Asegurar las aplicaciones Web
Puede utilizar el Administrador para restringir el acceso a las aplicaciones Web de ArcGIS Server. Cuando habilita la seguridad en una aplicación, sólo los usuarios en roles permitidos pueden acceder a la aplicación.
Antes de establecer la seguridad en las aplicaciones, asegúrese de establecer el almacenamiento de usuario y rol y de agregar al menos un usuario y un rol. Para obtener instrucciones, consulte Información general sobre la configuración de usuarios y roles.
Para establecer las reglas para los usuarios que podrán acceder a una aplicación Web, siga estos pasos:
- En el Administrador de ArcGIS Server, haga clic en la ficha Aplicaciones para ver la lista de las aplicaciones Web en el servidor.
- Busque la aplicación Web para la que desea establecer las reglas de seguridad y haga clic en el icono Permisos (candado). Aparece el cuadro de diálogo Permisos con el que puede:
- Habilitar la seguridad para la aplicación. Si esta casilla no está marcada, las demás configuraciones del cuadro de diálogo no estarán disponibles. Si desmarca esta casilla, no se aplicarán restricciones al acceso a la aplicación.
- Permitir que un rol acceda a la aplicación. Para agregar un rol, elija el rol en la lista de roles disponibles que aparece a la izquierda. Haga clic en Agregar para agregar el rol a la lista de roles permitidos.
Para quitar roles de la lista de permisos, selecciónelos y haga clic en Quitar. El rol se moverá a la lista de roles disponibles.
Nota:Si el rol fue eliminado o no está en el almacenamiento de rol, no se mostrará cuando vuelva a abrir el cuadro de diálogo Permisos.
- Una vez configurados los permisos, haga clic en Guardar para guardar los cambios a la seguridad de la aplicación. Haga clic en Cancelar para cancelar los cambios realizados en los permisos para la aplicación.
- Sólo si los usuarios de ArcGIS Server son usuarios de Windows: habilite al menos un método de autenticación en el servidor Web de Internet Information Services. Consulte la próxima sección para obtener instrucciones.
- Si los usuarios de ArcGIS Server están en SQL Server o en un proveedor personalizado, O son usuarios de Windows y habilitó la autenticación Básica en el paso anterior, requiera que la aplicación se utilice con https (SSL). Esto es fundamental para proteger la transmisión de contraseñas cuando los usuarios inician sesión en la aplicación.
Habilitar métodos de autenticación para la aplicación
Esta sección sólo se aplica si los usuarios de la instancia de ArcGIS Server son usuarios de Windows. En este caso, la identidad del usuario debe estar verificada por el servidor Web IIS. Para que IIS pueda autenticar al usuario, debe habilitar al menos un método de autenticación para la aplicación Web protegida.
La instalación de IIS puede tener uno o dos métodos de autenticación habilitados por defecto. Debe verificar que al menos un método de autenticación esté habilitado. Si no hay ningún método de autenticación habilitado, los usuarios no tendrán acceso a la aplicación Web.
Para establecer los métodos de autenticación para la aplicación Web en IIS 5.1 ó 6 (Windows XP o Server 2003 respectivamente), haga lo siguiente:
- Abra el Administrador IIS desde Inicio > Configuración > Panel de control > Herramientas administrativas > Internet Information Services.
- Navegue a través de los Sitios Web del equipo hasta el sitio Web protegido en el Administrador (generalmente en el Sitio Web predeterminado).
- Haga clic con el botón derecho del ratón en la carpeta de aplicaciones Web y después haga clic en Propiedades. Se abre el cuadro de diálogo de las Propiedades de la aplicación.
- Haga clic en la ficha Seguridad del directorio. En Acceso anónimo y control de autenticación, haga clic en Editar. Esto abre el cuadro de diálogo Métodos de autenticación.
- Verifique al menos uno de los métodos en Acceso autenticado. Consulte la información a continuación para obtener más información sobre métodos de autenticación.
Para establecer los métodos de autenticación para la aplicación Web en IIS 7 (Windows Vista, Windows 7 o Windows Server 2008), haga lo siguiente:
- Abra el Administrador de IIS desde Panel de control > Herramientas administrativas > Administrador de Internet Information Services.
