Vista general de la seguridad de Internet
ArcGIS Server permite asegurar las aplicaciones Web y los servicios Web utilizando el modelo de seguridad de Control de acceso basado en roles (RBAC). Para configurar y administrar este modelo de seguridad, es importante comprender cómo interactúan entre sí los distintos componentes que conforman este modelo.
Las siguientes secciones de este tema explican en detalle el modelo de seguridad de ArcGIS Server. Cada sección comienza con una vista general de un componente de seguridad y continúa con una explicación de cómo el componente se ajusta al flujo de trabajo de seguridad.
Vista general del modelo de seguridad
Esta sección proporciona una vista general conceptual de los distintos componentes funcionales y cómo se ajustan al modelo de seguridad.
La siguiente ilustración proporciona una vista general del modelo de seguridad de ArcGIS Server.
 |
Almacenamiento principal
El almacenamiento principal es un repositorio de los usuarios del servicio Web de ArcGIS y sus roles asociados. En el sistema de Control de acceso basado en roles de ArcGIS Server, los usuarios no tienen permisos asignados directamente a un servicio Web de ArcGIS. En cambio, el privilegio para acceder a un servicio Web determinado se asigna a un rol específico. Los usuarios del servicio Web de ArcGIS reciben uno o más roles y, a través de esas asignaciones de roles, adquieren los permisos para acceder a un servicio Web en particular. Cada usuario adquiere los privilegios de todos los roles que le fueron asignados.
ArcGIS Server puede funcionar con una variedad de almacenamientos para mantener la información de usuario y de rol. Puede utilizar una base de datos relacional (por ejemplo, Microsoft SQL Server o MySQL) o un servidor de directorio (por ejemplo, LDAP o Active Directory de Microsoft). También puede configurar la seguridad de ArcGIS Server para acceder a los usuarios y roles de un almacenamiento propietario al desarrollar extensiones personalizadas (con el API de almacenamiento principal de ArcGIS) y configurarla para que el Administrador de ArcGIS Server se conecte con el almacenamiento propietario a través de la extensión.
El servicio de token se conecta al almacenamiento principal configurado para la autenticación de usuarios. Los controladores del servicio (por ejemplo, los controladores del servicio Web y REST) también buscan información de rol asociada con un usuario en el almacenamiento principal. Con el Administrador, puede administrar información de usuarios y de roles en los almacenamientos.
Para obtener más información sobre cómo configurar y utilizar el almacenamiento principal, consulte Vista general de la configuración del almacenamiento de seguridad.
Para obtener más información sobre cómo escribir extensiones con la API de almacenamiento principal, consulte Extender el almacenamiento principal.
Almacenamiento de permisos
El almacenamiento de permisos es un repositorio de privilegios que se asignaron a los roles. Almacena información acerca de la lista de servicios de ArcGIS a los que puede acceder un rol en particular.
El almacenamiento de permisos es mantenido por el administrador de objetos de servidor (SOM). No lo tiene que configurar ni mantener explícitamente. El almacenamiento de permisos también expone un API que permite acceder a los desarrolladores.
Para obtener más información sobre cómo configurar permisos en las aplicaciones y los servicios Web de ArcGIS, consulte Proteger los servicios Web y Proteger las aplicaciones Web.
Esquemas de autenticación
Cuando el servidor SIG protegió los recursos Web publicados, cualquier cliente Web que desee consumir estos recursos debe proporcionar credenciales válidas al acceder al recurso. ArcGIS Server admite dos esquemas de autenticación distintos para validar las credenciales de los usuarios.
Esquemas de autenticación para servicios Web
Autenticación administrada por ArcGIS basada en tokensLos clientes Web deben proporcionar un token cuando desean acceder a un servicio Web de ArcGIS que se protegió con la Autenticación administrada por ArcGIS. Se puede adquirir tokens de un servicio de token instalado por ArcGIS Server. Cada token es una identidad para el usuario. Los controladores del servicio se actualizan para procesar este token y autenticar el usuario del cliente.
Los clientes como ArcCatalog o las aplicaciones Web que se crean con el Administrador son capaces de consumir fluidamente servicios Web de ArcGIS protegidos con la Autenticación administrada por ArcGIS. No es necesario obtener tokens de manera explícita de un servicio de tokens cuando trabaja con estos clientes.
