Demostración paso a paso: implementar seguridad con usuarios y roles de Windows

Complejidad: Principiante Requisitos de datos: Configuración de datos de tutorial de ArcGIS

Esta demostración paso a paso muestra cómo implementar la seguridad para las aplicaciones Web y los servicios SIG. En esta demostración paso a paso, los usuarios se almacenan como cuentas del sistema operativo Windows en el equipo servidor Web local o en el dominio al que pertenece el servidor Web. Los roles para los usuarios se definen como grupos en el servidor local o dominio. Los usuarios y grupos de Windows son una de las tantas opciones para los usuarios y roles. Esta opción se utiliza generalmente cuando los usuarios del servidor están en la red local en lugar de estar conectados a través de Internet. Este enfoque puede ser útil si desea que los usuarios de SIG puedan aprovechar las cuentas que ya poseen en la red.

En esta demostración paso a paso, agregará los usuarios y grupos necesarios en el sistema, configurará la ubicación de usuario y rol en el Administrador, establecerá los permisos para la aplicación Web y el servicio Web de SIG y habilitará la seguridad para los servicios Web de SIG.

PrecauciónPrecaución:

Hacia el final de esta demostración paso a paso, podrá habilitar la seguridad para los servicios Web de SIG. Una vez habilitada la seguridad de los servicios, los usuarios autorizados, basados en su pertenencia al grupo de Windows, podrán acceder a cualquier servicio en el sistema. Además, a partir de ese momento, deberá administrar los permisos para todos los servicios. No debería habilitar la seguridad de los servicios a menos que desee restringir los servicios sólo para usuarios autorizados y esté listo para administrar los permisos.

Estos son los pasos de esta demostración paso a paso:

  1. Agregar usuarios y grupos con las herramientas del sistema operativo.
  2. Configurar la ubicación del usuario y el rol en el Administrador.
  3. Ver usuarios y roles.
  4. Asegurar una aplicación Web.
  5. Establecer permisos para los servicios Web de SIG.
  6. Deshabilitar el acceso anónimo a los servicios Web de SIG.
  7. Aplicar seguridad a servicios Web de SIG.

Agregar usuarios y grupos con las herramientas del sistema operativo

Para asignar permisos basado en los usuarios y grupos de Windows, debe agregar usuarios y grupos al sistema. Las instrucciones a continuación indican los pasos básicos. Consulte la documentación de Windows para obtener más detalles.

Si ya posee usuarios y grupos definidos en el servidor Web o en el dominio y desea utilizarlos para asignar permisos para las aplicaciones y servicios, puede pasar por alto esta sección.

Pasos:
  1. Para agregar usuarios y grupos definidos al servidor Web local, vaya a Inicio > Panel de control > Herramientas administrativas > Administración del equipo (como alternativa, haga clic con el botón derecho del ratón en el icono Mi PC en el escritorio y haga clic en Administrar). En la consola Administración del equipo, expanda Herramientas del sistema y Usuarios locales y grupos. Haga clic en la carpeta Usuarios para ver la lista de usuarios.
    • En Windows Vista o Server 2008, en cambio, vaya a Inicio > Panel de control > Herramientas administrativas > Administrador del servidor. En el Administrador del servidor, expanda Configuración y después Usuarios locales y grupos. Haga clic en la carpeta Usuarios para ver la lista de usuarios.
  2. Haga clic con el botón derecho del ratón en la carpeta Usuarios y elija Nuevo usuario.
    Administración del equipo: Agregar nuevo usuario
  3. Introduzca el nombre de usuario, por ejemplo walkthrough1. Introduzca y confirme una contraseña (por ejemplo, walkthrough1). Puede desmarcar la opción que requiere que el usuario cambie la contraseña la próxima vez que inicie sesión. Establezca las demás opciones según lo desee y después haga clic en Crear.
  4. Agregue al menos un usuario más, por ejemplo walkthrough2. Cierre el cuadro de diálogo Nuevo usuario.
  5. Haga clic con el botón derecho del ratón en la carpeta Grupos en el árbol Administración del equipo (o Administrador del servidor) y elija Nuevo grupo.
  6. Introduzca el nombre del grupo, por ejemplo, WTGroup1. Puede agregar una descripción, opcionalmente. Agregue miembros al grupo:
    1. En el área Miembros, haga clic en Agregar.
    2. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos, haga clic en el botón Ubicaciones, y, en el cuadro de diálogo emergente, elija el nombre del equipo local y haga clic en Aceptar.
    3. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos, en el cuadro Introducir los nombres de objetos para seleccionar, introduzca el nombre del primer usuario agregado arriba (walkthrough1).
      Administración del equipo: Agregar nuevo grupo
    4. Haga clic en Verificar nombres para comprobar si el usuario existe (si es necesario, haga clic en el botón Opciones avanzadas y seleccione Buscar ahora para obtener una lista de todos los usuarios; puede seleccionar el usuario en esta lista).
    5. Haga clic en Aceptar para cerrar el cuadro de diálogo Seleccionar usuarios, equipos o grupos y volver al cuadro de diálogo Agregar grupo. El cuadro de diálogo Nuevo grupo ahora muestra el usuario seleccionado.
  7. Haga clic en Crear para crear un nuevo grupo.
  8. Cree un grupo más, por ejemplo, WTGroup2, y agregue el segundo usuario creado arriba (walkthrough2). Cierre el cuadro de diálogo Nuevo grupo. También puede cerrar la consola Administración del equipo.

