Procédure pas à pas : implémentation de la sécurité avec les utilisateurs et les rôles Windows

Complexité : Débutant Exigences relatives aux données : ArcGIS Tutorial Data Setup

Cette procédure pas à pas indique comment implémenter la sécurité pour des applications Web et des services SIG. Dans cette procédure pas à pas, les utilisateurs sont stockés en tant que comptes du système d'exploitation Windows sur le serveur Web local ou dans le domaine dont le serveur Web est membre. Les rôles des utilisateurs sont définis en tant que groupes dans le domaine ou sur le serveur local. Les utilisateurs et les groupes Windows correspondent à l'une des options utilisables pour les utilisateurs et les rôles. Cette option est utilisée en général lorsque les utilisateurs du serveur se trouvent dans le réseau local plutôt que sur Internet. Cette approche peut être appropriée si vous voulez que vos utilisateurs SIG tirent parti des comptes qu'ils possèdent déjà sur votre réseau.

Dans la présente procédure pas à pas, vous ajouterez des utilisateurs et des groupes dans votre système, selon vos besoins, configurerez l'emplacement des utilisateurs et des rôles dans le Gestionnaire, définirez les autorisations pour une application Web et un service Web SIG et activerez la sécurité pour les services Web SIG.

AttentionAttention :

Près de la fin de cette procédure pas à pas, vous activerez la sécurité pour les services Web SIG. Une fois la sécurité des services activée, seuls les utilisateurs que vous aurez autorisés, selon leur appartenance aux groupes Windows, seront en mesure d'accéder aux différents services dans votre système. De plus, à partir de ce moment, vous devrez gérer les autorisations pour tous les services. Vous ne devez pas activer la sécurité des services à moins que vous souhaitiez limiter tous les services aux utilisateurs autorisés et que vous soyez préparé pour continuer à gérer les autorisations.

Cette procédure pas à pas inclut les étapes suivantes :

  1. Ajout d'utilisateurs et de groupes à l'aide des outils du système d'exploitation.
  2. Configuration de l'emplacement des utilisateurs et des rôles dans le Gestionnaire.
  3. Affichage des utilisateurs et des rôles.
  4. Sécurisation d'une application Web.
  5. Définition des autorisations pour les services Web SIG.
  6. Désactivation de l'accès anonyme aux services Web SIG.
  7. Application de la sécurité au services Web SIG.

Ajout d'utilisateurs et de groupes à l'aide des outils du système d'exploitation

Pour affecter des autorisations en fonction des utilisateurs et des groupes Windows, vous pouvez être amené à ajouter des utilisateurs et des groupes dans votre système. Les instructions ci-dessous constituent les étapes élémentaires de cette procédure. Reportez-vous à la documentation de Windows pour plus de détails.

Si des utilisateurs et des groupes sont déjà définis sur votre serveur Web ou dans votre domaine et que vous souhaitez les utiliser pour affecter des autorisations pour les applications et les services, vous pouvez ignorer cette section.

