Información general sobre la configuración de usuarios y roles
El Administrador de ArcGIS Server le permite asignar privilegios de acceso a los roles para los servicios y para las aplicaciones Web. Un rol es un grupo de uno o más usuarios. Un usuario es una persona que accede a una aplicación Web o a un servicio Web. Un usuario puede pertenecer a varios roles.
Por ejemplo, supongamos que John, Carla y Pat son usuarios de un servidor SIG que facilita la administración de los recursos naturales. Estos tres usuarios pertenecen al rol Acceso general, que les permite acceder a un conjunto de servicios base. Sin embargo, John y Carla pertenecen al rol Hidrologista que les brinda acceso a servicios adicionales. Tal vez un cuarto usuario, Maria, pertenece al rol Líder de equipo que le permite acceder a todos los servicios. Lo que debe recordar es que se pueden configurar los roles y niveles de acceso para satisfacer sus necesidades.
Configurar ubicaciones para usuarios y roles
Antes de poder usar las herramientas en el Administrador de ArcGIS Server para asignar permisos para los servicios o aplicaciones, debe definir dónde se almacenarán los usuarios y los roles. Existen varias opciones: consulte los vínculos que aparecen debajo para obtener más información sobre la configuración de cada una.
Usuarios y grupos de Windows: elija los usuarios y grupos de Windows si desea basarse en cuentas de Windows locales existentes en el servidor Web o cuentas de dominio. Si utiliza cuentas de dominio, el servidor Web debe estar en el dominio que está utilizando para la autenticación.
Esta opción se utiliza generalmente cuando se usa ArcGIS Server en una intranet. También se puede utilizar el Inicio de sesión único (SSO) con esta opción mediante la Autenticación de Windows integrada en el servidor Web. En esta opción está integrado el paso automático de credenciales desde la aplicación Web hacia el servicio Web.
Microsoft SQL Server Express: si desea establecer una nueva lista de usuarios y roles, y desea utilizar las herramientas incluidas en ArcGIS Server, puede usar esta opción. Puede usar Microsoft SQL Server Express (incluido en ArcGIS Server) para almacenar usuarios y roles, o también puede utilizar su propia edición de SQL Server que no sea Express. La interfaz de seguridad del Administrador ofrece herramientas para administrar los usuarios y roles almacenados dentro de SQL Server.
Esta opción se usa generalmente cuando utiliza ArcGIS Server en Internet porque no desea otorgar credenciales de Windows a los usuarios de Internet. Esta opción también resulta útil si desea que las aplicaciones Web tengan credenciales diferentes a los servicios Web consumidos por esas aplicaciones.
Proveedor personalizado: permite almacenar usuarios y roles en una ubicación que no sea SQL Server o el sistema operativo Windows. Las opciones incluyen otros tipos de bases de datos y archivos XML.
Esta opción utiliza un proveedor de pertenencia personalizado a ASP.NET. Para utilizar esta opción, deberá adquirir y configurar un proveedor .NET para el almacenamiento de usuario y rol. Por ejemplo, los proveedores de terceros admiten el uso de una base de datos Oracle para el almacenamiento de usuario y rol. También puede crear su propio proveedor personalizado. Consulte la documentación sobre las pertenencias a ASP.NET para obtener más detalles. Podrá usar esta opción por los mismos motivos que Microsoft SQL Server, pero cuando desee almacenar los usuarios y grupos en otro lugar que no sea Microsoft SQL Server.
Por defecto, los usuarios y los roles se almacenan en la misma ubicación. Si elige los usuarios de Windows, puede almacenar roles en el SQL Server o en un proveedor personalizado. Si elige esta opción, debe asegurarse de que los roles en SQL Server (o en el proveedor personalizado) contengan miembros cuyos nombres estén escritos de la misma forma que en las cuentas de usuarios de Windows.
El Administrador utiliza el mismo almacenamiento de usuarios y roles para todos los servicios Web y para todas las aplicaciones Web. Si desea utilizar una ubicación diferente para los servicios que la de las aplicaciones, no puede usar la misma instancia del Administrador para proteger los servicios y las aplicaciones. Puede utilizar el Administrador para proteger los servicios y usar otras herramientas para proteger las aplicaciones, o utilizar el Administrador para proteger aplicaciones y utilizar herramientas externas para proteger los servicios. Para la primera opción (proteger sólo los servicios con el Administrador), no necesita habilitar la seguridad dentro del Administrador para ninguna de las aplicaciones Web. En cambio, puede configurar la seguridad para las aplicaciones Web individuales configurando la aplicación en forma manual o utilizando la Herramienta Administración de sitios Web de Microsoft (WSAT). Consulte Asegurar las aplicaciones Web para obtener más información sobre el uso de WSAT.
Otra opción es agregar una segunda instancia de aplicaciones Web de ArcGIS a través de la herramienta Agregar instancia. Así, administraría los servicios Web de SIG con la instancia de ArcGIS y las aplicaciones Web con la segunda instancia. Para obtener más información, consulte Instancias de ArcGIS Server.
Archivos de configuración
Cuando configura la ubicación de almacenamiento para los usuarios y roles, esta información se escribe en archivos de configuración en ArcGIS Server. Los usuarios y roles reales se almacenan por separado en la ubicación de almacenamiento especificada. Sin embargo, la información que determina cómo se utiliza el almacenamiento de seguridad se almacena en los archivos de configuración de ArcGIS Server. Generalmente, se debe utilizar el Administrador para editar la configuración, pero aquí se proporciona la información para los usuarios que pudieran necesitar modificar manualmente la configuración de seguridad.
La configuración relacionada con la seguridad se almacena en la configuración estándar de ASP.NET. Puede consultar la referencia sobre ASP.NET para obtener más información sobre esta configuración.
La ubicación central para la configuración de seguridad es <instancia de ArcGIS>\Aplicación Web de seguridad (por ejemplo, http://myserver.example.com/ArcGIS/Security, con una ubicación física por defecto en C:\Inetpub\wwwroot\ArcGIS\Security). El archivo web.config en la carpeta de la aplicación guarda la configuración de seguridad para la instancia de ArcGIS Server. Si necesita configurar un proveedor en forma manual, por ejemplo, para agregar un proveedor de pertenencia personalizado, debe editar este archivo web.config (consulte Configurar usuarios y roles en un proveedor personalizado para obtener más información sobre los proveedores personalizados).
Cuando utiliza el asistente para configurar la seguridad, se actualiza la configuración de la aplicación Web de seguridad y se copia la misma configuración en varias aplicaciones más. Estas incluyen tres aplicaciones dentro de la misma instancia de ArcGIS: REST, Servicios y Tokens. Además, si alguna aplicación Web ya está protegida por el Administrador, se actualiza la configuración en esa aplicación. Posteriormente, cuando proteja otra aplicación Web con el Administrador, esta configuración también se copiará en el archivo web.config de la aplicación.
Si introduce cambios en la configuración del archivo web.config de la aplicación Web de seguridad, debe ejecutar el asistente Seguridad > Configuración > Cambio. Esto copiará los cambios en las aplicaciones que aplican la seguridad. Además, debido a que el Administrador coordina la configuración de seguridad para varias aplicaciones, se recomienda que utilice el Administrador para hacer cualquier tipo de modificación en la configuración de seguridad en lugar de intentar hacer las modificaciones manualmente.