Volver al principio

Modelos y proveedores de autenticación de ArcGIS

ArcGIS se construye con mecanismos, protocolos y tecnologías de autenticación de TI estándar, los admite y evoluciona con ellos, para garantizar que se integra sin problemas con las políticas, prácticas e infraestructuras de seguridad de una organización existente. Los productos ArcGIS siguen prácticas de autenticación estándar cuando acceden a recursos protegidos, incluidos orígenes de archivos, fuentes DBMS y fuentes basadas en la web.  Tanto ArcGIS Enterprise como ArcGIS Online admiten un almacén de usuarios integrado, así como diversos proveedores de identidad empresarial (IdP) que las organizaciones de TI utilizan y proporcionan, como Microsoft Entra ID, Active Directory u Okta. Los clientes y servidores de ArcGIS admiten la autenticación en todos los niveles de una arquitectura de uno o varios niveles, incluido el acceso a servicios web, portales, DBMS, almacenes de archivos, lagos de datos y otras fuentes. Este tema proporcionará más detalles sobre los procesos de autenticación y las opciones que se tienen en cuenta durante un proceso de diseño de la arquitectura.

Proveedores de identidad

ArcGIS admite y promueve las experiencias de autenticación de usuarios de inicio de sesión único (SSO) que se basan en el IdP existente de una organización y en la infraestructura de seguridad asociada para administrar las identidades y credenciales de los usuarios y los mecanismos de autenticación.  Integrar los IdP de este modo garantiza que ArcGIS se base sin problemas en la infraestructura de seguridad de misión crítica establecida con recursos sólidos y centralizados de aprovisionamiento, administración, monitorización y auditoría de usuarios. ArcGIS se integra con el IdP de una organización a través de patrones de autenticación ampliamente aceptados, como SAML, OIDC, IWA/AD, LDAP o PKI. Este planteamiento integrado simplifica el modelo de seguridad y permite a ArcGIS confiar en el IdP para autenticar directamente a los usuarios, proporcionar servicios de autenticación, administrar el acceso (por ejemplo, para agregar o eliminar privilegios o habilitar o deshabilitar cuentas), y proporcionar una experiencia de usuario de inicio de sesión único (SSO), así como recursos de prevención de vulnerabilidades e intrusiones.

Establecer la identidad con ArcGIS

Al utilizar recursos basados en la web en ArcGIS, un usuario establece una identidad después de autenticarse inicialmente. La identidad se puede establecer mediante diversos métodos, pero la secuencia general se describe a continuación:

  1. Un usuario puede iniciar una sesión a través de un cuadro de diálogo de inicio de sesión de ArcGIS o cuando se le solicite la autenticación, por ejemplo, al acceder a un recurso seguro.
  2. Un aviso de inicio de sesión en ArcGIS puede aparecer como un redireccionamiento, una ventana emergente o un contenido integrado. Se presentarán las opciones de inicio de sesión disponibles para esa implementación específica de ArcGIS Enterprise u organización de ArcGIS Online, permitiendo al usuario elegir una opción o, en su lugar, presentar la única opción disponible si solo hay una habilitada. Esta ventana de inicio de sesión y el proceso subyacente se basan en los estándares OAuth y, como tales, también existen escenarios en los que se puede pedir a un usuario que apruebe el acceso a una aplicación externa, como ocurre en otros flujos de trabajo OAuth utilizados por otras aplicaciones o sistemas.
  3. En la mayoría de los escenarios, un usuario elegirá iniciar sesión con su proveedor de identidades SAML u OIDC. Al hacerlo, harán clic en un botón que desencadenará un proceso de inicio de sesión en ese IdP. Cada IdP se configura de forma diferente y puede admitir una amplia variedad de patrones de autenticación. Una autenticación correcta en ese IdP devolverá el usuario a ArcGIS con una aserción SAML o un conjunto de declaraciones OIDC que identifican al usuario como un usuario válido desde la perspectiva del IdP (aprobado para esa aplicación y correctamente autenticado). En este punto, ArcGIS genera un código OAuth y el consiguiente token de acceso a ArcGIS para el usuario, que podrá así acceder a las aplicaciones o servicios deseados.
  4. Como alternativa, el usuario puede elegir iniciar sesión directamente con una cuenta de usuario integrada, basada en AD o LDAP, agregando sus credenciales en la ventana de inicio de sesión de la aplicación ArcGIS. Una vez autenticados correctamente, reciben un código OAuth, que se intercambia por un token de acceso.