Étapes :
  1. Pour ajouter des utilisateurs et des groupes sur le serveur Web local, cliquez sur Démarrer > Panneau de configuration > Outils d'administration > Gestion de l'ordinateur (ou bien cliquez avec le bouton droit sur l'icône Poste de travail sur le Bureau et cliquez sur Gérer). Dans la console Gestion de l'ordinateur, développez Outils système et Utilisateurs et groupes locaux. Cliquez sur le dossier Utilisateurs pour afficher la liste des utilisateurs.
    • Dans Windows Vista ou Windows Server 2008, cliquez sur Démarrer > Panneau de configuration > Outils d'administration > Gestionnaire de serveur. Dans le Gestionnaire de serveur, développez Configuration, puis Utilisateurs et groupes locaux. Cliquez sur le dossier Utilisateurs pour afficher la liste des utilisateurs.
  2. Cliquez avec le bouton droit sur le dossier Utilisateurs et sélectionnez Nouvel utilisateur.
    Gestion de l'ordinateur : ajout d'un nouvel utilisateur
  3. Entrez le nom de l'utilisateur, par exemple, walkthrough1. Entrez un mot de passe et confirmez-le (par exemple, walkthrough1). Vous pouvez désactiver l'option exigeant que l'utilisateur modifie le mot de passe à la prochaine ouverture de session. Définissez les autres options de votre choix, puis cliquez sur Créer.
  4. Ajoutez au moins un autre utilisateur, par exemple, walkthrough2. Fermez la boîte de dialogue Nouvel utilisateur.
  5. Cliquez avec le bouton droit sur le dossier Groupes dans l'arborescence Gestion de l'ordinateur (ou Gestionnaire de serveur) et sélectionnez Nouveau groupe.
  6. Saisissez le nom du groupe, par exemple, WTGroup1. Ajoutez éventuellement une description. Ajoutez des membres au groupe :
    1. Dans la zone Membres, cliquez sur Ajouter.
    2. Dans la boîte de dialogue Sélectionnez des utilisateurs, cliquez sur le bouton Emplacements, puis, dans la boîte de dialogue qui apparaît, sélectionnez le nom de l'ordinateur local et cliquez sur OK.
    3. Dans la boîte de dialogue Sélectionnez des utilisateurs, dans la zone Entrez les noms des objets à sélectionner, saisissez le nom du premier utilisateur ajouté ci-dessus (walkthrough1).
      Gestion de l'ordinateur : ajout d'un nouveau groupe
    4. Cliquez sur Vérifier les noms pour vérifier que l'utilisateur existe (si nécessaire, cliquez sur le bouton Avancé puis sur Rechercher pour dresser la liste de tous les utilisateurs ; vous pouvez sélectionner l'utilisateur dans cette liste).
    5. Cliquez sur OK pour fermer la boîte de dialogue Sélectionnez des utilisateurs et retournez à la boîte de dialogue Nouveau groupe. La boîte de dialogue Nouveau groupe répertorie à présent l'utilisateur que vous avez sélectionné.
  7. Cliquez sur Créer pour créer le nouveau groupe.
  8. Créez un groupe supplémentaire, par exemple WTGroup2, en ajoutant le second utilisateur créé ci-dessus (walkthrough2). Fermez la boîte de dialogue Nouveau groupe. Vous pouvez également fermer la console Gestion de l'ordinateur.

Configuration de l'emplacement des utilisateurs et des rôles dans le Gestionnaire

Pour affecter des autorisations pour des services et des applications Web, vous devez au préalable indiquer à ArcGIS Server où vos utilisateurs et vos rôles sont stockés. Dans cette procédure pas à pas, les utilisateurs sont des comptes du système d'exploitation sur le serveur Web ou dans le domaine, et les rôles sont des groupes Windows sur le serveur Web ou dans le domaine.

Étapes :
  1. Démarrez le Gestionnaire ArcGIS Server et connectez-vous.
  2. Dans le Gestionnaire, développez le volet Sécurité et cliquez sur Paramètres.
  3. Cliquez sur le bouton Configurer (procédez ainsi même si Emplacement indique déjà Utilisateurs et groupes de Windows ; l'assistant effectue des opérations de configuration essentielles supplémentaires).
    Assistant Paramètres de sécurité : Configurer
  4. Dans le volet destiné à la sélection de l'emplacement du magasin d'utilisateurs, sélectionnez Utilisateurs Windows.
    Assistant Paramètres de sécurité : définir Utilisateurs Windows
    Cliquez sur Suivant.
  5. Dans le volet destiné à la sélection de l'emplacement du magasin de rôles, cliquez sur Groupes Windows. Cliquez sur Terminer. L'assistant se ferme et la zone Emplacement indique Utilisateurs et groupes de Windows.

Notez que la sécurité pour les services est définie sur Non activé. N'activez pas la sécurité à ce stade. Vous activerez la sécurité dans la dernière étape de cette procédure pas à pas. L'activation de la sécurité est la dernière étape car vous devez au préalable définir les autorisations pour vos services Web. Une fois la sécurité activée, seuls les utilisateurs dont vous avez autorisé les rôles peuvent accéder aux services Web SIG.