Configure la ubicación del usuario y el rol en el Administrador

Para asignar permisos a las aplicaciones Web y los servicios, primero debe indicarle a ArcGIS Server dónde están almacenados los usuarios y roles. En esta demostración paso a paso, los usuarios son cuentas del sistema operativo en el servidor Web o en el dominio, y los roles son grupos de Windows en el servidor Web o en el dominio.

Pasos:
  1. Inicie el Administrador de ArcGIS Server e inicie sesión.
  2. En el Administrador, expanda el panel Seguridad y haga clic en Configuración.
  3. Haga clic en el botón Configurar (realice este paso aun si Ubicación ya indica usuarios y grupos de Windows; el asistente realiza pasos de configuración adicionales esenciales).
    Asistente de configuración de seguridad: Configurar
  4. En el panel para seleccionar la ubicación del almacenamiento de usuario, elija Usuarios de Windows.
    Asistente de configuración de seguridad: configurar usuarios de Windows
    Haga clic en Siguiente.
  5. En el panel para seleccionar la ubicación del almacenamiento de rol, elija Grupos de Windows. Haga clic en Finalizar. El asistente se cierra y el cuadro Ubicación muestra Usuarios y grupos de Windows.

Observe que la seguridad para los servicios se establece en No habilitado. No habilite la seguridad en este punto. Habilitará la seguridad en el último paso de esta demostración paso a paso. Habilitar la seguridad es el último paso porque primero debe establecer permisos para sus servicios Web. Una vez habilitada la seguridad, sólo los usuarios cuyos roles tengan permiso podrán acceder a los servicios Web de SIG.

Ver usuarios y roles

Cuando los usuarios y roles son los usuarios y grupos de Windows, puede verlos en el Administrador. Para agregar, editar o eliminar usuarios o grupos, debe utilizar las herramientas del sistema operativo Windows, como se describe en la primera sección de esta demostración paso a paso.