Los clientes de JavaScript potenciados por la API de REST también pueden consumir servicios protegidos fluidamente.
Para obtener más información sobre cómo trabajar con tokens, consulte Tokens y servicios de token.
Autenticación administrada por el contenedor de Java Enterprise EditionLos clientes Web que intentan consumir un servicio Web de ArcGIS que está protegido con la Autenticación administrada por el contenedor de Java Enterprise Edition deberán proporcionar credenciales de autenticación cuando el contenedor Web lo solicite.
Aquí, los controladores del servicio (por ejemplo, los controladores del servicio Web y REST) están protegidos por el contenedor Web en el que se implementan. La mayoría de los contenedores Web admiten distintos esquemas de autenticación como BASIC, DIGEST, certificados de clientes, etc.
Esquemas de autenticación para aplicaciones Web
Autenticación administrada por ArcGIS basada en el control de inicio de sesiónUna aplicación Web que se protegió con este mecanismo de autenticación mostrará una página de inicio de sesión HTML cuando intente acceder a la aplicación. Una vez que introdujo las credenciales, el control de inicio de sesión validará la información provista con las credenciales del usuario en el almacenamiento principal que se configuró para la aplicación. Tendrá acceso a esta aplicación sólo si pertenece a un rol al cual el administrador SIG otorgó permiso para acceder a ella.
Para obtener más información sobre cómo proteger las aplicaciones Web, consulte Asegurar las aplicaciones Web.
Autenticación administrada por el contenedor de Java Enterprise EditionEn este caso, el contenedor Web en el cual se implementa la aplicación le solicitará las credenciales. A continuación, el contenedor autenticará las credenciales con la información del usuario en su entorno configurado y autorizará el acceso.
Debe configurar el contenedor Web explícitamente con un entorno apropiado que contenga información de usuario y de rol.
Para obtener más información sobre cómo proteger las aplicaciones Web, consulte Asegurar las aplicaciones Web.
Servicio de token
Para admitir perfectamente a los clientes de secuencias de comandos, ArcGIS Server utiliza el acceso basado en token para proteger los servicios Web de ArcGIS. Los tokens encapsulan la identidad de un (usuario) principal solicitante en particular y son otorgados por un servicio de token que se instala como parte de ArcGIS Server.
El servicio de token se comunicará con el almacenamiento principal configurado para autenticar solicitudes de tokens entrantes. ArcGIS Server es capaz de descifrar estos tokens y de otorgar acceso basado en roles a los recursos solicitados.
El servicio de token es una parte de la autenticación administrada por ArcGIS para proteger los servicios Web de ArcGIS.
Los tokens se pueden solicitar a través de la dirección URL del servicio de token o de la página Web. Los desarrolladores de la aplicación JavaScript deben obtener un token y utilizarlo en sus aplicaciones que consumen un servicio Web de ArcGIS protegido.
Para obtener más información sobre cómo trabajar con tokens, consulte Tokens y servicios de token.
Seguridad para servicios Web de ArcGIS
Los servicios Web de ArcGIS se protegen con un mecanismo de control de acceso basado en roles. Puede establecer permisos en los servicios utilizando el administrador. Cuando se habilita la seguridad en el servidor SIG, sólo se otorgará acceso a los usuarios que pertenecen a los roles con permisos para acceder a los servicios SIG.
Para proteger los servicios Web de ArcGIS, tiene una opción de esquemas de autenticación entre la Autenticación administrada por ArcGIS basada en tokens y la Autenticación administrada por el contenedor de Java Enterprise Edition (que se describe arriba).
Para obtener más información sobre cómo proteger las aplicaciones Web, consulte Asegurar las aplicaciones Web.
Seguridad para aplicaciones Web
Las aplicaciones Web que se crearon en el Administrador se pueden proteger con la Autenticación administrada por ArcGIS o la Autenticación administrada por el contenedor de Java Enterprise Edition (que se describe arriba).
Puede asignar un conjunto de permisos de roles en particular para acceder a la aplicación Web. Sólo los usuarios que pertenecen a estos roles tendrán acceso a la aplicación.
Para obtener más información sobre cómo proteger las aplicaciones Web, consulte Asegurar las aplicaciones Web.