Affichage des utilisateurs et des rôles

Lorsque vos utilisateurs et vos rôles correspondent à des utilisateurs et des groupes Windows, vous pouvez les afficher dans le Gestionnaire. Pour ajouter, modifier ou supprimer des utilisateurs ou des groupes, vous devez utiliser les outils du système d'exploitation Windows, comme cela est décrit dans la première section de cette procédure pas à pas.

Étapes :
  1. Dans le Gestionnaire, cliquez sur l'onglet Sécurité sur le côté gauche et cliquez sur Utilisateurs. Le volet Utilisateurs contient la liste des utilisateurs sur le serveur Web local.
    Liste des utilisateurs Windows dans le Gestionnaire
  2. Si vous avez plus d'utilisateurs qu'il est possible d'en afficher dans un volet simple, cliquez sur la double flèche vers la droite (>>) pour afficher les utilisateurs supplémentaires. Vous pouvez également entrer tout ou partie d'un nom d'utilisateur dans la zone Afficher située à proximité du haut du volet et cliquer sur Rechercher pour filtrer la liste des utilisateurs.
  3. Pour afficher l'appartenance aux groupes d'un utilisateur, cliquez sur le signe plus (+) à côté du nom. La liste répertorie les groupes dont l'utilisateur est membre dans le système local.
  4. Si l'ordinateur est membre d'un domaine, vous pouvez afficher les utilisateurs inclus dans le domaine en cliquant sur le bouton Domaine correspondant à l'option Afficher les utilisateurs sur. Vous pouvez alors afficher l'appartenance aux groupes de domaines pour ces utilisateurs (la liste n'indique pas l'appartenance aux groupes du système local).
  5. Affichez les rôles en cliquant sur Rôles dans l'onglet Sécurité du Gestionnaire. Dans ce cas, la liste répertorie les groupes Windows sur le serveur Web local. Si l'ordinateur est membre d'un domaine, cliquez sur Domaine pour afficher les groupes dans le domaine. Vous pouvez basculer entre les différentes listes de groupes ou filtrer/rechercher des groupes comme dans la boîte de dialogue Utilisateurs.
    Liste de groupes Windows dans le Gestionnaire
  6. Cliquez sur le signe plus à côté d'un groupe pour afficher les utilisateurs qui sont membres du groupe.

Sécurisation d'une application Web

A présent, vous devez sécuriser une application Web en limitant l'accès aux rôles désignés (dans ce cas, aux groupes Windows). Les dernières sections de cette procédure pas à pas réaliseront cet objectif.