Pasos:
  1. En el Administrador, haga clic en la ficha Seguridad del lado izquierdo y, a continuación, haga clic en Usuarios. El panel Usuarios muestra una lista de los usuarios en el servidor Web local.
    Lista de los usuarios de Windows en el Administrador
  2. Si hay más usuarios de los que puede visualizar en un sólo panel, haga clic en las flechas dobles hacia la derecha (>>) para visualizar más usuarios. También puede introducir una parte del nombre de usuario, o el nombre completo, en el cuadro Mostrar junto a la parte superior del panel y hacer clic en Buscar para filtrar la lista de usuarios.
  3. Para ver la pertenencia al grupo de un usuario, haga clic en el signo más (+) junto al nombre. La lista muestra los grupos a los que pertenece el usuario en el sistema local.
  4. Si el equipo es miembro de un dominio, puede ver los usuarios en el dominio haciendo clic en el botón Dominio para Mostrar usuarios en. Ahora puede ver la pertenencia al grupo de dominio para estos usuarios (la lista no muestra la pertenencia a los grupos del sistema local).
  5. Para ver los roles, haga clic en Roles en la ficha Seguridad del Administrador. En este caso, la lista muestra los grupos de Windows en el servidor Web local. Si el equipo es miembro de un dominio, haga clic en Dominio para ver los grupos en el dominio. Puede revisar las listas de grupos o filtrar o buscar grupos como con el cuadro de diálogo Usuarios.
    Lista de los grupos de Windows en el Administrador
  6. Haga clic en el signo más junto a un grupo para ver los usuarios que son miembros de ese grupo.

Asegurar una aplicación Web

Ahora, debe proteger la aplicación Web limitando el acceso a los roles designados (en este caso, los grupos de Windows). Las secciones finales de esta demostración paso a paso completarán este objetivo.

Pasos:
  1. Cree una nueva aplicación Web en el Administrador. La aplicación puede ser simple, con sólo un servicio de mapas y sin herramientas o tareas extra. Puede seguir el tutorial Crear una aplicación Web si debe crear una aplicación. Si instaló un certificado SSL en el servidor Web cuando creó la aplicación, puede configurar la aplicación para que utilice HTTPS (en el asistente de la aplicación, use la opción Opciones avanzadas en el primer panel). Puede utilizar una aplicación existente, pero todos los usuarios de la aplicación deben iniciar sesión como usuarios en un rol permitido durante la demostración paso a paso.
  2. En el Administrador, haga clic en Aplicaciones para enumerar las aplicaciones Web. Busque la aplicación que desea asegurar en la lista. En la columna Permisos, observe el icono desbloqueado
    Icono desbloqueado para aplicación no asegurada
    . Esto indica que la aplicación no está restringida, de manera que, en este momento, no se requiere que los usuarios inicien sesión.
    Cuadro de diálogo Lista de aplicaciones
  3. Haga clic en el icono permisos
    Icono desbloqueado para aplicación no asegurada
    , que muestra el cuadro de diálogo Permisos para la aplicación Web.
  4. Marque la casilla Habilitar seguridad para esta aplicación Web. Esto habilita las listas de roles disponibles y permitidos.
  5. Si desea permitir los roles según los grupos de dominio, haga clic en la opción Dominio en Mostrar roles en. De lo contrario, haga clic en Servidor local para ver los grupos en el equipo local. Puede agregar grupos de dominio y grupos locales como roles permitidos.
  6. Resalte el rol WTGroup1 (u otro rol agregado anteriormente) en la lista Roles disponibles. Haga clic en el botón Agregar para agregarlo a la lista de Roles permitidos. Si lo desea, agregue otros roles a la lista de roles permitidos.
  7. Haga clic en Guardar para guardar los permisos y volver a la lista de aplicaciones. Tenga en cuenta que el icono permisos cambia a una apariencia de icono bloqueado
    Icono bloqueado para aplicación protegida
    , que muestra que ahora requiere un inicio de sesión para acceder a la aplicación.
  8. Establezca el método de autenticación para la aplicación a través del Administrador de IIS:
    1. Abra el Administrador de IIS desde Inicio > Configuración > Panel de control > Herramientas administrativas > Internet Information Services.
    2. Expanda el árbol del lado izquierdo del Administrador de IIS, en Sitios Web o Sitios. Expanda Sitio Web predeterminado para buscar la aplicación Web que acaba de proteger.
    3. En Windows XP o Server 2003: (1) Haga clic con el botón derecho del ratón en la aplicación Web y haga clic en Propiedades en el menú contextual. Se abre el cuadro de diálogo de las Propiedades de la aplicación.
      Administrador de IIS: propiedades de la aplicación
      (2) En el cuadro de diálogo Propiedades, haga clic en la ficha Seguridad del directorio. En este panel, en Acceso anónimo y control de autenticación, haga clic en Editar. Se abre el cuadro de diálogo Métodos de autenticación. (3) Desmarque la casilla Acceso anónimo. Verifique al menos uno de los métodos en Acceso autenticado. Para los fines de esta demostración paso a paso, puede elegir Autenticación básica (haga clic en si aparece una advertencia de seguridad). Para obtener más información sobre los métodos de autenticación, consulte la página Vista general de la seguridad.
      Métodos de autenticación de la aplicación
      (4) Haga clic en Aceptar para cerrar el cuadro de diálogo Métodos de autenticación y volver al cuadro de diálogo Propiedades de la aplicación. En Windows Vista o Server 2008: (1) Haga clic en la aplicación en el árbol. En el lado derecho del Administrador de IIS, haga doble clic en Autenticación. (2) Haga clic en el elemento Autenticación anónima para seleccionarlo y haga clic en Deshabilitar en la lista Acciones en el lado derecho del Administrador de IIS. Después habilite al menos un método de autenticación. Para obtener más información sobre los métodos de autenticación, consulte la página Vista general de la seguridad.
    4. Si instaló un certificado SSL en el servidor Web, puede requerir HTTPS cuando se utilice esta aplicación. Esto protegerá el inicio de sesión cuando el método de autenticación sea Básico. En Windows XP o Server 2003: En el cuadro de diálogo Propiedades para el sitio Web, haga clic en la ficha Seguridad del directorio. En el área Comunicaciones protegidas de este panel, haga clic en Editar (si este botón está deshabilitado, no hay ningún certificado SSL instalado). En el cuadro de diálogo Comunicaciones protegidas, haga clic en Requerir canal seguro (SSL). Haga clic en Aceptar para guardar la configuración. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades. En Windows Vista o Server 2008: En el Administrador de IIS, haga clic en la aplicación en el árbol de la izquierda para seleccionarla. En el lado derecho del Administrador de IIS, haga doble clic en Configuración de SSL. En el panel Configuración de SSL que se abre, marque la casilla Requerir SSL.
    5. Cierre la consola del Administrador de IIS.
  9. Evalúe la aplicación haciendo clic en el hipervínculo de la dirección URL en la lista de aplicaciones Web. La aplicación se abre en una nueva ventana del navegador y aparece una ventana emergente para iniciar sesión. Introduzca el nombre de usuario y la contraseña para el usuario que es miembro del rol permitido (por ejemplo, el usuario walkthrough1 agregado arriba) y haga clic en Aceptar. Si el inicio de sesión es correcto, la aplicación continúa a la página de la aplicación Web de ArcGIS Server. Cierre la aplicación cuando termine de verla.

