Volver al principio

PKI y certificados de cliente

Un método común para proteger la comunicación entre clientes y servicios es el uso de la autenticación de certificados de cliente. Este término puede cubrir hasta una amplia definición de flujos de trabajo de cliente y servidor. Por ejemplo, puede aprovecharse para que un usuario solicite una página web o para que un sistema backend se conecte a una API en una comunicación de servidor a servidor. Pueden utilizarse certificados PKI para cifrar las comunicaciones web, firmar código y aplicaciones, autenticar a un usuario en un sistema remoto o la comunicación de persona a persona a través de patrones como Pretty Good Privacy (PGP).

Normalmente, una autoridad de certificación mantenida o administrada por una organización de TI de la empresa emite certificados de cliente para los usuarios. Se almacenan en el almacén del sistema operativo, en un dispositivo independiente o en otro mecanismo de almacenamiento, como una llave USB o una tarjeta de Id. inteligente. Pueden conectarse a varios equipos diferentes para que el usuario pueda autenticarse desde distintas ubicaciones.  

Autenticación de clientes en los servicios de ArcGIS

En los sistemas ArcGIS, el uso relevante más común de los certificados de cliente implica que los usuarios se autentiquen ante un proveedor de autenticación. A continuación, se describen dos patrones principales de implementación de este flujo de trabajo.

Autenticación en nivel web

En ArcGIS Enterprise, la autenticación de nivel web hace referencia a un patrón en el que un servidor web aloja una instalación de ArcGIS Web Adaptor para establecer la autenticación. El flujo general de este patrón abarca lo siguiente:

  1. Cuando un usuario intenta acceder por primera vez a ArcGIS Enterprise, como el componente ArcGIS Server o Portal for ArcGIS, el servidor web responde a la solicitud del usuario con un desafío para que proporcione un certificado de cliente.
  2. El usuario tiene la opción de proporcionar un certificado, que se valida contra el almacén de confianza del servidor web. Si se valida, ArcGIS Web Adaptor envía el nombre de usuario del usuario al componente, que a su vez, establece una sesión.
Nota:

Este proceso no requiere que ArcGIS Enterprise envíe el certificado del cliente ni que confíe en él. No se intercambia ni valida ninguna contraseña con el componente de ArcGIS. La confianza implícita del proceso de autenticación del certificado del cliente es lo que garantiza el acceso del usuario.

IdP basado en SAML u OIDC

Este patrón es cada vez más popular a medida que se introducen métodos modernos de autenticación. Implica el uso de un certificado de cliente para autenticar al usuario ante un proveedor de identidad (IdP) basado en SAML u OIDC. En este patrón, no hay interacción de autenticación de certificado de cliente con ArcGIS Enterprise o ArcGIS Online. Más bien, el flujo de trabajo es el siguiente:

  1. Cuando un usuario intenta iniciar sesión en ArcGIS, se le pide que inicie un proceso de inicio de sesión basado en SAML u OIDC con su IdP.
  2. Su IdP, normalmente un sistema administrado y alojado por separado, tiene la opción de permitir una serie de patrones de autenticación diferentes, que podrían incluir la autenticación del certificado del cliente a través de una tarjeta inteligente o un certificado administrado por el sistema operativo, entre otras opciones como la autenticación basada en el nombre de usuario y la contraseña.
  3. Una vez que el usuario se ha autenticado correctamente en el IdP, se inicia su sesión con ArcGIS a través de una aserción SAML o una declaración OIDC, y no se vuelve a solicitar el certificado del cliente hasta que caduque su sesión.

Autenticación de servicio a servicio con PKI

Un patrón adicional de autenticación basada en certificados de cliente tiene que ver con las solicitudes que se originan en un componente del lado del servidor, un servicio web u otro proceso, en contraposición a la sesión de un usuario individual a través de un software, como un navegador web. Este procesamiento puede producirse en una amplia variedad de flujos de trabajo, entre los que están:

  • Un servicio de impresión de ArcGIS Server intenta conectarse a un extremo protegido por PKI para un servicio de mapas o entidades.
  • Un servicio API administrado en la nube se autentica en un servicio backend o local y requiere la autenticación del certificado del cliente.

En estos escenarios, debe aplicarse una configuración que proporcione un certificado de cliente para el servicio utiliza para autenticarse en el sistema backend. Puede adoptar muchas formas o configurarse de otro modo.

Otras consideraciones y recomendaciones

  • La autenticación PKI desde aplicaciones nativas y móviles creadas con ArcGIS Maps SDKs puede requerir una atención especial debido al uso y almacenamiento de certificados de cliente en los dispositivos móviles.
  • La implementación de la autenticación PKI y la forma en que los usuarios interactúan con ella pueden variar significativamente entre las configuraciones individuales de los usuarios de su sistema operativo, navegador y ajustes.
  • La resolución de problemas o errores relacionados con la autenticación PKI requiere conocimientos especializados y una comprensión del diseño previsto del sistema PKI global dentro de la red o el entorno informático. Es importante colaborar con profesionales de la ciberseguridad o de TI para garantizar el cumplimiento normativo y el uso adecuado.
  • Los certificados de cliente tienen las mismas consideraciones de validez, cadena de confianza y atributos que incluyen los certificados SSL/TLS de los servidores web. Deben ser cuidadosamente monitorizados, actualizados y administrados para que los usuarios no experimenten interrupciones inesperadas.
Top