Vue d'ensemble de la configuration des utilisateurs et des rôles
Le Gestionnaire ArcGIS Server vous permet d'attribuer des privilèges d'accès à des rôles pour des services et des applications Web. Un rôle est un groupe contenant un ou plusieurs utilisateurs. Un utilisateur est une personne qui accède à une application Web ou à un service Web. Un utilisateur peut appartenir à de nombreux rôles.
Par exemple, supposez que John, Carla et Pat sont tous des utilisateurs d'un serveur SIG qui aide à gérer des ressources naturelles. Ces trois utilisateurs appartiennent au rôle Accès général, qui leur permet d'accéder à un ensemble de services de base. Toutefois, John et Carla appartiennent à un rôle Hydrologue qui leur donne accès à des services supplémentaires. Eventuellement, un quatrième utilisateur, Maria, appartient à un rôle Chef d'équipe qui autorise l'accès à tous les services. L'élément important à ne pas oublier est que vous pouvez configurer les rôles et les niveaux d'accès pour servir votre scénario.
Configuration des emplacements pour les utilisateurs et les rôles
Avant de pouvoir utiliser les outils dans le Gestionnaire ArcGIS Server pour attribuer des autorisations à des services ou des applications, vous devez définir où les utilisateurs et les rôles seront stockés. Plusieurs options s'offrent à vous. Suivez les liens ci-dessous pour en savoir plus sur la configuration de chaque option.
Utilisateurs et groupes Windows : choisissez les utilisateurs et les groupes Windows si vous souhaitez tirer parti des comptes Windows locaux existants sur le serveur Web ou des comptes de domaine. Lorsque vous utilisez des comptes de domaine, le serveur Web doit être dans le domaine que vous utilisez pour l'authentification.
Cette option est utilisée le plus fréquemment quand ArcGIS Server est utilisé dans un intranet. L'authentification unique est également possible avec cette option en utilisant l'authentification Windows intégrée sur votre serveur Web. Cette option intègre la transmission directe automatique des informations d'identification à partir de l'application Web jusqu'au service Web.
Microsoft SQL Server Express : si vous voulez définir une nouvelle liste d'utilisateurs et de rôles, et souhaitez utiliser les outils inclus avec ArcGIS Server, vous pouvez utiliser cette option. Vous pouvez utiliser Microsoft SQL Server Express (inclus avec ArcGIS Server) pour stocker les utilisateurs et les rôles, ou vous pouvez également utiliser votre propre édition de SQL Server (autre qu'Express). L'interface de sécurité du Gestionnaire fournit des outils pour la gestion des utilisateurs et des rôles stockés dans SQL Server.
Cette option est utilisée le plus souvent quand ArcGIS Server est utilisé sur Internet, car vous ne souhaitez peut-être pas fournir d'informations d'identification à des utilisateurs Internet. Cette option est également utile lorsque vous souhaitez que vos applications Web aient des informations d'identification différentes de celles des services Web exploités par ces applications.
Fournisseur personnalisé : vous pouvez stocker les utilisateurs et les rôles ailleurs que dans SQL Server ou le système d'exploitation Windows. Les possibilités dont vous disposez incluent d'autres types de bases de données et de fichiers XML.
Cette option utilise un fournisseur d'appartenance personnalisé ASP.NET. Pour utiliser cette option, vous devez acquérir et configurer un fournisseur .NET pour le magasin d'utilisateurs/rôles. Par exemple, des fournisseurs tiers sont disponibles pour utiliser une base de données Oracle pour le magasin d'utilisateurs et de rôles. Il est également possible d'écrire votre propre fournisseur personnalisé. Reportez-vous à la documentation sur l'appartenance ASP.NET pour plus de détails. Vous pouvez utiliser cette option pour les mêmes raisons que Microsoft SQL Server ci-dessus, mais lorsque vous souhaitez stocker vos utilisateurs et groupes ailleurs que dans Microsoft SQL Server.
Par défaut, les utilisateurs et les rôles sont stockés dans le même emplacement. Si vous choisissez les utilisateurs Windows, vous pouvez choisir de stocker les rôles dans SQL Server ou dans un fournisseur personnalisé. Si vous choisissez cette option, vous devez vous assurer que les rôles dans SQL Server (ou le fournisseur personnalisé) contiennent des membres dont les noms sont épelés exactement comme ils le sont pour les comptes d'utilisateur Windows.