Establecer permisos para los servicios Web de SIG

Además de asegurar las aplicaciones Web, puede restringir el acceso a los servicios Web de SIG mediante el Administrador. Esta sección muestra cómo establecer permisos para los servicios. Estos permisos no se implementan realmente hasta que complete la siguiente sección sobre la aplicación de seguridad a los servicios. Este flujo de trabajo le permite configurar permisos para los servicios y luego aplicar la seguridad, para que los usuarios puedan seguir accediendo a los servicios durante el proceso de seguridad.

Esta demostración paso o paso configura la seguridad para que, por defecto, los servicios en el servidor permitan a cualquier miembro del grupo Usuarios (que generalmente incluye todas las cuentas de usuarios en el servidor local) acceder a los servicios. Después, se configura una carpeta para permitir el acceso a un grupo más limitado de roles a los servicios dentro de la carpeta. Este enfoque puede ser apropiado para un sitio con una combinación de servicios abiertos y protegidos. Es posible que la organización desee utilizar un enfoque diferente al que se ilustra a continuación.

Tenga en cuenta que cuando los usuarios y los roles de los servicios son usuarios y grupos de Windows, no se puede tener acceso anónimo a los servicios, donde los usuarios no introducen credenciales de inicio de sesión. En otras palabras, todos los usuarios de los servicios deberán tener una cuenta de Windows e introducir un nombre de usuario y una contraseña cuando se les pida.