Étapes :
  1. Créez une nouvelle application Web dans le Gestionnaire. L'application peut être simple, avec un simple service de carte et aucun outil ni tâche supplémentaire. Vous pouvez consulter la rubrique Didacticiel : Création d'une application Web si vous devez créer une application. Si vous avez installé un certificat SSL sur le serveur Web, lorsque vous créez l'application, vous pouvez configurer l'application pour utiliser le protocole HTTPS (dans l'assistant de l'application, utilisez l'option Avancé dans le premier volet). Vous pouvez utiliser une application existante, mais tous les utilisateurs de l'application devront se connecter en tant qu'utilisateurs membres d'un rôle que vous autorisez dans cette procédure pas à pas.
  2. Dans le Gestionnaire, cliquez sur Applications pour afficher la liste des applications Web. Recherchez l'application que vous souhaitez sécuriser dans la liste. Dans la colonne Autorisations, notez l'icône de cadenas déverrouillé
    Icône de cadenas déverrouillé pour une application non sécurisée
    . Elle indique que l'application n'est pas limitée, si bien que les utilisateurs ne sont actuellement pas tenus de se connecter.
    Boîte de dialogue répertoriant les applications
  3. Cliquez sur l'icône Autorisations
    Icône de cadenas déverrouillé pour une application non sécurisée
    , qui affiche la boîte de dialogue Autorisations pour l'application Web.
  4. Cochez la case Activer la sécurité pour cette application Web. Cela active les listes des rôles disponibles et autorisés.
  5. Si vous voulez autoriser les rôles sur la base des groupes de domaines, cliquez sur l'option Domaine sous Afficher les rôles sur. Dans le cas contraire, cliquez sur Serveur local pour répertorier les groupes sur l'ordinateur local. Vous pouvez ajouter à la fois des groupes de domaines et des groupes locaux en tant que rôles autorisés.
  6. Mettez en surbrillance le rôle WTGroup1 (ou un autre rôle que vous avez ajouté ci-dessus) dans la liste Rôles disponibles. Cliquez sur le bouton Ajouter pour l'ajouter à la liste Rôles autorisés. Ajoutez éventuellement d'autres rôles dans la liste des rôles autorisés.
  7. Cliquez sur Enregistrer pour enregistrer les autorisations et retourner à la liste des applications. Notez que l'icône Autorisations prend l'apparence d'un cadenas verrouillé
    Icône en forme de cadenas verrouillé pour une application sécurisée
    , ce qui indique que l'accès à l'application nécessite à présent une connexion.
  8. Définissez la méthode d'authentification pour l'application à l'aide du Gestionnaire des services Internet (IIS) :
    1. Ouvrez le Gestionnaire des services Internet (IIS) en cliquant sur Démarrer > Paramètres > Panneau de configuration > Outils d'administration > Gestionnaire des services Internet (IIS).
    2. Développez l'arborescence de gauche du Gestionnaire des services Internet (IIS), sous Sites Web ou Sites. Développez Site Web par défaut pour rechercher l'application Web que vous venez de sécuriser.
    3. Dans Windows XP ou Windows Server 2003 : (1) cliquez avec le bouton droit sur l'application Web et cliquez sur Propriétés dans le menu contextuel. La boîte de dialogue Propriétés de l'application s'affiche.
      Gestionnaire des services Internet (IIS) : propriétés de l'application
      (2) Dans la boîte de dialogue Propriétés, cliquez sur l'onglet Sécurité de répertoire. Dans ce volet, sous Connexions anonymes et contrôle d'authentification, cliquez sur Modifier. La boîte de dialogue Méthodes d'authentification s'affiche. (3) Désactivez l'option Connexion anonyme. Ensuite, cochez au moins une méthode sous Accès authentifié. Dans l'objectif de démonstration de cette procédure pas à pas, vous pouvez sélectionner Authentification de base (cliquez sur Oui si un message d'avertissement apparaît). Pour plus d'informations sur les méthodes d'authentification, reportez-vous à la page Aperçu de la sécurité.
      Méthodes d'authentification de l'application
      (4) Cliquez sur OK pour fermer la boîte de dialogue Méthodes d'authentification et retourner à la boîte de dialogue Propriétés de l'application. Dans Windows Vista ou Windows Server 2008 : (1) cliquez sur l'application dans l'arborescence. Du côté droit du Gestionnaire des services Internet (IIS), double-cliquez sur Authentification. (2) Cliquez sur l'élément Authentification anonyme pour le sélectionner et cliquez sur Désactiver dans la liste Actions du côté droit du Gestionnaire des services Internet (IIS). Activez alors au moins une méthode d'authentification supplémentaire. Pour plus d'informations sur les méthodes d'authentification, reportez-vous à la page Aperçu de la sécurité.
    4. Si vous avez installé un certificat SSL sur votre serveur Web, vous pouvez exiger le protocole HTTPS lors de l'utilisation de l'application. Cela protégera la connexion lorsque la méthode d'authentification de base est définie. Dans Windows XP ou Windows Server 2003 : dans la boîte de dialogue Propriétés relative à l'application, cliquez sur l'onglet Sécurité de répertoire. Dans la zone Communications sécurisées de ce volet, cliquez sur Modifier (si ce bouton est désactivé, aucun certificat SSL n'est installé). Dans la boîte de dialogue Communications sécurisées, cliquez sur Requérir un canal sécurisé (SSL). Cliquez sur OK pour enregistrer ce paramètre. Cliquez sur OK pour fermer la boîte de dialogue Propriétés. Dans Windows Vista ou Windows Server 2008 : dans le Gestionnaire des services Internet (IIS), cliquez sur l'application dans l'arborescence gauche pour la sélectionner. Sur le côté droit du Gestionnaire des services Internet (IIS), double-cliquez sur Paramètres SSL. Dans le volet Paramètres SSL qui s'ouvre, cochez la case Requérir SSL.
    5. Fermez la console Gestionnaire des services Internet (IIS).
  9. Testez l'application en cliquant sur son hyperlien d'URL dans la liste des applications Web. L'application s'ouvre dans une nouvelle fenêtre du navigateur et vous êtes invité à vous connecter. Entrez le nom d'utilisateur et le mot de passe d'un utilisateur qui est membre du rôle que vous avez autorisé (par exemple, l'utilisateur walkthrough1 ajouté ci-dessus) et cliquez sur OK. Une fois la connexion établie, l'application passe à la page de l'application Web ArcGIS Server. Fermez l'application lorsque vous avez fini de la consulter.