Una vez completada la autenticación, la sesión de usuario resultante se basa exclusivamente en el token de acceso a ArcGIS. Este token se mantiene en el código de la aplicación o se almacena y comunica como una cookie HTTP y es válido durante un tiempo determinado. La expiración de token predeterminada es de 120 minutos, aunque los token pueden refrescarse y solicitarse por periodos más largos. Junto con el token de acceso, también se genera un refresh_token, que puede utilizarse para refrescar el token de acceso del usuario y prolongar su sesión cuando el uso supere un periodo de dos horas.

Una identidad de usuario también incluye atributos específicos del usuario que se aplican en todo el sistema ArcGIS y en la experiencia del usuario, como su:

  • Tipo de usuario: como Viewer, Contributor, Creator u otro
  • Rol de usuario: como Publisher, Administrator, Custom u otro
  • Licencias autorizadas
  • Diversos privilegios que se establecen a partir de controles de accesos basados en roles, como la pertenencia a grupos

Cuando se utilizan recursos basados en el escritorio en una configuración cliente-servidor tradicional, como un DBMS o un servidor de archivos, la identidad del usuario se basa en el modelo de seguridad asociado a la tecnología del servidor o a la funcionalidad del sistema operativo.

En los escenarios de automatización del backend, como las comunicaciones de servidor a servidor o las basadas en procesos del sistema operativo, el cliente en esas interacciones sigue los patrones anteriores para establecer la identidad con las credenciales asociadas.

Encontrará más información sobre los patrones de autenticación específicos de ArcGIS en el sitio para desarrolladores de Esri.

Protocolos y mecanismos de autenticación de usuarios en ArcGIS

Para establecer una sesión de usuario o programática con ArcGIS Enterprise o ArcGIS Online, se utilizan los siguientes protocolos y mecanismos estándar del sector admitidos para autenticar usuarios y clientes en todo el sistema ArcGIS. Entre ellos se encuentran:

Identidades empresariales: SAML y OIDC

Esri proporciona soporte para los inicios de sesión basados en SAML en ArcGIS Enterprise y ArcGIS Online junto con un conjunto de documentación específica de proveedores de identidad. OpenID Connect (OIDC) también se admite plenamente para las organizaciones de ArcGIS Enterprise y AcGIS Online. Esri recomienda el uso de inicios de sesión SAML u OIDC para todas las organizaciones en las que esta opción esté disponible.

En el contexto de ArcGIS, tanto SAML como OIDC facilitan el acceso seguro al permitir a los usuarios iniciar sesión utilizando sus credenciales existentes de un proveedor de identidad de confianza, como Google, Microsoft Entra ID, Okta u otros sistemas de identidad empresarial. Cuando un usuario intenta acceder a un sistema ArcGIS sin una sesión de autenticación en curso, se le redirige al proveedor de identidad para que se autentique. El proveedor de identidad gestiona el paso de autenticación, en el que se proporciona al sistema un nombre de usuario, una contraseña, un código de un solo uso u otros factores y, si se realiza correctamente, el proveedor de identidad emite una aserción SAML o una declaración OIDC, que se envía de vuelta a ArcGIS para validar la identidad del usuario.

