Sécurisation des services Web

Lorsque les services Web sont sécurisés, les clients demandant l'accès à ces services Web doivent appartenir à un rôle auquel l'accès à un service Web particulier a été accordé. Vous pouvez administrer les autorisations d'accès aux services Web ArcGIS à l'aide du gestionnaire ArcGIS Server.

Définition d'autorisations d'accès à un dossier

Pour administrer des autorisations d'accès à plusieurs services Web ArcGIS, vous pouvez organiser les services Web en dossiers et affecter des autorisations d'accès à un dossier. Les rôles auquel l'accès à un dossier a été accordé obtiennent automatiquement l'accès aux sous-dossiers et aux services Web contenus dans ce dossier. Les autorisations au niveau des dossiers sont un moyen pratique de gérer l'accès à toutes les ressources (dossiers et services) contenus dans les dossiers.

Pour définir des autorisations d'accès à un dossier dans le gestionnaire ArcGIS Server, accédez à la page Services du gestionnaire du panneau Services, puis cliquez sur la liste déroulante en haut de la page à côté de l'étiquette Services dans. Cliquez sur l'icône adjacente Modifier les autorisations de dossier. Une boîte de dialogue apparaît répertoriant tous les rôles autorisés à accéder au dossier ainsi que tous les rôles disponibles auxquels l'accès au dossier peut être accordé. Cliquez sur Enregistrer pour appliquer les modifications.

Lorsqu'un rôle est autorisé à accéder à un dossier, ce rôle peut également accéder à toutes les ressources contenues dans le dossier. Par conséquent, si un rôle est explicitement autorisé à accéder à un service et s'il est ensuite autorisé à accéder à un dossier parent du service, il peut accéder au service grâce à une règle d'autorisation implicite.

Supposons qu'un système ArcGIS Server sécurisé dispose d'un seul rôle nommé Analyst défini. La structure de dossiers et de services de ce système ArcGIS Server est décrite par le diagramme suivant :

Le tableau ci-dessous illustre l'effet sur les droits d'accès du rôle lorsque des modifications sont apportées à la configuration de sécurité.

Modification de la configuration de sécurité pour le rôle Analyst

Droits d'accès pour le rôle Analyst

1. Révoquez les autorisations d'accès à tous les dossiers et services pour ce rôle.

  • Service 1 - Aucun accès.
  • Dossier 1 - Aucun accès.
  • Service 2 - Aucun accès.

2. Accordez au rôle l'accès au Service 2.

  • Service 1 - Aucun accès.
  • Dossier 1 - Aucun accès.
  • Service 2 - L'accès est accordé via l'autorisation explicite définie pour le Service 2.

3. Accordez au rôle l'accès au dossier racine.

  • Service 1 - L'accès est accordé via les droits hérités du dossier racine.
  • Dossier 1 - L'accès est accordé via les droits hérités du dossier racine.
  • Service 2 - L'accès est accordé via les droits hérités du dossier racine.

4. Révoquez l'accès au dossier racine. Toutes les autorisations existantes définies pour les dossiers et les services contenus dans le dossier racine seront supprimées.

  • Service 1 - Aucun accès.
  • Dossier 1 - Aucun accès.
  • Service 2 - Aucun accès.

RemarqueRemarque :
Si vous avez sélectionné l'authentification gérée par Java Enterprise Edition pour vos services SIG, vous devez cliquer sur Enregistrer dans l'onglet Sécurité des services SIG de la page Sécurité > Paramètres. Les gestionnaires de services seront redéployés avec les autorisations mises à jour.

Définition d'autorisations d'accès à des services

Les autorisations d'accès à des services suivent le modèle d'héritage continu. Lorsqu'un service est créé, il hérite des autorisations de ses dossiers parents à moins que des autorisations explicites ne soient définies pour ce dernier. L'administrateur peut explicitement définir différentes autorisations d'accès au service, auquel cas le service rompra son héritage.

Vous pouvez définir des autorisations d'accès à un service en allant dans le panneau Services du gestionnaire, puis en sélectionnant ce service répertorié sur la page et en cliquant sur l'icône Autorisations des services. Une boîte de dialogue apparaît répertoriant tous les rôles autorisés à accéder au service ainsi que tous les rôles disponibles auxquels l'accès au service peut être accordé. Cliquez sur Enregistrer pour appliquer les modifications au système.