Pasos:
  1. En el Administrador, asegúrese de tener al menos un servicio en la carpeta raíz de su servidor. Agregue un servicio si aún no existe ninguno. Puede consultar el tutorial Publicar un servicio de mapas para crear el servicio.
  2. Agregue una carpeta a los servicios del servidor haciendo clic en Administrar carpetas. En la lista desplegable que aparece, haga clic en Agregar.
    Agregar una carpeta de servicio
    En el cuadro de texto Agregar carpeta, introduzca el nombre de la carpeta, como por ejemplo, SecurityWalkthrough. Haga clic en Aceptar para agregar la carpeta.
  3. Agregue un servicio a la nueva carpeta. Utilice Publicar un recurso SIG para agregar el servicio, teniendo en cuenta que debe especificar la nueva carpeta (SecurityWalkthrough) como ubicación. (También puede utilizar el asistente Agregar nuevo servicio, pero asegúrese de que la lista Servicios en muestre la carpeta SecureServices. También puede utilizar ArcCatalog para agregar el servicio). Puede eliminar el servicio y la carpeta después de la demostración paso a paso, si lo desea.
  4. Establezca los permisos en la carpeta raíz para permitir que todos los miembros del grupo Usuarios puedan acceder a los servicios. Este enfoque es apropiado si desea permitir a todos los usuarios por defecto pero restringir ciertos servicios o carpetas para requerir un inicio de sesión válido. Para establecer este permiso, asegúrese de que en el cuadro Servicios en aparezca Nombre de servidor (raíz), donde Nombre de servidor es el nombre del equipo del servidor (si es necesario, haga clic en la lista desplegable para elegir este elemento). Haga clic en Administrar carpetas y, en la lista desplegable, elija Permisos. El cuadro de diálogo Permisos que se abre muestra el nombre de la carpeta (raíz).
  5. En el cuadro de diálogo Permisos, seleccione el rol Usuarios (grupo) y haga clic en Agregar. El rol Usuarios se mueve a la lista Roles permitidos. El rol Usuarios generalmente abarca todos los usuarios con cuentas en el servidor local. Como otra opción, si posee usuarios en el dominio de Windows que desee permitir, puede agregarlos haciendo clic en la opción Dominio en la parte superior de la lista (el grupo Usuarios de dominio generalmente incluye a todos los usuarios en el dominio). Tenga en cuenta la advertencia de que la seguridad para los servicios no está habilitada; habilitará la seguridad en la próxima sección. Haga clic en Guardar para guardar la lista de permisos.
    Configurar permisos de servicio
  6. Restrinja los permisos en la carpeta que creó anteriormente. En la lista Servicios en elija la carpeta (SecurityWalkthrough). Haga clic en Administrar carpetas y después en Permisos.
  7. En el cuadro de diálogo Permisos, haga clic en el rol Usuarios de la lista Roles permitidos y haga clic en Quitar. El rol se mueve a la lista Roles disponibles. Si agregó otros roles (por ejemplo, Usuarios de dominio), quítelos también. A continuación, haga clic en un rol específico para permitirlo, desde el servidor local o el dominio, como por ejemplo, WTGroup1. Puede agregar diversos roles según se permita, si lo desea. Haga clic en Guardar para guardar la lista de permisos.

Ahora, los permisos están configurados para los servicios. Sin embargo, la seguridad aún no está implementada. En otras palabras, en este punto, cualquier usuario puede acceder a los servicios de la carpeta SecureServices sin iniciar sesión. La próxima sección habilita la seguridad, lo cual implementa los permisos de acceso que configuró.

Deshabilitar el acceso anónimo a los servicios Web de SIG

Tal vez desea que los usuarios de los servicios Web de SIG inicien sesión en Windows para acceder a los servicios. Las aplicaciones cliente sólo piden un inicio de sesión si reciben un desafío de autenticación del servidor Web. Esta sección de la demostración paso a paso configura el servidor Web de IIS para obtener el inicio de sesión del usuario.

