Vista general de la seguridad de Internet

ArcGIS Server le permite asegurar sus aplicaciones Web y servicios Web. Esta sección trata principalmente sobre cómo restringir el acceso a las aplicaciones y los servicios a los usuarios autorizados. Obviamente, los demás problemas de seguridad se aplican a su sistema de ArcGIS Server, como las cuentas utilizadas por ArcGIS Server para acceder a los datos, la seguridad para el código que se ejecuta en el servidor y la seguridad física del equipo. Consulte Formas de implementar seguridad para obtener más información sobre seguridad con ArcGIS Server.

Con ArcGIS Server, puede administrar la seguridad para los servicios Web y las aplicaciones Web. Las tareas de seguridad más importantes que debe realizar son las siguientes:

La siguiente sección presenta un resumen de las opciones: Configuraciones comunes para la seguridad en servicios de ArcGIS Server. Puede utilizar el Administrador para la mayoría de estas tareas. A continuación encontrará más información sobre cada una de estas tareas, así como secciones individuales de este tema. La Lista de comprobación de seguridad de Internet también funciona como una guía para implementar seguridad para servicios y aplicaciones.

Definir la administración de usuarios y roles

El componente fundamental de cualquier mecanismo de control de acceso es la capacidad de autenticar a los usuarios. Todos los mecanismos de autenticación requieren que la información y los roles de los usuarios a los que pertenecen estén almacenados centralmente en algún lugar del sistema. Las aplicaciones ASP.NET admiten que la seguridad esté almacenada y administrada por el sistema operativo o un proveedor de pertenencia a ASP.NET. ArcGIS Server utiliza estas dos opciones de almacenamiento de usuario distribuidas por ASP.NET.

La decisión de dónde almacenar a los usuarios depende, en gran medida, de la audiencia de las aplicaciones y servicios. Por ejemplo, si construye aplicaciones de intranet principalmente, puede aprovechar los usuarios existentes y los grupos disponibles en el sistema operativo para otorgar acceso a las aplicaciones. Asimismo, si crea aplicaciones de Internet y no desea que los usuarios Web sean usuarios del active directory, puede almacenar esos usuarios en un proveedor de pertenencia a ASP.NET. Para obtener más detalles sobre la configuración de usuarios y roles, consulte Información general sobre la configuración de usuarios y roles.

ArcGIS Server permite configurar fácilmente el proveedor de pertenencia a ASP.NET para Microsoft SQL Server utilizando sólo el Administrador de ArcGIS Server. Sin embargo, el marco de pertenencia a ASP.NET es muy flexible y es compatible con una amplia variedad de proveedores personalizados como otras bases de datos, archivos XML, Active Directory, LDAP y más. Una vez configurado en el sistema, se puede configurar ArcGIS Server para utilizar estos proveedores personalizados.

Estos vínculos resumen cómo configurar los usuarios y roles, y ofrecen más información sobre cada opción:

Elegir un método de autenticación

La autenticación es el proceso de identificación del usuario que está intentando acceder al sistema. El usuario proporciona credenciales, generalmente un nombre de usuario y una contraseña, para que el sistema pueda realizar la autenticación. El método de autenticación determina la manera en que el servidor valida la identidad del usuario.

Las opciones de autenticación dependen de la elección del almacenamiento de usuario y rol.

Almacenamiento de usuario

Autentificación

Usuarios y grupos del sistema operativo Windows

IIS

proveedor de suscripción a ASP.NET

ASP.NET

Los métodos de autenticación también varían en términos del nivel de seguridad otorgado. Lea la documentación detenidamente y consulte al personal de seguridad antes de elegir el método apropiado según su necesidad.

Los métodos de autenticación disponibles en ArcGIS Server para Microsoft .NET Framework son los siguientes:

Se pueden admitir varios métodos de autenticación, de ser necesario, configurando varias instancias Web de ArcGIS Server. Cada instancia estaría relacionada al mismo servidor SIG pero se configuraría para un método de autenticación diferente.

Para obtener pautas sobre los métodos de autenticación, consulte Configuraciones comunes para la seguridad en servicios de ArcGIS Server. La Información general sobre la configuración de usuarios y roles cuenta con información adicional sobre los métodos de autenticación.

Implementar Capa de sockets seguros (SSL)

Según los requisitos del almacenamiento de usuario y del método de autenticación, es posible que necesite adquirir un certificado de SSL para el servidor Web. SSL permite utilizar HTTPS, que cifra la comunicación entre los clientes y el servidor Web. En términos generales, SSL es vital a la hora de autenticar a los usuarios con autenticación HTTP Basic, basada en token o basada en formularios, aunque SSL también aumenta la seguridad de las credenciales con otros métodos de autenticación. Más información sobre Configurar SSL.

Establecer permisos para servicios y aplicaciones

Para que un usuario pueda acceder a un servicio o a una aplicación, debe agregar permisos en el servicio o aplicación para el rol del que el usuario es miembro. Los permisos de ArcGIS Server se basan en roles. Puede permitir roles en lugar de usuarios individuales para agregar permisos para un servicio, carpeta de servicio o aplicación en el Administrador.

Cuando aplica seguridad a un servicio Web, se aplica a todos los formularios del servicio Web: SOAP, REST y OGC (como WMS). Si permite acceso a un rol (por ejemplo, Urbanistas) para un servicio en el Administrador, los usuarios en ese rol podrán acceder al servicio a través de SOAP, REST y cualquier método OGC habilitado para el servicio. El directorio de servicios también respeta, de manera automática, la configuración de seguridad, de modo que sólo los usuarios que iniciaron sesión verán los servicios protegidos a los que tienen acceso.

Más información sobre Asegurar las conexiones de Internet a los servicios y Asegurar las aplicaciones Web.

Configuraciones comunes para la seguridad en servicios de ArcGIS Server

La siguiente tabla describe las configuraciones comunes para la seguridad en servicios de ArcGIS Server. Se basa en tres aspectos de cómo y dónde se configuran los servicios: (1) si los servicios se implementan en una intranet o en Internet, (2) el tipo de almacenamiento de usuario y rol, y (3) el método de autenticación.

Todas las configuraciones son compatibles con todos los clientes (Web, JavaScript, ArcGIS Desktop, OGC y KML), excepto cuando se informa lo contrario.

Red Almacenamiento de usuario/rol Autentificación Notas

Intranet

Ninguna

No aplicable

No hay seguridad de ArcGIS Server. El firewall limita los servicios/aplicaciones a los usuarios internos.

Usuarios/roles de dominio de Windows (grupos)

Autenticación de Windows integrada

HTTP Basic/Digest

Las aplicaciones JavaScript deben usar un proxy/redirector.

Usuarios de dominio de Windows, roles de SQL Server

Autenticación de Windows integrada

HTTP Basic/Digest

Las aplicaciones JavaScript deben usar un proxy/redirector.

Internet

Ninguna

No aplicable

No hay seguridad de ArcGIS Server. Todos los servicios se abren para todos los usuarios.

Usuarios/roles de Windows

HTTP Basic/Digest

Las aplicaciones JavaScript deben usar un proxy/redirector.

Usuarios de Windows, roles de SQL Server

2 instancias Web de ArcGIS

(1 HTTP Basic/Digest, 1 basada en token)

HTTP Basic/Digest es compatible con SOAP, OGC y KML; la autenticación basada en token es compatible con acceso REST.

Usuarios y roles de SQL Server

Basado en token

No hay soporte para clientes OGC o KML.

Proveedor personalizado

Basado en token

No hay soporte para clientes OGC o KML.


3/6/2012