Servicios de función, expanda la sección Seguridad.
- En la sección Seguridad, seleccione Autenticación de asignaciones de certificado de cliente IIS y haga clic en Siguiente.
- En la página Confirmación, haga clic en Instalar.
Activar la autenticación de asignaciones de certificado de cliente de Active Directory
Después de instalar las asignaciones de certificado de cliente de Active Directory, siga estos pasos para habilitar la característica:
- Inicie el Administrador de Internet Information Server (IIS).
- En el nodo Conexiones, haga clic en el nombre de su servidor web.
- Haga doble clic en Autenticación en la ventana Vista Características.
- Compruebe que se muestra Autenticación de certificados de cliente de Active Directory.
Si la característica no aparece o no está disponible, tal vez deba reiniciar su servidor web para completar la instalación de la función de autenticación de certificados de cliente de Active Directory.
- Haga doble clic en Autenticación de certificados de cliente de Active Directory y seleccione Habilitar en la ventana Acciones.
Aparece un mensaje que indica que es necesario activar SSL para usar la Autenticación de certificados de cliente de Active Directory. Esto se aborda en la sección siguiente.
Configurar ArcGIS Web Adaptor para requerir certificados cliente y SSL
Complete los siguientes pasos para configurar ArcGIS Web Adaptor para requerir certificados cliente y SSL:
- Inicie el Administrador de Internet Information Server (IIS).
- Expanda el nodo Conexiones y seleccione el sitio de ArcGIS Web Adaptor.
- Haga doble clic en Autenticación en la ventana Vista Características.
- Deshabilite todas las formas de autenticación.
- Vuelva a seleccionar ArcGIS Web Adaptor en la lista Conexiones.
- Haga doble clic en Configuración de SSL.
- Active la opción Requerir SSL y elija la opción Requerir en Certificados de cliente.
- Haga clic en Aplicar para guardar los cambios.
Nota:
Para que la autenticación de certificado de cliente funcione en Microsoft Windows Server 2022, se debe deshabilitar TLS 1.3 en los enlaces del sitio HTTPS.
Verificar que se puede acceder al portal usando Windows Active Directory y autenticación de certificado de cliente
Realice los pasos siguientes para verificar que se puede acceder al portal usando Windows Active Directory y autenticación de certificado de cliente:
- Abra el portal.
La URL tiene el formato https://organization.example.com/<context>/home.
- Verifique que se le hayan solicitado las credenciales de seguridad y que puede acceder al sitio web.
Impedir que los usuarios creen sus propias cuentas integradas
Puede impedir que los usuarios creen sus propias cuentas integradas mediante la opción deshabilitar la capacidad de los usuarios de crear nuevas cuentas integradas en la configuración de la organización.