NotaNota:

No complete esta sección a menos que desee requerir que todos los usuarios de los servicios Web de SIG tengan cuentas de Windows en el servidor local o en el dominio.

Pasos:
  1. Abra el Administrador de IIS en Panel de control > Herramientas administrativas > Internet Information Services.
  2. Navegue a través de los sitios Web del equipo local hasta el sitio Web que contiene la instancia de ArcGIS (generalmente en Sitio Web predeterminado). Busque y expanda la carpeta de la instancia (denominada ArcGIS, por defecto).
  3. El método para deshabilitar el acceso anónimo depende de su sistema.
    • En Windows Server 2003 o XP:
      1. Haga clic con el botón derecho en la aplicación Web de servicios y, a continuación, haga clic en Propiedades.
      2. Haga clic en la ficha Seguridad del directorio. En Acceso anónimo y control de autenticación, haga clic en Editar.
      3. Desmarque Acceso anónimo. Verifique al menos uno de los métodos en Acceso autenticado. Consulte la información a continuación para obtener más información sobre métodos de autenticación. Después haga clic dos veces en Aceptar para regresar a la consola del Administrador de IIS.
    • En Windows Server 2008 o Vista:
      1. Haga clic con el botón izquierdo en la aplicación de servicios para mostrar los vínculos de propiedad en el lado derecho del Administrador de IIS.
      2. Haga doble clic en el elemento Autenticación en el grupo IIS. Esto muestra la lista de métodos de autenticación para la aplicación.
      3. En la lista de métodos de autenticación, haga clic con el botón derecho en Autenticación anónima, y en el menú de acceso directo, haga clic en Deshabilitar.
      4. Habilite al menos uno de los otros métodos de autenticación. Consulte la información a continuación para obtener más información sobre métodos de autenticación.
  4. Repita los pasos desde el 3 hasta el 5, pero configure las propiedades para la aplicación Web REST dentro de la carpeta ArcGIS.

Para obtener más información sobre los métodos de autenticación, consulte la documentación IIS y otros recursos como la página de MSDN Métodos de autenticación admitidos en IIS 6.0.

Aplicar seguridad a servicios Web de SIG

El paso final para asegurar servicios Web de SIG es aplicar seguridad a los servicios. Este paso restringe los servicios Web de SIG para que sólo los usuarios cuyos roles tengan permiso puedan acceder a los servicios. Hasta que no se complete este paso, los permisos aplicados no tendrán efecto y cualquier usuario podrá acceder a cualquier servicio. Puede realizar estos pasos después de haber configurado los permisos como se describe en la sección anterior.

PrecauciónPrecaución:

Una vez que habilite la seguridad, no puede deshabilitarla en el Administrador (consulte la página de ayuda del servidor sobre la protección de los servicios para obtener la información para deshabilitar la seguridad en forma manual, si es necesario). La seguridad para los servicios debe ser un proceso unidireccional. Si no está preparado para habilitar la seguridad para los servicios Web de SIG, puede omitir esta sección de la demostración paso a paso.