Entre las ventajas de utilizar SAML u OIDC están:

  • Experiencia de usuario simplificada: Con el inicio de sesión único habilitado por SAML u OIDC, los usuarios pueden acceder a varias aplicaciones con un único conjunto de credenciales. Reduce la necesidad de recordar varios nombres de usuario y contraseñas, mejorando la experiencia general del usuario.
  • Mejora de la seguridad: estos patrones aprovechan los mecanismos de autenticación fuerte proporcionados por el proveedor de identidad, como la autenticación multifactor (MFA). Con ello, se garantiza que solo los usuarios autorizados puedan acceder a los recursos sensibles.
  • Administración centralizada de identidades: las organizaciones pueden administrar las identidades de los usuarios y los permisos de acceso de forma centralizada a través de su proveedor de identidad. Simplifica la administración de usuarios y garantiza unas políticas de seguridad coherentes en todas las aplicaciones integradas.
  • Reducción de los gastos generales de TI: al utilizar SAML u OIDC para la autenticación, los departamentos de TI pueden reducir el tiempo y el esfuerzo necesarios para administrar varios sistemas de autenticación. Conduce a una reducción de los costes administrativos y un uso más eficiente de los recursos.
  • Mejora del cumplimiento normativo: La autenticación y autorización centralizadas ayudan a las organizaciones a mantener el cumplimiento normativo y de los estándares de seguridad. Proporciona una pista de auditoría clara del acceso y la actividad de los usuarios en todas las aplicaciones.
  • Opciones de autenticación flexibles: para los usuarios temporales o contratistas externos de terceros, que pueden no tener cuentas permanentes con el proveedor de identidad centralizado, se pueden crear y utilizar cuentas integradas según sea necesario y ArcGIS admite el uso simultáneo de ambos patrones.
  • Aplicaciones SIG móviles: las identidades de Enterprise son especialmente útiles para las aplicaciones SIG móviles, como ArcGIS Field Maps y ArcGIS Survey123, en las que los usuarios necesitan acceder a recursos seguros sobre la marcha. Al utilizar este patrón, estas aplicaciones pueden ofrecer una experiencia de inicio de sesión segura e integrada, aprovechando los proveedores de identidad existentes para autenticar a los usuarios.
  • Aplicaciones de terceros: los desarrolladores que creen aplicaciones de terceros que interactúen con ArcGIS pueden utilizar patrones de autenticación similares para acceder de forma segura a los datos de los usuarios y admitir sesiones entre aplicaciones con un inicio de sesión único. Permite la creación de soluciones innovadoras que amplían las funcionalidades de ArcGIS al tiempo que mantienen unos sólidos estándares de seguridad.

Almacén de identidades integrado para los componentes de ArcGIS Server y Portal for ArcGIS

Funcionamiento

El almacén de identidades integrado le permite administrar usuarios y grupos directamente dentro de los componentes de ArcGIS Server o Portal for ArcGIS. Significa que no necesita un sistema externo para manipular la autenticación de los usuarios. ArcGIS se encarga del proceso de autenticación, verificando los nombres de usuario y las contraseñas almacenados en su propia base de datos. Este método se utiliza con frecuencia para la configuración inicial, el desarrollo y las pruebas, ya que permite crear una cuenta de forma rápida y sencilla.

Ejemplo práctico

Imagine que está configurando un nuevo portal de ArcGIS Enterprise para un pequeño equipo de profesionales de SIG. Es posible crear rápidamente cuentas de usuario para cada miembro del equipo directamente en el portal. A continuación, cada usuario puede iniciar sesión con sus credenciales para acceder a mapas, aplicaciones y otros recursos compartidos dentro de la organización.A continuación, cada usuario puede iniciar sesión con sus credenciales para acceder a mapas, aplicaciones y otros recursos compartidos dentro de la organización.

Ventajas

Facilidad de uso: no es necesaria una integración compleja con sistemas externos.

Configuración rápida: ideal para empezar a trabajar rápidamente, especialmente en entornos de desarrollo y pruebas.

Autónomo: todos los datos de los usuarios se administran dentro del portal, lo que simplifica la administración.