Définition des autorisations pour les services Web SIG

Outre la sécurisation des applications Web, vous pouvez limiter l'accès aux services Web SIG à l'aide du Gestionnaire. Cette section indique comment définir des autorisations pour les services. Ces autorisations ne sont pas appliquées réellement tant que vous n'avez pas terminé la section suivante relative à l'application de la sécurité à des services. Ce workflow vous permet de configurer des autorisations pour des services, puis d'appliquer la sécurité, afin que les utilisateurs puissent encore accéder aux services tout au long du processus de sécurité.

Cette procédure pas à pas configure la sécurité afin que, par défaut, les services sur le serveur autorisent tous les membres du groupe Utilisateurs (lequel comprend en général tous les comptes d'utilisateurs sur le serveur local) à accéder aux services. Ensuite, un dossier est configuré pour autoriser un ensemble de rôles plus limité à accéder aux services figurant dans le dossier. Cette approche peut être appropriée pour un site proposant à la fois des services sécurisés et des services ouverts. Votre organisation peut utiliser une approche différente de celle illustrée ci-dessous.

Notez que lorsque les utilisateurs et les rôles de vos services sont des utilisateurs et des groupes Windows, il n'est pas possible de disposer d'un accès anonyme aux services pour lequel les utilisateurs ne fournissent pas d'informations de connexion. En d'autres termes, tous les utilisateurs de vos services devront disposer d'un compte Windows et devront entrer le nom d'utilisateur et le mot de passe lorsqu'ils y seront invités.

