Aperçu de la sécurité Internet

ArcGIS Server vous permet de sécuriser vos applications et services Web à l'aide du modèle de sécurité de Contrôle d'accès basé sur les rôles. Pour configurer et administrer ce modèle de sécurité, il est important de comprendre comment les divers composants de ce modèle interagissent entre eux.

Les sections suivantes de cette rubrique expliquent en détail le modèle de sécurité d'ArcGIS Server. Chaque section commence par la présentation d'un composant de sécurité, puis explique comment le composant s'intègre au sein du workflow de sécurité.

Aperçu du modèle de sécurité

Cette section fournit une présentation conceptuelle des divers composants fonctionnels et explique comment ils s'intègrent au sein du modèle de sécurité.

L'illustration ci-dessous fournit une présentation visuelle du modèle de sécurité d'ArcGIS Server.

Magasin principal

Le magasin principal est un référentiel des utilisateurs de services Web ArcGIS et de leurs rôles associés. Dans le système de contrôle d'accès basé sur les rôles d'ArcGIS Server, les autorisations d'accès à un service Web ArcGIS ne sont pas directement affectées aux utilisateurs. Les droits d'accès à un certain service Web sont affectés à un rôle spécifique. Un ou plusieurs rôles sont affectés aux utilisateurs de services Web ArcGIS. Les utilisateurs peuvent ainsi accéder via ces rôles à un service Web particulier. Chaque utilisateur obtient les droits de tous les rôles qui lui ont été affectés.

ArcGIS Server peut fonctionner avec une variété de magasins afin de conserver les informations d'utilisateur et de rôle. Vous pouvez utiliser une base de données relationnelle (par exemple, Microsoft SQL Server ou MySQL) ou un serveur de répertoires (par exemple, LDAP ou Microsoft Active Directory). Vous pouvez également configurer la sécurité d'ArcGIS Server pour accéder à des utilisateurs et rôles existants depuis un magasin propriétaire en développant des extensions personnalisées (à l'aide de l'API du magasin principal d'ArcGIS) et en la définissant de manière à ce qu'ArcGIS Server Manager se connecte à votre magasin propriétaire via votre extension.

Le service de jetons se connecte alors au magasin principal configuré pour l'authentification des utilisateurs. Les gestionnaires de services (par exemple, les gestionnaires de services Web et REST) recherchent également les informations de rôle associées à un utilisateur dans le magasin principal. Vous pouvez gérer les informations d'utilisateur et de rôle dans vos magasins à l'aide du gestionnaire.

Pour plus d'informations sur la manière de configurer et d'utiliser le magasin principal, reportez-vous à la section Aperçu de la configuration du magasin de sécurité.

Pour plus d'informations sur la manière d'écrire des extensions à l'aide de l'API du magasin principal, reportez-vous à la section Extension du magasin principal.

Magasin d'autorisations

Le magasin d'autorisations est un référentiel des droits ayant été affectés aux rôles. Celui-ci stocke les informations relatives à la liste des services ArcGIS auxquels un rôle particulier peut accéder.

Le magasin d'autorisations est géré par le gestionnaire des objets serveur (SOM). Vous ne devez pas le configurer et le gérer explicitement. Le magasin d'autorisations présente également une API qui permet l'accès aux développeurs.

Pour plus d'informations sur la manière de définir les autorisations d'accès à vos services et applications Web ArcGIS, reportez-vous aux sections Sécurisation des services Web et Sécurisation des applications Web.

Schémas d'authentification

Lorsque le serveur SIG a sécurisé ses ressources Web publiées, tout client Web souhaitant consommer ces ressources doit fournir des informations d'identification valides lorsqu'il accède à la ressource. ArcGIS Server prend en charge deux schémas d'authentification différents pour valider les informations d'identification des utilisateurs.

Schémas d'authentification pour les services Web

Authentification gérée par ArcGIS basée sur les jetons

Les clients Web doivent fournir un jeton lorsqu'ils souhaitent accéder à un service Web ArcGIS ayant été sécurisé à l'aide de l'authentification gérée par ArcGIS. Les jetons peuvent être obtenus à partir d'un service de jetons installé par ArcGIS Server. Chaque jeton est une identité de l'utilisateur. Les gestionnaires de services sont mis à jour pour traiter ce jeton et authentifier l'utilisateur client.

Les clients tels que ArcCatalog ou les applications Web développées avec le gestionnaire peuvent parfaitement consommer des services Web ArcGIS ayant été sécurisés à l'aide de l'authentification gérée par ArcGIS. Vous ne devez pas obtenir explicitement des jetons à partir d'un service de jetons lorsque vous travaillez avec ces clients.

