Sécurisation des connexions locales aux services

Les connexions locales à un serveur SIG (et les services qui s'exécutent sur ce serveur) sont gérées par le système d'exploitation de la machine gestionnaire des objets serveur (SOM, Server Object Manager). De la même façon que le système d'exploitation vous permet de créer et de supprimer des fichiers sur votre propre ordinateur (mais vous empêche de le faire sur l'ordinateur de vos collègues), le système d'exploitation de la machine SOM accorde à certains utilisateurs des droits d'accès aux services qui s'exécutent sur les serveurs, et pas à d'autres. Lorsque vous ouvrez une session sur votre ordinateur, le nom d'utilisateur et le mot de passe que vous spécifiez vous identifient en tant qu'utilisateur valide sur votre réseau. Sur la base de votre compte de système d'exploitation, vous êtes autorisé à effectuer un certain nombre d'opérations, comme accéder à un serveur SIG.

Pour pouvoir commencer à utiliser votre serveur SIG, vous devez définir qui peut y accéder. Une fois cette opération effectuée, vous pourrez vous connecter à votre serveur SIG et y ajouter des services.

Identifier qui peut établir des connexions locales avec le serveur

A qui devez-vous accorder les droits d'accès local à votre serveur SIG ? La réponse à cette question dépend des types de services que vous exécutez sur votre serveur et de la façon dont vous envisagez de les utiliser. Dans certains cas, les services que vous placez sur votre serveur doivent être mis à la disposition de tous. Dans d'autres cas, vous pouvez limiter l'accès à un service qui contient des informations sensibles que seules certaines personnes doivent pouvoir consulter.

En tant qu'administrateur du serveur SIG, vous pouvez autoriser les utilisateurs à accéder au serveur SIG en ajoutant leur compte de système d'exploitation à la liste des utilisateurs qui doivent avoir accès au serveur. En réalité, il existe deux listes : une liste d'utilisateurs qui peuvent utiliser les services qui s'exécutent sur le serveur et une liste d'utilisateurs qui peuvent administrer le serveur lui-même (c'est-à-dire, ajouter, supprimer et modifier les services de serveur). Comme le système d'exploitation contrôle en définitive l'accès au serveur, vous utilisez deux groupes d'utilisateurs du système d'exploitation (utilisateurs ArcGIS Server et administrateurs ArcGIS Server) pour gérer les deux listes d'utilisateurs. Un groupe d'utilisateurs définit simplement l'ensemble des utilisateurs qui ont accès à une ressource particulière (dans ce cas, à un serveur SIG).

En général, la liste des comptes que vous ajoutez aux groupes des utilisateurs et des administrateurs ArcGIS Server dépend des clients qui sont censés se connecter au serveur. Chaque compte de système d'exploitation sous lequel ArcGIS Desktop est exécuté devra être ajouté au groupe des utilisateurs ArcGIS Server, si vous voulez que ce client accède au serveur SIG. En outre, chaque application Web que vous créez peut se connecter au serveur SIG par le biais d'un compte de système d'exploitation particulier. Tous les comptes utilisés par vos applications Web doivent également être ajoutés au groupe des utilisateurs ArcGIS Server.

Vous n'avez pas besoin d'ajouter les comptes SOM et SOC aux groupes des administrateurs ou des utilisateurs. Ces comptes sont utilisés uniquement par le système d'exploitation pour démarrer et arrêter les processus sur le serveur SIG.

Contrôle de l'accès à un serveur SIG

Lorsque vous installez ArcGIS Server, le programme d'installation crée automatiquement les groupes des utilisateurs (agsusers) et des administrateurs (agsadmin) ArcGIS Server. Ces groupes sont créés en tant que groupes locaux du système d'exploitation sur la machine gestionnaire des objets serveur et sur chaque machine conteneur. Le programme d'installation d'ArcGIS Server n'ajoute pas automatiquement d'utilisateur dans ces groupes. Par conséquent, vous devez ajouter les utilisateurs dans ces groupes, selon le type d'accès dont doit disposer chaque utilisateur. Bien entendu, le premier compte que vous devez ajouter dans le groupe agsadmin est votre propre compte.

Lorsque des applications établissent des connexions locales au serveur SIG, elles sont authentifiées par rapport aux groupes agsusers et agsadmin sur le serveur SIG.

