Aperçu de la sécurité Internet

ArcGIS Server vous permet de sécuriser vos applications Web et services Web. Cette section traite principalement de la façon de limiter l'accès pour des applications et des services aux utilisateurs autorisés. Bien entendu, d'autres problèmes de sécurité touchent votre système ArcGIS Server, tels que les comptes utilisés par ArcGIS Server pour accéder aux données, la sécurité du code qui s'exécute sur votre serveur et la sécurité physique de l'équipement. Reportez-vous à la rubrique Méthodes pour implémenter la sécurité pour plus d'informations sur la sécurité avec ArcGIS Server.

ArcGIS Server vous permet de gérer la sécurité pour vos services Web et applications Web. Les tâches clés relatives à la sécurité que vous devez effectuer sont les suivantes :

Une section ultérieure de cette rubrique résume les options : Configurations courantes de la sécurité pour les services ArcGIS Server. Vous pouvez utiliser le gestionnaire pour la plupart de ces tâches. Plus d'informations sont fournies sur chacune d'elles ci-dessous, ainsi que dans des sections individuelles de cette rubrique. La rubrique Liste de contrôle pour la sécurité Internet sert également de guide pour l'implémentation de la sécurité pour les services et les applications.

Définition de la gestion des utilisateurs et des rôles

La composante fondamentale de tout mécanisme de contrôle d'accès est la capacité à authentifier les utilisateurs. Tous les mécanismes d'authentification nécessitent que les informations des utilisateurs et les rôles auxquels ils appartiennent soient stockés de manière centralisée quelque part dans le système. Les applications ASP.NET permettent le stockage et la gestion de la sécurité avec le système d'exploitation ou un fournisseur d'appartenance ASP.NET. ArcGIS Server utilise ces deux options de magasin d'utilisateurs fournies par ASP.NET.

La décision concernant l'emplacement où stocker vos utilisateurs dépend beaucoup du public concerné par vos applications et services. Par exemple, si vous créez principalement des applications d'intranet, vous pouvez tirer parti des utilisateurs et groupes existants, disponibles dans votre système d'exploitation, pour accorder l'accès à vos applications. De même, si vous créez des applications Internet et que vous ne souhaitez pas que vos utilisateurs Web soient des utilisateurs dans votre répertoire actif, vous pouvez stocker ces utilisateurs dans un fournisseur d'appartenance ASP.NET. Pour plus d'informations sur la configuration des utilisateurs et des rôles, reportez-vous à la rubrique Vue d'ensemble de la configuration des utilisateurs et des rôles.

ArcGIS Server vous permet de configurer facilement le fournisseur d'appartenance ASP.NET pour Microsoft SQL Server en utilisant uniquement le gestionnaire ArcGIS Server. Toutefois, la structure des appartenances ASP.NET est très flexible et peut prendre en charge une large gamme de fournisseurs personnalisés, tels que d'autres bases de données, des fichiers XML, Active Directory, LDAP, etc. Une fois configurés dans votre système, ArcGIS Server peut être configuré pour utiliser ces fournisseurs personnalisés.

Les liens ci-dessous résument la façon dont vous pouvez configurer les utilisateurs et les rôles et vous permettent d'accéder à plus d'informations sur chaque option :

Choix d'une méthode d'authentification

L'authentification est le processus visant à identifier qui essaie d'accéder au système. L'utilisateur fournit des informations d'identification, en général un nom d'utilisateur et un mot de passe, pour s'authentifier auprès du système. La méthode d'authentification détermine la manière dont le serveur valide l'identité de l'utilisateur.

Vos options pour l'authentification dépendent de votre choix en matière de stockage des utilisateurs et des rôles.

Magasin d'utilisateurs

Authentification

Utilisateurs et groupes du système d'exploitation Windows

IIS

Fournisseur d'appartenance ASP.NET

ASP.NET

Les méthodes d'authentification varient également en termes de niveau de sécurité proposé. Lisez avec soin la documentation et consultez votre personnel de sécurité avant de sélectionner une méthode appropriée à votre situation.

Les méthodes d'authentification disponibles avec ArcGIS Server pour Microsoft .NET Framework sont les suivantes :

Vous pouvez prendre en charge plusieurs méthodes d'authentification, si nécessaire, en configurant plusieurs instances Web d'ArcGIS Server. Chaque instance serait liée au même serveur SIG mais serait configurée pour une méthode d'authentification différente.