Limitaciones

Escalabilidad: no es ideal para organizaciones medianas o grandes con muchos usuarios, ya que la administración puede resultar engorrosa.

Seguridad: podría no cumplir los requisitos de seguridad estrictos de algunas organizaciones, en comparación con el uso de LDAP o SAML.

IWA, AD y LDAP

La autenticación integrada de Windows (IWA) y los protocolos Active Directory (AD) y Lightweight Directory Access Protocol (LDAP), que solo están disponibles con ArcGIS Enterprise, se utilizan habitualmente en las organizaciones para los flujos de trabajo internos o en red. Esri solo recomienda el uso de las configuraciones IWA, AD y LDAP para las implementaciones de orientación interna de ArcGIS Enterprise.

Patrones adicionales

La infraestructura de clave pública (PKI) que utiliza certificados de cliente se emplea en varios patrones de autenticación, como IWA, SAML y OIDC.

La autenticación multifactor (MFA), se aplica con frecuencia a los inicios de sesión integrados en ArcGIS o se aplica como parte de un proceso SAML u OIDC utilizando un proveedor de identidad externo. Se trata de unas prácticas recomendadas, especialmente para las cuentas con privilegios elevados.

La autenticación basada en aplicaciones es otro patrón de autenticación, relacionado con el patrón de usuario integrado, en el que la autenticación se completa utilizando claves de API o pares de Id. de cliente y secreto de cliente.1

ArcGIS también admite el acceso anónimo de los usuarios a la mayoría de los tipos de recursos del sistema, para aquellas organizaciones que necesiten un acceso abierto en su WAN o un acceso público a las aplicaciones a través de Internet.

  1. las claves de API se admiten con ArcGIS Location Platform, ArcGIS Online y ArcGIS Enterprise en la versión 11.4 o posterior. 

Autenticación de servidor a servidor

Mientras que la mayoría de los flujos de trabajo de uso que se completan en los sistemas ArcGIS están basados en el usuario, en los que una persona interactúa con una página web o una aplicación que emite peticiones a un servidor, otros flujos de trabajo requieren un nivel de interacción de servidor a servidor o programático, ya sea para la integración entre sistemas, la automatización de tareas de datos o la provisión de algún otro nivel de conectividad entre distintos sistemas de tipo servidor o backend.

Aunque el soporte para las solicitudes basadas en el servidor que permiten una identidad anónima resulta sencillo, existen muchas opciones para autenticar estas solicitudes cuando el servicio o el extremo es seguro y se requiere algún nivel de autenticación o identificación. Algunas recomendaciones generales en esta área son:

  • La mayoría de las comunicaciones de servidor a servidor no pueden utilizar un patrón de autenticación basado en SAML o en OIDC, ya que estos IdP requieren experiencias de inicio de sesión interactivas utilizando una interfaz HTML, y con frecuencia incluyen solicitudes de autenticación multifactor o validación al estilo captcha.
  • Las solicitudes que se originan dentro de una herramienta de geoprocesamiento o de una herramienta de script programado que se ejecuta en un servidor asumirán generalmente la identidad de la cuenta de servicio o de la cuenta local que ejecuta ese proceso. Especialmente en los escenarios basados en la IWA, la identidad y la configuración de esta cuenta de usuario pueden afectar significativamente al éxito de una solicitud del lado del servidor.
  • El uso de un refresh_token basado en ArcGIS OAuth (generado a partir de un proveedor de identidad integrado o de empresa), puede integrarse en un sistema y utilizarse para generar tokens de sesión según sea necesario. Un token de actualización válido también puede intercambiarse por un nuevo token de actualización, por lo que puede crearse una lógica para mantener este token de actualización y hacer que sea válido indefinidamente.
  • Las claves de API son otro método potencial para autenticar los procesos del lado del servidor, en los que se puede generar una clave de API para un servicio y un flujo de trabajo específicos y ser utilizada por un proceso del lado del servidor para autenticar y realizar determinadas operaciones, como la geocodificación o las solicitudes de rutas.
Top