Aperçu de la sécurité Internet

Définition de la gestion des utilisateurs et des rôles

La composante fondamentale de tout mécanisme de contrôle d'accès est la capacité à authentifier les utilisateurs. Tous les mécanismes d'authentification nécessitent que les informations des utilisateurs et les rôles auxquels ils appartiennent soient stockés de manière centralisée quelque part dans le système. Les applications ASP.NET permettent le stockage et la gestion de la sécurité avec le système d'exploitation ou un fournisseur d'appartenance ASP.NET. ArcGIS Server utilise ces deux options de magasin d'utilisateurs fournies par ASP.NET.

La décision concernant l'emplacement où stocker vos utilisateurs dépend beaucoup du public concerné par vos applications et services. Par exemple, si vous créez principalement des applications d'intranet, vous pouvez tirer parti des utilisateurs et groupes existants, disponibles dans votre système d'exploitation, pour accorder l'accès à vos applications. De même, si vous créez des applications Internet et que vous ne souhaitez pas que vos utilisateurs Web soient des utilisateurs dans votre répertoire actif, vous pouvez stocker ces utilisateurs dans un fournisseur d'appartenance ASP.NET. Pour plus d'informations sur la configuration des utilisateurs et des rôles, reportez-vous à la rubrique Vue d'ensemble de la configuration des utilisateurs et des rôles.

ArcGIS Server vous permet de configurer facilement le fournisseur d'appartenance ASP.NET pour Microsoft SQL Server en utilisant uniquement le gestionnaire ArcGIS Server. Toutefois, la structure des appartenances ASP.NET est très flexible et peut prendre en charge une large gamme de fournisseurs personnalisés, tels que d'autres bases de données, des fichiers XML, Active Directory, LDAP, etc. Une fois configurés dans votre système, ArcGIS Server peut être configuré pour utiliser ces fournisseurs personnalisés.

Les liens ci-dessous résument la façon dont vous pouvez configurer les utilisateurs et les rôles et vous permettent d'accéder à plus d'informations sur chaque option :

• Utilisateurs et groupes du système d'exploitation Windows
• Fournisseur d'appartenance ASP.NET
  • Microsoft SQL Server (configuré à l'aide du gestionnaire ArcGIS Server)
  • Personnalisé (configuré par un administrateur/développeur, puis intégré à l'aide du gestionnaire ArcGIS Server)

Choix d'une méthode d'authentification

L'authentification est le processus visant à identifier qui essaie d'accéder au système. L'utilisateur fournit des informations d'identification, en général un nom d'utilisateur et un mot de passe, pour s'authentifier auprès du système. La méthode d'authentification détermine la manière dont le serveur valide l'identité de l'utilisateur.

Vos options pour l'authentification dépendent de votre choix en matière de stockage des utilisateurs et des rôles.

Les méthodes d'authentification varient également en termes de niveau de sécurité proposé. Lisez avec soin la documentation et consultez votre personnel de sécurité avant de sélectionner une méthode appropriée à votre situation.

Les méthodes d'authentification disponibles avec ArcGIS Server pour Microsoft .NET Framework sont les suivantes :

• Authentification IIS
  • Authentification Windows intégrée
    • Connue sous le nom d'authentification Windows dans Windows Server 2008 et Windows Vista.
    • En général, utilisée uniquement dans les intranets et pas sur Internet.
    • Utilisée uniquement lorsque les utilisateurs sont des utilisateurs du système d'exploitation Windows.
    • Lorsque le navigateur utilisé dans le même réseau local que le serveur est Internet Explorer, l'identité d'ouverture de session de l'utilisateur est transmise de façon transparente sans invite de connexion. La même chose s'applique aux clients ArcGIS (Desktop, Engine, ArcGIS Explorer). Cela permet aux utilisateurs de se connecter et d'utiliser les services sans se connecter explicitement.
  • Authentification HTTP de base et Digest
    • Utilisée dans les intranets et sur Internet.
    • Utilisée uniquement lorsque les utilisateurs sont des utilisateurs du système d'exploitation Windows.
    • Les utilisateurs du navigateur voient en général une boîte de dialogue de connexion contextuelle standard.
• Authentification ASP.NET
  • Authentification à base de formulaires
    • Utilisée pour les applications Web lorsque le magasin d'utilisateurs est SQL Server ou un fournisseur personnalisé.
    • Les utilisateurs du navigateur voient en général un formulaire sur une page Web de connexion.
  • Authentification à base de jetons
    • Implémentée dans ArcGIS Server.
    • Utilisée uniquement pour les services Web et pas pour les applications.
    • Le client obtient un jeton à partir du serveur en transmettant un nom d'utilisateur et un mot de passe, puis le jeton est utilisé pour accéder au service.
    • Fonctionne avec tout magasin d'utilisateurs.

Vous pouvez prendre en charge plusieurs méthodes d'authentification, si nécessaire, en configurant plusieurs instances Web d'ArcGIS Server. Chaque instance serait liée au même serveur SIG mais serait configurée pour une méthode d'authentification différente.

Pour obtenir des conseils sur les méthodes d'authentification, reportez-vous à la section Configurations courantes de la sécurité pour les services ArcGIS Server. La rubrique Vue d'ensemble de la configuration des utilisateurs et des rôles présente des informations supplémentaires sur les méthodes d'authentification.

Implémentation du protocole SSL (Secure Sockets Layer)

En fonction des exigences de votre magasin d'utilisateurs et de votre méthode d'authentification, vous devrez peut-être acquérir un certificat SSL pour votre serveur Web. SSL permet l'utilisation du protocole HTTPS, qui chiffre les communications entre les clients et votre serveur Web. En général, le protocole SSL est essentiel lors de l'authentification des utilisateurs via la méthode HTTP de base, basée sur des jetons ou basée sur des formulaires, bien que le protocole SSL puisse renforcer la sécurité des informations d'identification également dans le cadre d'autres méthodes d'authentification. Pour en savoir plus sur la configuration de SSL.

Définition des autorisations pour les services et les applications

Pour qu'un utilisateur accède à un service ou à une application, vous devez ajouter des autorisations dans le service ou l'application pour un rôle dont l'utilisateur est membre. Les autorisations ArcGIS Server sont basées sur les rôles. Vous ajoutez des autorisations pour un service, un dossier de service ou une application dans le gestionnaire en autorisant des rôles, plutôt qu'en autorisant des utilisateurs individuels.

Lorsque vous appliquez la sécurité à un service Web, elle s'applique à toutes les formes du service Web : SOAP, REST et OGC (tel que WMS). Si vous autorisez l'accès à un rôle (par exemple, Planificateurs) pour un service dans le gestionnaire, les utilisateurs membres de ce rôle seront en mesure d'accéder au service via les méthodes SOAP, REST et toutes les méthodes OGC activées pour le service. Le répertoire des services respecte également automatiquement les paramètres de sécurité, de sorte que seuls les utilisateurs connectés verront les services sécurisés pour lesquels ils sont autorisés.

Pour en savoir plus sur la sécurisation des connexions Internet aux services et sur la sécurisation des applications Web.

Configurations courantes de la sécurité pour les services ArcGIS Server

Le tableau ci-dessous décrit des configurations courantes de la sécurité pour les services ArcGIS Server. Il se base sur trois aspects attenant à où et à comment les services sont configurés : (1) si les services sont déployés dans un intranet ou sur Internet, (2) le type de magasin d'utilisateurs et de rôles, et (3) la méthode d'authentification.

Toutes les configurations prennent en charge tous les clients (Web, JavaScript, ArcGIS Desktop, OGC et KML), sauf mention contraire.