Étapes :
  1. Dans le Gestionnaire, assurez-vous que le dossier racine de votre serveur contient au moins un service. Ajoutez un service si aucun service n'existe encore. Vous pouvez vous reporter au didacticiel Publication d'un service de carte pour créer le service.
  2. Ajoutez un dossier aux services de votre serveur en cliquant sur Gérer les dossiers. Dans la liste déroulante qui apparaît, cliquez sur Ajouter.
    Ajouter un dossier de service
    Dans la zone de texte Ajouter un dossier, saisissez un nom de dossier tel que SecurityWalkthrough. Cliquez sur OK pour ajouter le dossier.
  3. Ajoutez un service dans le nouveau dossier. Utilisez Publier une ressource SIG pour ajouter le service en veillant à spécifier le nouveau dossier (SecurityWalkthrough) comme emplacement. (Vous pouvez également utiliser l'assistant Ajouter un nouveau service, mais assurez-vous que la liste Services dans inclut le dossier SecureServices. Vous pouvez également utiliser ArcCatalog pour ajouter le service.) Vous pouvez supprimer le service et le dossier après la procédure pas à pas, si vous le souhaitez.
  4. Définissez des autorisations sur le dossier racine pour autoriser tous les membres du groupe Utilisateurs à accéder aux services. Cette approche est appropriée si vous souhaitez autoriser tous les utilisateurs par défaut, mais limiter certains services ou dossiers en requérant des informations de connexion valides. Pour définir cette autorisation, assurez-vous que la zone Services dans affiche Nom du serveur (racine), où Nom du serveur correspond au nom d'ordinateur de votre serveur (cliquez sur la liste déroulante pour sélectionner cet élément, si nécessaire). Cliquez ensuite sur Gérer les dossiers et, dans la liste déroulante, sélectionnez Autorisations. La boîte de dialogue Autorisations qui s'ouvre affiche le nom du dossier (racine).
  5. Dans la boîte de dialogue Autorisations, sélectionnez le rôle Utilisateurs (groupe) et cliquez sur Ajouter. Le rôle Utilisateurs est placé dans la liste Rôles autorisés. Le rôle Utilisateurs couvre en général tous les utilisateurs avec des comptes sur le serveur local. Eventuellement, si vous avez des utilisateurs dans le domaine Windows que vous souhaitez autoriser, vous pouvez les ajouter en cliquant sur l'option Domaine en haut de la liste (le groupe Utilisateurs du domaine inclut en général tous les utilisateurs dans le domaine). Notez l'avertissement indiquant que la sécurité pour les services n'est pas activée ; vous activerez la sécurité dans la section suivante. Cliquez sur Enregistrer pour enregistrer la liste des autorisations.
    Définition des autorisations des services
  6. Limitez les autorisations sur le dossier que vous avez créé précédemment. Dans la liste Services dans, sélectionnez le dossier (SecurityWalkthrough). Cliquez ensuite sur Gérer les dossiers, puis sur Autorisations.
  7. Dans la boîte de dialogue Autorisations, cliquez sur le rôle Utilisateurs dans la liste Rôles autorisés et cliquez sur Supprimer. Le rôle est placé dans la liste Rôles disponibles. Si vous avez ajouté d'autres rôles (par exemple, Utilisateurs du domaine), supprimez-les également. Ensuite, cliquez sur un rôle spécifique à autoriser, à partir du domaine ou du serveur local, tel que WTGroup1. Vous pouvez ajouter plusieurs rôles comme rôles autorisés, si vous le souhaitez. Cliquez sur Enregistrer pour enregistrer la liste des autorisations.

Les autorisations sont à présent configurées pour les services. Toutefois, la sécurité n'est pas encore appliquée. En d'autres termes, à ce stade, tout utilisateur peut encore accéder aux services dans le dossier SecureServices sans fournir d'informations de connexion. La section suivante permet d'activer la sécurité, ce qui met en vigueur les autorisations d'accès que vous avez configurées.

Désactivation de l'accès anonyme aux services Web SIG

Vous voulez que les utilisateurs de vos services Web SIG fournissent un identifiant Windows pour accéder aux services. Les applications clientes demandent un identifiant seulement si elles reçoivent une demande d'authentification du serveur Web. Cette section de la procédure pas à pas permet de configurer le serveur Web IIS pour obtenir l'identifiant de l'utilisateur.

RemarqueRemarque :

Vous ne devez pas exécuter cette section à moins que vous souhaitiez exiger de tous les utilisateurs de vos services Web SIG d'avoir des comptes Windows sur votre serveur local ou dans le domaine.