- Expanda el nodo Sitios hasta encontrar el sitio Web protegido en el Administrador (generalmente en el Sitio Web predeterminado), y expanda el sitio para ver las aplicaciones Web.
- Haga clic con el botón izquierdo en la aplicación Web que desea proteger para mostrar los vínculos de propiedad en el lado derecho del Administrador de IIS.
- Haga doble clic en el elemento Autenticación en el grupo IIS. Esto muestra la lista de métodos de autenticación para la aplicación.
- En la lista de métodos de autenticación, haga clic con el botón derecho en Autenticación anónima, y en el menú contextual, haga clic en Deshabilitar.
- Habilite al menos uno de los otros métodos de autenticación. Consulte la información a continuación para obtener más información sobre métodos de autenticación.
Para obtener más información sobre los métodos de autenticación, consulte Elegir un método de autenticación de esta Ayuda. También consulte la documentación sobre IIS y otros recursos como las páginas MSDN en Métodos de autenticación admitidos en IIS 6.0 o Requisitos para la característica de autenticación (IIS 7).
Autenticación y autorización en web.config
ASP.NET almacena la información de seguridad para una aplicación Web en el archivo web.config (los usuarios y roles generalmente se almacenan por separado en proveedores especificados en el archivo web.config). El Administrador utiliza esta opción para la autorización de las aplicaciones Web (pero no para los servicios Web de SIG; consulte Asegurar las conexiones de Internet a los servicios). Puede ver esta información pero, si la modifica, es posible que el Administrador no pueda administrar la seguridad para la aplicación.
Las reglas de permiso para las aplicaciones Web se almacenan con el formato de autorización estándar para las aplicaciones ASP.NET. Las reglas se almacenan en el archivo web.config dentro del elemento <authorization> estándar.
Si edita las reglas de autorización el web.config, en forma manual o con la herramienta Administración de sitios Web (WSAT), debe seguir estas pautas:
- Utilice sólo las reglas <allow>. El Administrador no utiliza reglas <deny>, excepto para la regla deny all users en la parte inferior de la lista de reglas.
- Agregue sólo roles a las reglas. El Administrador no admite la adición de cuentas de usuarios individuales a las reglas.
- Agregue sólo un rol individual a los elementos allow. Por ejemplo, no debería utilizar la siguiente regla:
<allow users="Admins, Planning" />
En cambio, cree dos reglas equivalentes:<allow users="Admins" /> <allow users="Planning" />
- No quite ni edite la regla <deny users="all" />. Esta debe ser la última regla de la lista.
- No importa el orden de las reglas, ya que sólo se utilizan las reglas allow. La excepción es que la regla deny all users debe aparecer al final de la lista.
Si no sigue estas pautas, y edita más tarde la seguridad con el Administrador, las reglas de acceso en web.config pueden leerse incorrectamente y pueden sobrescribirse. Si no planea usar el Administrador para configurar la seguridad para la aplicación Web, puede, por supuesto, utilizar cualquier configuración de autorización ASP.NET válida.
Utilizar la herramienta Administración de sitios Web (WSAT)
La configuración de seguridad para las aplicaciones Web en el Administrador es compatible con WSAT. WSAT es una utilidad de Microsoft que permite administrar usuarios y roles y configurar las reglas de acceso a las aplicaciones Web. Puede acceder a WSAT desde Visual Studio.
WSAT permite elegir dos formas de autenticación: Windows (desde Internet) y Formularios (desde una red local). Si cambia el tipo de autenticación en WSAT después de que el Administrador haya creado la configuración de seguridad, no podrá editar la seguridad para la aplicación en el Administrador. Si eso sucede, debe seguir usando WSAT para administrar la seguridad, o editar el archivo web.config directamente.
La ubicación de los usuarios y roles está especificada por el tipo de autenticación y por la configuración del proveedor. Puede ver la configuración en WSAT, pero, si la modifica, es posible que el Administrador no pueda administrar la seguridad.
Consulte la sección anterior, Autenticación y autorización en web.config, para obtener pautas sobre la edición de las reglas de autorización.