Aperçu de la sécurité Internet

Aperçu du modèle de sécurité

Cette section fournit une présentation conceptuelle des divers composants fonctionnels et explique comment ils s'intègrent au sein du modèle de sécurité.

L'illustration ci-dessous fournit une présentation visuelle du modèle de sécurité d'ArcGIS Server.

Magasin principal

Le magasin principal est un référentiel des utilisateurs de services Web ArcGIS et de leurs rôles associés. Dans le système de contrôle d'accès basé sur les rôles d'ArcGIS Server, les autorisations d'accès à un service Web ArcGIS ne sont pas directement affectées aux utilisateurs. Les droits d'accès à un certain service Web sont affectés à un rôle spécifique. Un ou plusieurs rôles sont affectés aux utilisateurs de services Web ArcGIS. Les utilisateurs peuvent ainsi accéder via ces rôles à un service Web particulier. Chaque utilisateur obtient les droits de tous les rôles qui lui ont été affectés.

ArcGIS Server peut fonctionner avec une variété de magasins afin de conserver les informations d'utilisateur et de rôle. Vous pouvez utiliser une base de données relationnelle (par exemple, Microsoft SQL Server ou MySQL) ou un serveur de répertoires (par exemple, LDAP ou Microsoft Active Directory). Vous pouvez également configurer la sécurité d'ArcGIS Server pour accéder à des utilisateurs et rôles existants depuis un magasin propriétaire en développant des extensions personnalisées (à l'aide de l'API du magasin principal d'ArcGIS) et en la définissant de manière à ce qu'ArcGIS Server Manager se connecte à votre magasin propriétaire via votre extension.

Le service de jetons se connecte alors au magasin principal configuré pour l'authentification des utilisateurs. Les gestionnaires de services (par exemple, les gestionnaires de services Web et REST) recherchent également les informations de rôle associées à un utilisateur dans le magasin principal. Vous pouvez gérer les informations d'utilisateur et de rôle dans vos magasins à l'aide du gestionnaire.

Pour plus d'informations sur la manière de configurer et d'utiliser le magasin principal, reportez-vous à la section Aperçu de la configuration du magasin de sécurité.

Pour plus d'informations sur la manière d'écrire des extensions à l'aide de l'API du magasin principal, reportez-vous à la section Extension du magasin principal.

Magasin d'autorisations

Le magasin d'autorisations est un référentiel des droits ayant été affectés aux rôles. Celui-ci stocke les informations relatives à la liste des services ArcGIS auxquels un rôle particulier peut accéder.

Le magasin d'autorisations est géré par le gestionnaire des objets serveur (SOM). Vous ne devez pas le configurer et le gérer explicitement. Le magasin d'autorisations présente également une API qui permet l'accès aux développeurs.

Pour plus d'informations sur la manière de définir les autorisations d'accès à vos services et applications Web ArcGIS, reportez-vous aux sections Sécurisation des services Web et Sécurisation des applications Web.

Schémas d'authentification

Lorsque le serveur SIG a sécurisé ses ressources Web publiées, tout client Web souhaitant consommer ces ressources doit fournir des informations d'identification valides lorsqu'il accède à la ressource. ArcGIS Server prend en charge deux schémas d'authentification différents pour valider les informations d'identification des utilisateurs.

Service de jetons

Pour prendre parfaitement en charge les clients de script, ArcGIS Server utilise l'accès basé sur les jetons aux services Web ArcGIS sécurisés. Les jetons encapsulent l'identité d'une partie demandeuse particulière (utilisateur) et sont accordés par un service de jetons faisant partie intégrante d'ArcGIS Server.

Le service de jetons communique alors avec le magasin principal configuré pour authentifier les demandes entrantes de jetons. ArcGIS Server peut déchiffrer ces jetons et accorder l'accès basé sur les rôles aux ressources demandées.

Le service de jetons fait partie intégrante de l'authentification gérée par ArcGIS pour la sécurisation des services Web ArcGIS.

Les jetons peuvent être demandés à l'aide de la page Web ou de l'URL du service de jetons. Les développeurs d'applications JavaScript doivent obtenir un jeton et l'utiliser dans leurs applications qui consomment un service Web ArcGIS sécurisé.

Pour plus d'informations sur le fonctionnement avec des jetons, reportez-vous à la rubrique Jetons et services de jetons.

Sécurité des services Web ArcGIS

‎Les services Web ArcGIS sont sécurisés à l'aide du mécanisme de contrôle d'accès basé sur les rôles. Vous pouvez définir des autorisations d'accès aux services à l'aide du gestionnaire. Lorsque la sécurité est activée sur le serveur SIG, l'accès est accordé uniquement aux utilisateurs appartenant aux rôles autorisés à accéder aux services SIG.

Pour sécuriser vos services Web ArcGIS, vous avez le choix entre deux schémas d'authentification : l'authentification basée sur les jetons et gérée par ArcGIS et l'authentification gérée par le conteneur Java Enterprise Edition (décrites ci-dessus).

Pour plus d'informations sur la manière de sécuriser les applications Web, reportez-vous à la rubrique Sécurisations des applications Web.

Sécurité des applications Web

Les applications Web créées dans le gestionnaire peuvent être sécurisées à l'aide de l'authentification gérée par ArcGIS ou l'authentification gérée par le conteneur Java Enterprise Edition (décrites ci-dessus).

Vous pouvez affecter des autorisations à un jeu de rôles particulier pour accéder l'application Web. Seuls les utilisateurs appartenant à ces rôles sont autorisés à accéder à l'application.

Pour plus d'informations sur la manière de sécuriser les applications Web, reportez-vous à la rubrique Sécurisations des applications Web.