Étapes :
  1. Ouvrez le Gestionnaire des services Internet (IIS) en sélectionnant Panneau de configuration > Outils d'administration > Gestionnaire des services Internet (IIS).
  2. Parcourez les sites Web de l'ordinateur local jusqu'au site Web qui contient votre instance d'ArcGIS (en général dans Site Web par défaut). Recherchez le dossier de l'instance (nommé ArcGIS par défaut) et développez-le.
  3. La méthode permettant de désactiver l'accès anonyme dépend de votre système.
    • Dans Windows Server 2003 ou Windows XP :
      1. Cliquez avec le bouton droit sur l'application Web Services et cliquez sur Propriétés.
      2. Cliquez sur l'onglet Sécurité de répertoire. Sous Connexions anonymes et contrôle d'authentification, cliquez sur Modifier.
      3. Désactivez l'option Connexion anonyme. Cochez au moins une méthode sous Accès authentifié. Reportez-vous ci-dessous pour plus d'informations sur les méthodes d'authentification. Ensuite, cliquez deux fois sur OK pour retourner dans la console Gestionnaire des services Internet (IIS).
    • Dans Windows Server 2008 ou Windows Vista :
      1. Cliquez avec le bouton gauche sur l'application Services pour afficher ses liens de propriétés sur le côté droit du Gestionnaire des services Internet (IIS).
      2. Double-cliquez sur l'élément Authentification sous le groupe IIS. Cela affiche la liste des méthodes d'authentification pour l'application.
      3. Dans la liste des méthodes d'authentification, cliquez avec le bouton droit sur Authentification anonyme et, dans le menu contextuel, sélectionnez Désactiver.
      4. Activez au moins une autre méthode d'authentification. Reportez-vous ci-dessous pour plus d'informations sur les méthodes d'authentification.
  4. Répétez les étapes 3 à 5 ci-dessus, mais définissez les propriétés pour l'application Web Rest dans le dossier ArcGIS.

Pour plus d'informations sur les méthodes d'authentification, reportez-vous à la documentation sur IIS et à d'autres ressources, telles que la page MSDN Authentication Methods Supported in IIS 6.0.

Application de la sécurité au services Web SIG

La dernière étape pour le sécurisation des services Web SIG consiste à appliquer la sécurité aux services. Cette opération limite les services Web SIG afin que seuls les utilisateurs dont vous avez autorisé les rôles puissent accéder aux services. Tant que vous n'avez pas effectué cette opération, aucune des autorisations que vous avez appliquées n'est encore effective et chaque utilisateur peut accéder à tous les services. Vous ne devez pas suivre la procédure détaillée ici tant que vous n'avez pas configuré les autorisations comme cela est décrit dans la section ci-dessus.

AttentionAttention :

Une fois que vous activez la sécurité pour les services, vous ne pouvez pas la désactiver dans le Gestionnaire (reportez-vous à la page d'aide du serveur sur la sécurisation des services pour obtenir des informations sur la désactivation manuelle de la sécurité, si nécessaire). La sécurité pour les services doit être un processus à sens unique. Si vous n'êtes pas prêt à activer la sécurité pour les services Web SIG, vous pouvez ignorer cette section de la procédure pas à pas.

