¿Cómo funciona la autenticación de token de ArcGIS Server?

Respuesta

Nota: Este artículo corresponde a las versiones 9.x a 10.2 de ArcGIS. Las versiones más recientes compatibles de ArcGIS Enterprise habilitan HTTPS de forma predeterminada.

ArcGIS Server admite dos métodos de autenticación: autenticación de nivel web (incluida la autenticación integrada de Windows, PKI y HTTP Basic/Digest) y la autenticación en el nivel SIG (también conocida como autenticación de token). Se debe elegir un método, los métodos no pueden combinarse.
Para obtener la máxima seguridad, se recomienda la autenticación de nivel web. El nivel SIG se puede utilizar en entornos menos seguros si la arquitectura determina un equilibrador de carga en lugar de un Web Adaptor o en situaciones en las que el servidor web no tiene ningún medio para integrarlo en el almacén de usuarios que ArcGIS Server utiliza (como cuentas de ArcGIS Server integradas).

Este artículo explica cómo funciona la autenticación de token y cómo se debe configurar.

Cuando ArcGIS Server está configurado para utilizar la autenticación en el nivel SIG, las aplicaciones cliente piden al usuario su nombre de usuario y contraseña. A continuación, estas aplicaciones cliente envían el nombre de usuario/contraseña a ArcGIS Server y reciben un token a cambio. Ese token se puede utilizar posteriormente en las solicitudes posteriores para que no sea necesario enviar el nombre de usuario o la contraseña.

Si ArcGIS Server no está configurado correctamente, existen riesgos de seguridad para utilizar tokens. A continuación, se presenta un análisis de estos riesgos y de lo que se debe hacer con ellos.

Riesgo 1. Fugas de nombres de usuario/contraseñas

Todos los clientes y las API de Esri envían nombres de usuario y contraseñas a través de https (cifradas), si está habilitado. Si no está habilitad, se pueden enviar nombres de usuario y contraseñas como texto no cifrado a través de la red. Para evitar esto, se recomienda encarecidamente que https esté habilitado en ArcGIS Server cuando se utilice la autenticación en el nivel SIG. Esta opción no está habilitada de forma predeterminada.

Riesgo 2: Ataques de reproducción

Un ataque habitual consiste en rastrear el tráfico de la red y adquirir información como tokens para su reutilización en un ataque malicioso. Un atacante que consiguiera un token de ArcGIS Server de un usuario podría suplantar la identidad de ese usuario durante un período de tiempo.

Existen formas de mitigar este tipo de ataque. La alternativa más segura consiste en requerir https para todas las comunicaciones, ya que se cifra todo lo que se envía hacia y desde ArcGIS Server.

También hay formas de mitigar este riesgo a través de la configuración de token para ArcGIS Server. ArcGIS Server emite tokens de corta y de larga duración. Los tokens de larga duración deben estar vinculados a una dirección IP o a un origen de referencia. Cuando un token se vincula a una IP, solo se aceptan los tokens procedentes de esa dirección IP. Esto significa que se rechaza un token que se reproduce desde otro equipo. Cuando un token está vinculado a un origen de referencia, significa que a menos que se configure un encabezado http específico, denominado origen de referencia, el token se rechaza. Las aplicaciones cliente deciden si se deben usar orígenes de referencia o direcciones IP. El uso del origen de referencia puede reducir la seguridad de la implementación, por lo que no se recomienda.

Los tokens de corta duración no tienen que estar vinculados a una dirección IP ni a un origen de referencia porque el período de validez del token suele ser muy breve, lo que dificulta la reproducción. El plazo máximo de los tokens de corta duración puede configurarse para que se reduzca a un solo minuto.

Riesgo 3: Prácticas de desarrollo

Los tokens se pueden adquirir a través de un HTTP GET o un HTTP POST. El uso de un POST siempre es más seguro. Las solicitudes GET pueden dejar nombres de usuario/contraseñas en el historial de equipos de red y en el historial del navegador. Las API y los productos de Esri utilizan POST al adquirir tokens. Sin embargo, para la comodidad de las personas que escriben scripts, los tokens se pueden adquirir mediante solicitudes GET. Esri recomienda obtener tokens a través de solicitudes GET en entornos seguros.