Pour obtenir des conseils sur les méthodes d'authentification, reportez-vous à la section Configurations courantes de la sécurité pour les services ArcGIS Server. La rubrique Vue d'ensemble de la configuration des utilisateurs et des rôles présente des informations supplémentaires sur les méthodes d'authentification.

Implémentation du protocole SSL (Secure Sockets Layer)

En fonction des exigences de votre magasin d'utilisateurs et de votre méthode d'authentification, vous devrez peut-être acquérir un certificat SSL pour votre serveur Web. SSL permet l'utilisation du protocole HTTPS, qui chiffre les communications entre les clients et votre serveur Web. En général, le protocole SSL est essentiel lors de l'authentification des utilisateurs via la méthode HTTP de base, basée sur des jetons ou basée sur des formulaires, bien que le protocole SSL puisse renforcer la sécurité des informations d'identification également dans le cadre d'autres méthodes d'authentification. Pour en savoir plus sur la configuration de SSL.

Définition des autorisations pour les services et les applications

Pour qu'un utilisateur accède à un service ou à une application, vous devez ajouter des autorisations dans le service ou l'application pour un rôle dont l'utilisateur est membre. Les autorisations ArcGIS Server sont basées sur les rôles. Vous ajoutez des autorisations pour un service, un dossier de service ou une application dans le gestionnaire en autorisant des rôles, plutôt qu'en autorisant des utilisateurs individuels.

Lorsque vous appliquez la sécurité à un service Web, elle s'applique à toutes les formes du service Web : SOAP, REST et OGC (tel que WMS). Si vous autorisez l'accès à un rôle (par exemple, Planificateurs) pour un service dans le gestionnaire, les utilisateurs membres de ce rôle seront en mesure d'accéder au service via les méthodes SOAP, REST et toutes les méthodes OGC activées pour le service. Le répertoire des services respecte également automatiquement les paramètres de sécurité, de sorte que seuls les utilisateurs connectés verront les services sécurisés pour lesquels ils sont autorisés.

Pour en savoir plus sur la sécurisation des connexions Internet aux services et sur la sécurisation des applications Web.

Configurations courantes de la sécurité pour les services ArcGIS Server

Le tableau ci-dessous décrit des configurations courantes de la sécurité pour les services ArcGIS Server. Il se base sur trois aspects attenant à où et à comment les services sont configurés : (1) si les services sont déployés dans un intranet ou sur Internet, (2) le type de magasin d'utilisateurs et de rôles, et (3) la méthode d'authentification.

Toutes les configurations prennent en charge tous les clients (Web, JavaScript, ArcGIS Desktop, OGC et KML), sauf mention contraire.

Réseau Magasin d'utilisateurs/de rôles Authentification Remarques :

Intranet

Aucun

Non applicable

Aucune sécurité d'ArcGIS Server. Le pare-feu limite les services/applications aux utilisateurs internes.

Utilisateurs/rôles (groupes) du domaine Windows

Authentification Windows intégrée

HTTP de base/Digest

Les applications JavaScript doivent utiliser un proxy/redirecteur.

Utilisateurs du domaine Windows, rôles SQL Server

Authentification Windows intégrée

HTTP de base/Digest

Les applications JavaScript doivent utiliser un proxy/redirecteur.

Internet

Aucun

Non applicable

Aucune sécurité d'ArcGIS Server. Tous les services s'ouvrent à tous les utilisateurs.

Utilisateurs/rôles Windows

HTTP de base/Digest

Les applications JavaScript doivent utiliser un proxy/redirecteur.

Utilisateurs Windows, rôles SQL Server

2 instances Web ArcGIS

(1 HTTP de base/Digest, 1 basée sur des jetons)

L'authentification HTTP de base/Digest prend en charge SOAP, OGC et KML ; l'authentification à base de jetons prend en charge l'accès REST.

Utilisateurs et rôles SQL Server

A base de jetons

Aucune prise en charge pour les clients OGC ni KML.

Fournisseur personnalisé

A base de jetons

Aucune prise en charge pour les clients OGC ni KML.


3/6/2012