Étapes :
  1. Dans le Gestionnaire, cliquez sur l'onglet Sécurité sur la gauche et cliquez sur Paramètres dans la section Sécurité. Cela affiche le volet des paramètres relatifs à la sécurité.
  2. Dans le volet Paramètres de sécurité, lisez les informations sous Sécurité des services SIG. Notez que la sécurité est définie sur Non activé lorsque vous installez ArcGIS Server.
    Activer la sécurité pour les services
  3. Cliquez sur Activer. Un message vous recommande de définir des autorisations avant d'activer la sécurité pour les services. Cliquez sur le bouton Activer la sécurité des services pour confirmer. Vous retournez au volet Paramètres de sécurité et l'indicateur indique à présent que la sécurité est activée.
  4. Cliquez sur l'onglet Services sur le côté gauche du Gestionnaire. Dans la liste des services, les icônes d'autorisations affichent maintenant un cadenas verrouillé
    Icône représentant un cadenas verrouillé pour les services sécurisés
    . Si vous voyez une icône avec un point d'exclamation rouge
    Icône d'avertissement pour un service sécurisé sans rôle autorisé
    , elle indique que le service a une liste d'autorisations vide. Un tel service est inaccessible à tous les utilisateurs jusqu'à ce qu'au moins un rôle soit ajouté dans la liste Rôles autorisés du service.
  5. Pour vérifier que la sécurité pour les services est effective, utilisez ArcCatalog pour vous connecter à vos services. Démarrez ArcCatalog sur votre ordinateur local ou sur une machine capable d'accéder au serveur Web pour ArcGIS Server.
  6. Dans ArcCatalog, développez le nœud Serveurs SIG dans l'arborescence du catalogue. Double-cliquez sur l'élément Ajouter un serveur ArcGIS.
  7. Cliquez sur Utiliser les services SIG. Cliquez sur Suivant.
  8. Dans le volet suivant, cliquez sur Internet comme type de connexion et entrez l'URL de votre serveur, par exemple : http://myserver/arcgis/services. Dans la partie Authentification de la boîte de dialogue, saisissez le nom d'utilisateur et le mot de passe d'un compte figurant dans le groupe Utilisateurs mais pas dans le groupe WTGroup1, par exemple, MYSERVER\walkthrough2 (ou si vous avez configuré la sécurité avec des utilisateurs et des rôles différents, utilisez un compte qui n'a pas d'autorisation sur le dossier sécurisé, SecurityWalkthrough). Cliquez sur Terminer. La boîte de dialogue se ferme et une nouvelle connexion apparaît dans votre liste Serveurs SIG, telle qu'arcgis sur myserver.
  9. Développez le nœud pour la nouvelle connexion. Examinez le service à la racine de votre serveur. Toutefois, le dossier que vous avez sécurisé dans le cadre de la connexion précédente (SecurityWalkthrough) n'est pas visible. Comme vous avez autorisé le rôle Utilisateurs à accéder au dossier racine, les services à la racine et tous les dossiers qui n'ont pas remplacé ses paramètres sont visibles pour tous les utilisateurs. Puisque vous ne vous êtes pas connecté avec des informations de connexion appropriées, le dossier SecureServices n'est pas disponible pour cette connexion.
  10. Ajoutez une autre connexion au serveur SIG dans ArcCatalog en répétant les étapes 6 à 8 ci-dessus. Entrez la même URL de serveur, mais pour l'étape 8, entrez le nom d'utilisateur et le mot de passe. Utilisez la connexion que vous avez créée ci-dessus pour l'utilisateur (par exemple, walkthrough1) dans le rôle pour lequel vous avez autorisé l'utilisation du dossier SecurityWalkthrough. Cliquez sur Terminer pour ajouter la connexion.
  11. Développez cette connexion (par exemple, arcgis sur myserver [2]). Vous pouvez voir à présent le dossier SecurityWalkthrough, ainsi que tous les services et dossiers autorisés pour Utilisateurs.
  12. Fermez ArcCatalog et le Gestionnaire, une fois terminé.

Cette procédure a sécurisé votre application Web et vos services Web SIG sur la base des utilisateurs et des groupes Windows. Pour plus d'informations sur la configuration de la sécurité, reportez-vous aux autres pages sur la sécurité dans cette section de l'aide d'ArcGIS Server.

Vous pouvez utiliser des services sécurisés dans différents clients, y compris ArcGIS Desktop, les applications Web ADF et les applications d'API JavaScript. Pour ajouter un service sécurisé à une application Web ADF, ajoutez une nouvelle connexion Internet ArcGIS Server et saisissez le nom d'utilisateur et le mot de passe appropriés dans la zone de texte Identité de la boîte de dialogue de connexion dans le Gestionnaire ou Visual Studio.

Si vous le souhaitez, supprimez tout service, dossier, utilisateur ou rôle créés au cours de cette procédure pas à pas. N'oubliez pas qu'une fois que vous activez la sécurité pour les services, vous devez gérer les autorisations pour tous les dossiers et services. Si vous ajoutez un service mais n'ajoutez pas de rôle autorisé, il est inaccessible pour tous les utilisateurs (une icône d'avertissement

Icône d'avertissement pour un service sécurisé sans rôle autorisé
est affichée pour vous signaler ce problème). Une façon de garantir au moins un ensemble par défaut d'autorisations consiste à ajouter des autorisations au dossier conteneur à la racine ou au sous-dossier. Les services héritent des autorisations de leur dossier conteneur, ce qui simplifie la configuration de la sécurité pour les services.


3/6/2012