Le Gestionnaire utilise le même magasin d'utilisateurs et de rôles pour tous les services Web et pour toutes les applications Web. Si vous voulez utiliser des emplacements différents pour les services et les applications, vous ne pouvez pas utiliser la même instance du Gestionnaire pour sécuriser les services et les applications. Vous pouvez utiliser le Gestionnaire pour sécuriser les services et utiliser d'autres outils pour sécuriser les applications, ou utiliser le Gestionnaire pour sécuriser les applications et utiliser des outils externes pour sécuriser les services. Dans le cadre de la première option (le Gestionnaire sécurise uniquement les services), vous ne devez pas activer la sécurité dans le Gestionnaire pour les applications Web. A la place, vous pouvez configurer la sécurité pour les applications Web individuelles en configurant l'application manuellement ou en utilisant l'outil Administration de site Web (WSAT) de Microsoft. Reportez-vous à la rubrique Sécurisation des applications Web pour plus d'informations sur l'utilisation de l'outil WSAT.
Une autre option consiste à ajouter une seconde instance des applications Web ArcGIS à l'aide de l'outil Ajouter une instance. Vous pouvez administrer vos services Web SIG à l'aide d'une instance d'ArcGIS et administrer vos applications Web à l'aide de la seconde instance. Pour plus d'informations, reportez-vous à la rubrique Instances d'ArcGIS Server.
Fichiers de configuration
Lorsque vous configurez l'emplacement de stockage des utilisateurs et des rôles, ces informations sont écrites dans les fichiers de configuration dans ArcGIS Server. Les utilisateurs et les rôles réels eux-mêmes sont stockés séparément dans l'emplacement de stockage que vous spécifiez. En revanche, les informations qui définissent la manière dont le magasin de sécurité doit être utilisé sont stockées dans les fichiers de configuration d'ArcGIS Server. Normalement, vous devez utiliser le Gestionnaire pour modifier la configuration, mais des informations sont fournies ici pour les utilisateurs susceptibles d'avoir à modifier manuellement les paramètres de sécurité.
Tous les paramètres liés à la sécurité sont stockés dans des paramètres de configuration ASP.NET standard. Vous pouvez consulter des références sur ASP.NET pour plus d'informations sur ces paramètres.
L'emplacement central des paramètres de sécurité correspond à l'application Web <Instance d'ArcGIS>\Security (par exemple, http://myserver.example.com/ArcGIS/Security, avec l'emplacement physique par défaut C:\Inetpub\wwwroot\ArcGIS\Security). Le fichier web.config présent dans ce dossier d'application contient la configuration de sécurité pour l'instance de serveur ArcGIS. Si vous devez configurer manuellement un fournisseur, par exemple, pour ajouter un fournisseur d'appartenance personnalisé, vous pouvez modifier ce fichier web.config (reportez-vous à la rubrique Configuration des utilisateurs et des rôles dans un fournisseur personnalisé pour plus d'informations sur les fournisseurs personnalisés).
Lorsque vous utilisez l'assistant pour configurer la sécurité, les paramètres inclus dans l'application Web Security sont mis à jour, puis ces mêmes paramètres sont copiés vers plusieurs autres applications. Celles-ci incluent trois applications au sein de la même instance d'ArcGIS : Rest, Services et Tokens. En outre, si des applications Web quelconques ont déjà été sécurisées à l'aide du Gestionnaire, les paramètres sont mis à jour dans ces applications. Par la suite, quand une autre application Web quelconque est sécurisée à l'aide du Gestionnaire, ces paramètres sont également copiés vers le fichier web.config de cette application.
Si vous apportez des modifications à la configuration dans le fichier web.config de l'application Security, vous devez exécuter l'assistant Sécurité > Paramètres > Modifier. Cela permet de copier les modifications vers les applications qui appliquent la sécurité. En outre, comme le Gestionnaire coordonne les paramètres de sécurité pour plusieurs applications, il est recommandé d'utiliser le Gestionnaire pour apporter des modifications aux paramètres de sécurité plutôt que d'essayer d'effectuer manuellement ces modifications.