La manière dont vous choisissez d'ajouter des comptes d'utilisateurs dans ces groupes dépend de la façon dont votre organisation gère les utilisateurs en général. Si votre organisation dispose de plusieurs groupes d'utilisateurs déjà établis, vous pouvez décider d'ajouter des groupes particuliers comme membres des groupes agsadmin et agsusers. En allouant des utilisateurs en fonction d'autres groupes, vous pouvez réduire au maximum la quantité de travail requise pour modifier l'accès à votre serveur SIG. Par exemple, si un nouvel employé est embauché et ajouté à l'un des groupes existants de votre organisation, les droits d'accès à votre serveur SIG sont automatiquement attribués à l'employé, car il est membre d'un groupe qui est membre du groupe des utilisateurs ArcGIS Server. Vous pouvez également ajouter des utilisateurs individuels dans les groupes agsadmin et agsusers.

Privilèges des utilisateurs et des administrateurs

Les membres du groupe des utilisateurs ArcGIS Server (agsusers) possèdent des privilèges de niveau consommateur sur le serveur SIG. Les consommateurs peuvent afficher les services et y accéder ; toutefois, ils ne peuvent pas effectuer des tâches administratives, comme par exemple ajouter, supprimer ou modifier des services. Ils ne peuvent pas non plus modifier les propriétés du serveur lui-même (comme ajouter ou supprimer des machines).

Les membres du groupe des administrateurs ArcGIS Server (agsadmin) sont dotés des droits d'accès et des privilèges d'administrateur sur le serveur SIG. Lorsque vous êtes connecté en tant que membre du groupe des administrateurs, vous pouvez effectuer les tâches suivantes :

Etablissement d'une connexion locale avec le serveur à partir d'ArcGIS Desktop

Une application bureautique cliente d'ArcGIS Server s'exécutera sous le compte d'utilisateur utilisé pour démarrer l'application. Par exemple, si vous avez ouvert une session sur un ordinateur de bureau en tant qu'utilisateur de domaine ANDY dans le domaine AVWORLD, et que vous exécutez une application telle qu'ArcCatalog, l'identité de l'application est AVWORLD\ANDY. Lorsque vous établissez une connexion locale à ArcGIS Server dans cette session ArcCatalog, vous vous connectez en tant que AVWORLD\ANDY. Tant que AVWORLD\ANDY est membre du groupe agsusers sur le gestionnaire des objets serveur, vous êtes en mesure de vous connecter. Si AVWORLD\ANDY est membre du groupe agsadmin, vous disposez des privilèges d'administrateur sur le serveur par le biais de cette connexion.

En général, il est conseillé d'utiliser un compte disposant de droits d'accès plus restrictifs lorsque vous effectuez vos tâches journalières et d'utiliser le compte d'administrateur uniquement lorsque vous devez administrer votre serveur. Sous Windows, vous pouvez utiliser la commande runas pour vous connecter à ArcCatalog sous un compte de système d'exploitation différent de votre compte de connexion actuel. Vous pouvez exécuter la commande runas à l'invite de commandes et, dans certaines versions du système d'exploitation, en tant qu'option du menu contextuel sur le fichier exécutable ArcCatalog, situé dans le dossier bin de votre emplacement d'installation. Par exemple, à l'invite de commandes, tapez :

runas /utilisateur:nomutilisateur "C:\Program Files\ArcGIS\bin\ArcCatalog.exe"

Vous pouvez également accéder au fichier ArcCatalog.exe dans le dossier bin ou localiser le raccourci qui y renvoie, cliquer avec le bouton droit sur le fichier exécutable, puis sélectionner Exécuter en tant que. Consultez la documentation Windows pour plus d'informations sur l'utilisation de la commande runas.

Etablissement d'une connexion locale avec le serveur à partir d'une application Web

Lorsque vous utilisez Web ADF (Application Developer Framework) pour créer des applications Web qui accèdent à des services locaux, vous devez spécifier une identité. Le compte que vous utilisez pour l'identité doit appartenir au groupe agsadmin ou agsusers sur chaque serveur local auquel votre application se connectera. Lorsque des utilisateurs finaux accèdent à l'application, ils n'auront pas à entrer un nom et un mot de passe pour accéder au service. L'identité sera utilisée à la place. Les informations d'identité chiffrées sont stockées dans le fichier web.config de l'application.

Limitation de l'accès à des services spécifiques

La limitation de l'accès à certains services mais pas à d'autres sur un même serveur SIG est uniquement possible par le biais de connexions Internet. Reportez-vous à la section Sécurisation des connexions Internet et des applications Web pour apprendre comment procéder.


3/6/2012