Liste de contrôle pour la sécurité Internet

La liste de contrôle ci-dessous indique les tâches que vous devez accomplir pour vous assurer que vos services et applications Web sont sécurisés. Cette procédure est décrite plus en détails dans cette section de l'aide. Reportez-vous à la rubrique Aperçu de la sécurité Internet pour une introduction à la sécurité.

Liste de contrôle de sécurité pour les services Web et les applications Web

Etapes :
  1. Installez ArcGIS Server, y compris les composants Gestionnaire d'applications, Gestionnaire de services et Services Web. Cela installe le gestionnaire, les services Web et le service de jetons.
  2. Obtenez et installez un certificat SSL (Secure Sockets Layer) pour votre serveur Web afin de permettre des communications chiffrées à l'aide du protocole HTTPS.
  3. Si vous envisagez d'utiliser SQL Server Express pour stocker des utilisateurs et/ou des rôles, installez SQL Server Express, lequel est inclus sur le média d'ArcGIS Server.
  4. Dans le gestionnaire, cliquez sur Sécurité, sur Paramètres, puis sur Modifier. Dans l'Assistant de sécurité, définissez l'emplacement des utilisateurs et des rôles :
    • Utilisateurs Windows : les utilisateurs sont des utilisateurs du système d'exploitation. Avec les utilisateurs Windows, vous pouvez choisir des groupes Windows en tant que rôles, ou les rôles peuvent être dans SQL Server ou dans un emplacement personnalisé (reportez-vous aux deux options suivantes pour plus de détails).
    • SQL Server : utilisez l'Assistant pour vous connecter au serveur de base de données, puis choisissez de créer une nouvelle base de données ou spécifiez une base de données existante dans laquelle les utilisateurs et les rôles seront stockés. Pour permettre aux utilisateurs de modifier et récupérer des mots de passe perdus, entrez les paramètres correspondant au serveur de messagerie (SMTP).
    • Fournisseur personnalisé (autre base de données, fichier XML, etc.) : disponible uniquement si vous avez ajouté la configuration requise dans l'application de sécurité.
  5. Ajoutez des utilisateurs et ajoutez des rôles selon vos besoins, en fonction des magasins de rôles et d'utilisateurs choisis.
    • Pour les utilisateurs et les groupes Windows, utilisez des outils du système d'exploitation pour ajouter les utilisateurs et groupes requis au serveur local ou au domaine.
    • Pour SQL Server, ajoutez des utilisateurs et des rôles dans la base de données (pour des utilisateurs Windows et des rôles SQL Server, ajoutez uniquement des rôles). Lorsque vous utilisez SQL Server pour les utilisateurs, cliquez sur Sécurité, puis sur Utilisateurs, et ajoutez les utilisateurs. Lorsque vous utilisez SQL Server pour les rôles, cliquez sur Sécurité, puis sur Rôles, et ajoutez les rôles.
    • Pour un fournisseur personnalisé, vous pouvez utiliser le gestionnaire pour gérer les utilisateurs et les rôles si le fournisseur personnalisé le prend en charge. Dans le cas contraire, utilisez les outils du fournisseur pour gérer les utilisateurs et les rôles.
  6. Pour attribuer des autorisations à des services et dossiers, procédez comme suit :
    • Dans le gestionnaire, cliquez sur Services.
    • Attribuez des autorisations de dossier en sélectionnant le dossier dans la liste déroulante, puis en cliquant sur la liste déroulante Gérer les dossiers, puis cliquez sur Autorisations.
    • Attribuez des autorisations de service en cliquant sur le bouton d'autorisation en regard du nom du service.
  7. Pour appliquer la sécurité à des services, procédez comme suit :
    • Dans le gestionnaire, cliquez sur Sécurité, puis sur Paramètres. Sous Sécurité des services SIG, cliquez sur Activer. Tant que vous n'avez pas effectué cette opération, les autorisations mentionnées dans l'étape précédente ne prennent pas effet. Après cette opération, seuls les utilisateurs dans les rôles autorisés dans le gestionnaire bénéficieront de l'autorisation d'accès à tous les services.
    • Seulement si vous utilisez des utilisateurs Windows comme magasin d'utilisateurs : à l'aide du Gestionnaire des services Internet, désactivez l'accès anonyme aux applications et services Web ArcGIS/Services et ArcGIS/Rest.
  8. Pour attribuer et appliquer des autorisations aux applications Web, procédez comme suit :
    • Dans le gestionnaire, cliquez sur Applications.
    • Cliquez sur le bouton Autorisations (serrure) correspondant à l'application Web.
    • Activez la case à cocher pour sécuriser cette application Web.
    • Ajoutez les rôles auxquels l'accès doit être autorisé, puis cliquez sur OK.
  9. Pour les services de carte ou de globe avec des caches de tuile, sécurisez le répertoire de cache pour ces services.
  10. Exigez HTTPS pour toutes les pages Web qui transmettent des données sensibles, telles que les pages de connexion.
  11. Facultatif : si le magasin d'utilisateurs prend en charge la modification et la récupération des mots de passe et si vous souhaitez permettre aux utilisateurs d'effectuer ces opérations, proposez un lien vers la page PasswordManager.aspx quelque part sur le site Web de votre organisation.

7/10/2012