Vista general de la seguridad de Internet
ArcGIS Server le permite asegurar sus aplicaciones Web y servicios Web. Esta sección trata principalmente sobre cómo restringir el acceso a las aplicaciones y los servicios a los usuarios autorizados. Obviamente, los demás problemas de seguridad se aplican a su sistema de ArcGIS Server, como las cuentas utilizadas por ArcGIS Server para acceder a los datos, la seguridad para el código que se ejecuta en el servidor y la seguridad física del equipo. Consulte Formas de implementar seguridad para obtener más información sobre seguridad con ArcGIS Server.
Con ArcGIS Server, puede administrar la seguridad para los servicios Web y las aplicaciones Web. Las tareas de seguridad más importantes que debe realizar son las siguientes:
- Definir la administración de usuarios y roles
- Elegir un método de autenticación
- Implementar Capa de sockets seguros (SSL)
- Establecer permisos para servicios y aplicaciones
La siguiente sección presenta un resumen de las opciones: Configuraciones comunes para la seguridad en servicios de ArcGIS Server. Puede utilizar el Administrador para la mayoría de estas tareas. A continuación encontrará más información sobre cada una de estas tareas, así como secciones individuales de este tema. La Lista de comprobación de seguridad de Internet también funciona como una guía para implementar seguridad para servicios y aplicaciones.
Definir la administración de usuarios y roles
El componente fundamental de cualquier mecanismo de control de acceso es la capacidad de autenticar a los usuarios. Todos los mecanismos de autenticación requieren que la información y los roles de los usuarios a los que pertenecen estén almacenados centralmente en algún lugar del sistema. Las aplicaciones ASP.NET admiten que la seguridad esté almacenada y administrada por el sistema operativo o un proveedor de pertenencia a ASP.NET. ArcGIS Server utiliza estas dos opciones de almacenamiento de usuario distribuidas por ASP.NET.
La decisión de dónde almacenar a los usuarios depende, en gran medida, de la audiencia de las aplicaciones y servicios. Por ejemplo, si construye aplicaciones de intranet principalmente, puede aprovechar los usuarios existentes y los grupos disponibles en el sistema operativo para otorgar acceso a las aplicaciones. Asimismo, si crea aplicaciones de Internet y no desea que los usuarios Web sean usuarios del active directory, puede almacenar esos usuarios en un proveedor de pertenencia a ASP.NET. Para obtener más detalles sobre la configuración de usuarios y roles, consulte Información general sobre la configuración de usuarios y roles.
ArcGIS Server permite configurar fácilmente el proveedor de pertenencia a ASP.NET para Microsoft SQL Server utilizando sólo el Administrador de ArcGIS Server. Sin embargo, el marco de pertenencia a ASP.NET es muy flexible y es compatible con una amplia variedad de proveedores personalizados como otras bases de datos, archivos XML, Active Directory, LDAP y más. Una vez configurado en el sistema, se puede configurar ArcGIS Server para utilizar estos proveedores personalizados.
Estos vínculos resumen cómo configurar los usuarios y roles, y ofrecen más información sobre cada opción:
- Usuarios y grupos del sistema operativo Windows
- proveedor de suscripción a ASP.NET
- Microsoft SQL Server (configurado con el Administrador de ArcGIS Server)
- Personalizado (configurado por un administrador/desarrollador e integrado con el Administrador de ArcGIS Server)
Elegir un método de autenticación
La autenticación es el proceso de identificación del usuario que está intentando acceder al sistema. El usuario proporciona credenciales, generalmente un nombre de usuario y una contraseña, para que el sistema pueda realizar la autenticación. El método de autenticación determina la manera en que el servidor valida la identidad del usuario.
Las opciones de autenticación dependen de la elección del almacenamiento de usuario y rol.
|
Almacenamiento de usuario |
Autentificación |
|---|---|
|
Usuarios y grupos del sistema operativo Windows |
IIS |
|
proveedor de suscripción a ASP.NET |
ASP.NET |
Los métodos de autenticación también varían en términos del nivel de seguridad otorgado. Lea la documentación detenidamente y consulte al personal de seguridad antes de elegir el método apropiado según su necesidad.
Los métodos de autenticación disponibles en ArcGIS Server para Microsoft .NET Framework son los siguientes:
- Autenticación IIS
- Autenticación de Windows integrada
- Conocida como Autenticación de Windows en Windows Server 2008 y Windows Vista.
- En general, sólo se utiliza en intranets y no en Internet.
- Se utiliza solamente cuando los usuarios son usuarios del sistema operativo Windows.
- Si el navegador es Internet Explorer y está en la misma red local que el servidor, la identidad con que el usuario inició la sesión se introduce de un modo claro, sin solicitud de inicio de sesión. Lo mismo ocurre con los clientes de ArcGIS (Desktop, Engine, ArcGIS Explorer). Esto permite que los usuarios se conecten y utilicen los servicios sin tener que iniciar sesión explícitamente.