Pasos:
  1. En el Administrador, haga clic en la ficha Seguridad del lado izquierdo y haga clic en Configuración dentro de la sección Seguridad. Esto muestra el panel de configuración para la seguridad.
  2. En el panel Configuración de seguridad, lea la información en Seguridad para los servicios SIG. Observe que la seguridad se establezca en No habilitado cuando instala ArcGIS Server.
    Habilitar seguridad para los servicios
  3. Haga clic en Habilitar. Un mensaje le advierte que establezca los permisos antes de habilitar la seguridad para los servicios. Haga clic en el botón Habilitar seguridad para los servicios para confirmar. Ahora, regresa al panel Configuración de seguridad, y el indicador muestra que la seguridad está habilitada.
  4. Haga clic en la ficha Servicios a la izquierda del Administrador. En la lista de servicios, los iconos permisos aparecen ahora como un icono bloqueado
    Icono bloqueado para servicios protegidos
    . Si ve un icono con un signo de exclamación de color rojo
    Icono de advertencia para servicio protegido sin roles permitidos
    , indica que el servicio tiene una lista de permisos vacía. Los usuarios no podrán acceder a estos servicios hasta que se agregue al menos un rol a la lista Roles permitidos de cada servicio.
  5. Para verificar que la seguridad para los servicios esté vigente, utilice ArcCatalog para conectarse a sus servicios. Inicie ArcCatalog, ya sea en su equipo local o en un equipo que pueda acceder al servidor Web para ArcGIS Server.
  6. En ArcCatalog, expanda el nodo Servidores SIG en el árbol de catálogo. Haga doble clic en el elemento Agregar ArcGIS Server.
  7. Haga clic en Utilizar servicios SIG. Haga clic en Siguiente.
  8. En el siguiente panel, haga clic en Internet como el tipo de conexión e introduzca la dirección URL de su servidor, por ejemplo, http://myserver/arcgis/services. En la sección Autenticación del cuadro de diálogo, introduzca el nombre de usuario y la contraseña para una cuenta que esté en el grupo Usuarios pero no en WTGroup1, por ejemplo, MYSERVER\walkthrough2 (o, si configuró la seguridad con diferentes usuarios y roles, use una cuenta que no tenga permisos en la carpeta protegida, SecurityWalkthrough). Haga clic en Finalizar. Se cierra el cuadro de diálogo y aparece la nueva conexión en la lista Servidores SIG, como arcgis en myserver.
  9. Expanda el nodo para la nueva conexión. Consulte el servicio en la raíz de su servidor. La carpeta que protegió en la conexión anterior (SecurityWalkthrough) no está visible. Debido a que permitió que el rol Usuarios pueda acceder a la carpeta raíz, los servicios en la carpeta raíz y otras carpetas que no invalidaron la configuración están visibles para todos los usuarios. Debido a que no se conectó con un inicio de sesión apropiado, la carpeta SecureServices no está disponible para esta conexión.
  10. Agregue otra conexión al servidor SIG en ArcCatalog, siguiendo los pasos desde el 6 hasta el 8. Introduzca la misma URL del servidor, pero en el paso 8, introduzca el nombre de usuario y la contraseña. Utilice el nombre de usuario que creó anteriormente para el usuario (por ejemplo, walkthrough1) en el rol para el cual permitió el uso de la carpeta SecurityWalkthrough. Haga clic en Finalizar para agregar la conexión.
  11. Expanda esta conexión (por ejemplo, arcgis en myserver [2]). Ahora puede ver la carpeta SecurityWalkthrough, junto con los servicios y carpetas permitidos para Usuarios.
  12. Cierre ArcCatalog y el Administrador cuando finalice.

Con estos pasos ha protegido la aplicación Web y los servicios Web de SIG basados en los usuarios y grupos de Windows. Para obtener más detalles sobre la configuración de la seguridad, consulte otras páginas sobre seguridad en esta sección de la Ayuda de ArcGIS Server.

Puede utilizar servicios protegidos en varios clientes, incluido ArcGIS Desktop, aplicaciones Web ADF y aplicaciones API JavaScript. Para agregar un servicio protegido a una aplicación Web ADF, agregue una nueva conexión de ArcGIS Server en Internet e introduzca un nombre de usuario y la contraseña correcta en el cuadro de texto Identidad del cuadro de diálogo de la conexión en el Administrador o Visual Studio.

Si lo desea, puede quitar servicios, carpetas, usuarios o roles creados durante esta demostración paso a paso. Tenga en cuenta que una vez que habilita la seguridad para los servicios, debe administrar los permisos para todas las carpetas y servicios. Si agrega un servicio pero no agrega ningún rol permitido, los usuarios no podrán acceder (se muestra un

Icono de advertencia para servicio protegido sin roles permitidos
icono de advertencia para alertarlo sobre este problema). Una forma de asegurar al menos un conjunto predeterminado de permisos es agregar permisos a la carpeta contenedora en la raíz o subcarpeta. Los servicios heredan los permisos de su carpeta contenedora, lo que facilita la configuración de seguridad para los servicios.


7/10/2012