RemarqueRemarque :
Si vous avez sélectionné l'authentification gérée par Java Enterprise Edition pour vos services SIG, cliquez sur Enregistrer dans l'onglet Sécurité des services SIG de la page Sécurité > Paramètres. Les gestionnaires de services seront redéployés avec les autorisations mises à jour.

Héritage et remplacement des autorisations

Les services figurant dans un dossier héritent des autorisations pour le dossier. Par exemple, si vous autorisez un rôle à accéder à un dossier, ce rôle peut également accéder à tous les services figurant dans le dossier. La boîte de dialogue Autorisations relative à chaque service Web affiche le rôle autorisé, avec les autres rôles que vous avez ajoutés, le cas échéant. Les dossiers héritent également des autorisations de leur dossier parent.

Vous pouvez supprimer des rôles qu'un service hérite d'un dossier. Pour cela, ouvrez la boîte de dialogue Autorisations relative au service, sélectionnez le rôle, puis cliquez sur la flèche gauche. Cela a pour effet d'empêcher que ce rôle bénéficie de l'autorisation d'accéder au service. Comme un seul utilisateur peut être affecté à plusieurs rôles, l'accès basé sur les rôles doit être géré avec soin.

Si les autorisations pour un dossier sont modifiées, toutes les modifications apportées aux autorisations des rôles sont réappliquées à tous les services figurant dans le dossier. Cela remplacera toutes les modifications apportées à ces rôles pour des services individuels. Si vous supprimez un rôle dans la liste des rôles autorisés pour le dossier, ce rôle ne bénéficiera plus de l'autorisation d'accès à l'ensemble des services figurant dans le dossier. De la même façon, si vous ajoutez un rôle à la liste des autorisations d'un dossier, ce rôle bénéficiera de l'autorisation d'accès à tous les services figurant dans le dossier.

Remplacement des autorisations dans des dossiers et services enfants

Lorsque vous définissez des autorisations pour les dossiers, ce message peut s'afficher lorsque vous cliquez sur Enregistrer :

"Un ou plusieurs des rôles dont vous modifiez les autorisations possèdent déjà un paramètre d'autorisation dans un ou plusieurs services ou dossiers à l'intérieur de ce dossier. Si vous continuez, les paramètres d'autorisations relatifs à ces rôles seront hérités dans les dossiers ou services enfants. Voulez-vous enregistrer ces modifications ?"

Ce message signifie que vous ajoutez ou supprimez un rôle qui possède déjà des autorisations explicites dans un ou plusieurs services figurant dans ce dossier, ou dans un dossier enfant si vous modifiez les autorisations du dossier racine. Si vous continuez, toutes les règles pour ce rôle dans les dossiers et les services enfants seront supprimées, et les dossiers et services enfants hériteront des autorisations pour ce rôle à partir du dossier.

Pour les modifications d'autorisations à la racine, le message peut avertir d'une modification significative. Supposons que vous ajoutez des autorisations pour un rôle dans un dossier enfant mais supprimez l'accès du rôle à un service figurant dans le dossier. Ultérieurement, vous ajoutez des autorisations pour le rôle dans le dossier racine. Vous recevez un avertissement parce que, si vous continuez, le service figurant dans le dossier enfant autorisera désormais l'accès du rôle, alors qu'auparavant l'accès n'était pas autorisé.

Si vous recevez cet avertissement lorsque vous modifiez les autorisations du dossier racine et que vous n'êtes pas certain de la façon dont les modifications affecteront l'accès aux services, vous devez annuler le message d'avertissement et examiner les autorisations des dossiers et services enfants. Vous pouvez être amené à effectuer le suivi de la modification des autorisations en réappliquant alors des règles dans les dossiers et services enfants pour obtenir la configuration de sécurité souhaitée.

Si vous avez ajouté ou supprimé plusieurs rôles en modifiant les autorisations, le message peut signifier que plusieurs rôles ont été affectés. Vous pouvez examiner les autorisations sur les dossiers et services enfants pour vous assurer que vous ne remplacez pas des autorisations que vous souhaitiez en fait conserver.


2/28/2012