- HTTP Basic y Digest
- Se utilizan en las intranets y en Internet.
- Se utiliza solamente cuando los usuarios son usuarios del sistema operativo Windows.
- Los usuarios del navegador generalmente ven un cuadro de diálogo emergente estándar de inicio de sesión.
- Autenticación de Windows integrada
- Autenticación de ASP.NET
- Autenticación basada en formularios
- Utilizada para aplicaciones Web cuando el almacenamiento de usuario es SQL Server o un proveedor personalizado.
- Los usuarios del navegador generalmente ven un formulario en una página Web para iniciar sesión.
- Autenticación basada en token
- Implementada en ArcGIS Server.
- Utilizada sólo para servicios Web y no para aplicaciones.
- El cliente obtiene un token del servidor al introducir el nombre de usuario y la contraseña, y se utiliza ese token para acceder al servicio.
- Funciona con cualquier almacenamiento de usuario.
- Autenticación basada en formularios
Se pueden admitir varios métodos de autenticación, de ser necesario, configurando varias instancias Web de ArcGIS Server. Cada instancia estaría relacionada al mismo servidor SIG pero se configuraría para un método de autenticación diferente.
Para obtener pautas sobre los métodos de autenticación, consulte Configuraciones comunes para la seguridad en servicios de ArcGIS Server. La Información general sobre la configuración de usuarios y roles cuenta con información adicional sobre los métodos de autenticación.
Implementar Capa de sockets seguros (SSL)
Según los requisitos del almacenamiento de usuario y del método de autenticación, es posible que necesite adquirir un certificado de SSL para el servidor Web. SSL permite utilizar HTTPS, que cifra la comunicación entre los clientes y el servidor Web. En términos generales, SSL es vital a la hora de autenticar a los usuarios con autenticación HTTP Basic, basada en token o basada en formularios, aunque SSL también aumenta la seguridad de las credenciales con otros métodos de autenticación. Más información sobre Configurar SSL.
Establecer permisos para servicios y aplicaciones
Para que un usuario pueda acceder a un servicio o a una aplicación, debe agregar permisos en el servicio o aplicación para el rol del que el usuario es miembro. Los permisos de ArcGIS Server se basan en roles. Puede permitir roles en lugar de usuarios individuales para agregar permisos para un servicio, carpeta de servicio o aplicación en el Administrador.
Cuando aplica seguridad a un servicio Web, se aplica a todos los formularios del servicio Web: SOAP, REST y OGC (como WMS). Si permite acceso a un rol (por ejemplo, Urbanistas) para un servicio en el Administrador, los usuarios en ese rol podrán acceder al servicio a través de SOAP, REST y cualquier método OGC habilitado para el servicio. El directorio de servicios también respeta, de manera automática, la configuración de seguridad, de modo que sólo los usuarios que iniciaron sesión verán los servicios protegidos a los que tienen acceso.
Más información sobre Asegurar las conexiones de Internet a los servicios y Asegurar las aplicaciones Web.
Configuraciones comunes para la seguridad en servicios de ArcGIS Server
La siguiente tabla describe las configuraciones comunes para la seguridad en servicios de ArcGIS Server. Se basa en tres aspectos de cómo y dónde se configuran los servicios: (1) si los servicios se implementan en una intranet o en Internet, (2) el tipo de almacenamiento de usuario y rol, y (3) el método de autenticación.
Todas las configuraciones son compatibles con todos los clientes (Web, JavaScript, ArcGIS Desktop, OGC y KML), excepto cuando se informa lo contrario.
| Red | Almacenamiento de usuario/rol | Autentificación | Notas |
|
Intranet |
Ninguna |
No aplicable |
No hay seguridad de ArcGIS Server. El firewall limita los servicios/aplicaciones a los usuarios internos. |
|
Usuarios/roles de dominio de Windows (grupos) |
Autenticación de Windows integrada |
||
|
HTTP Basic/Digest |
Las aplicaciones JavaScript deben usar un proxy/redirector. |
||
|
Usuarios de dominio de Windows, roles de SQL Server |
Autenticación de Windows integrada |
||
|
HTTP Basic/Digest |
Las aplicaciones JavaScript deben usar un proxy/redirector. |
||
|
Internet |
Ninguna |
No aplicable |
No hay seguridad de ArcGIS Server. Todos los servicios se abren para todos los usuarios. |
|
Usuarios/roles de Windows |
HTTP Basic/Digest |
Las aplicaciones JavaScript deben usar un proxy/redirector. |
|
|
Usuarios de Windows, roles de SQL Server |
2 instancias Web de ArcGIS
(1 HTTP Basic/Digest, 1 basada en token) |
HTTP Basic/Digest es compatible con SOAP, OGC y KML; la autenticación basada en token es compatible con acceso REST. |
|
|
Usuarios y roles de SQL Server |
Basado en token |
No hay soporte para clientes OGC o KML. |
|
|
Proveedor personalizado |
Basado en token |
No hay soporte para clientes OGC o KML. |