Les clients JavaScript gérés par l'API REST peuvent aussi parfaitement consommer des services sécurisés.

Pour plus d'informations sur le fonctionnement avec des jetons, reportez-vous à la rubrique Jetons et services de jetons.

Authentification gérée par le conteneur Java Enterprise Edition

Les clients Web tentant de consommer un service Web ArcGIS ayant été sécurisé à l'aide de l'authentification gérée par le conteneur Java Enterprise Edition sont invités par le conteneur Web à fournir des informations d'authentification.

Les gestionnaires de services (par exemple, les gestionnaires de services Web et REST) sont sécurisés par le conteneur Web dans lequel ils ont été déployés. La plupart des conteneurs Web prennent en charge différents schémas d'authentification tels que celle de base, DIGEST, les certificats clients, etc.

Schémas d'authentification pour les applications Web

Authentification gérée par ArcGIS basée sur le contrôle d'ouverture de session

Une application Web ayant été sécurisée à l'aide de ce mécanisme d'authentification affiche une page d'ouverture de session HTML lorsque vous tentez d'accéder à l'application. Une fois que vous avez saisi vos informations d'identification, le contrôle d'ouverture de session valide les informations fournies par rapport aux informations d'identification des utilisateurs du magasin principal configuré pour l'application. L'accès à cette application vous est accordé uniquement si vous appartenez à un rôle qui a été autorisé à accéder à cette application par l'administrateur SIG.

Pour plus d'informations sur la manière de sécuriser les applications Web, reportez-vous à la rubrique Sécurisations des applications Web.

Authentification gérée par le conteneur Java Enterprise Edition

Dans ce cas, le conteneur Web dans laquelle l'application est déployée vous invite à saisir vos informations d'identification. Le conteneur authentifie ensuite vos informations d'identification par rapport aux informations de son domaine configuré et autorise votre accès.

Vous devez configurer explicitement votre conteneur Web avec un domaine approprié contenant les informations d'utilisateur et de rôle.

Pour plus d'informations sur la manière de sécuriser les applications Web, reportez-vous à la rubrique Sécurisations des applications Web.

Service de jetons

Pour prendre parfaitement en charge les clients de script, ArcGIS Server utilise l'accès basé sur les jetons aux services Web ArcGIS sécurisés. Les jetons encapsulent l'identité d'une partie demandeuse particulière (utilisateur) et sont accordés par un service de jetons faisant partie intégrante d'ArcGIS Server.

Le service de jetons communique alors avec le magasin principal configuré pour authentifier les demandes entrantes de jetons. ArcGIS Server peut déchiffrer ces jetons et accorder l'accès basé sur les rôles aux ressources demandées.

Le service de jetons fait partie intégrante de l'authentification gérée par ArcGIS pour la sécurisation des services Web ArcGIS.

Les jetons peuvent être demandés à l'aide de la page Web ou de l'URL du service de jetons. Les développeurs d'applications JavaScript doivent obtenir un jeton et l'utiliser dans leurs applications qui consomment un service Web ArcGIS sécurisé.

Pour plus d'informations sur le fonctionnement avec des jetons, reportez-vous à la rubrique Jetons et services de jetons.

Sécurité des services Web ArcGIS

‎Les services Web ArcGIS sont sécurisés à l'aide du mécanisme de contrôle d'accès basé sur les rôles. Vous pouvez définir des autorisations d'accès aux services à l'aide du gestionnaire. Lorsque la sécurité est activée sur le serveur SIG, l'accès est accordé uniquement aux utilisateurs appartenant aux rôles autorisés à accéder aux services SIG.

Pour sécuriser vos services Web ArcGIS, vous avez le choix entre deux schémas d'authentification : l'authentification basée sur les jetons et gérée par ArcGIS et l'authentification gérée par le conteneur Java Enterprise Edition (décrites ci-dessus).

Pour plus d'informations sur la manière de sécuriser les applications Web, reportez-vous à la rubrique Sécurisations des applications Web.

Sécurité des applications Web

Les applications Web créées dans le gestionnaire peuvent être sécurisées à l'aide de l'authentification gérée par ArcGIS ou l'authentification gérée par le conteneur Java Enterprise Edition (décrites ci-dessus).

Vous pouvez affecter des autorisations à un jeu de rôles particulier pour accéder l'application Web. Seuls les utilisateurs appartenant à ces rôles sont autorisés à accéder à l'application.

Pour plus d'informations sur la manière de sécuriser les applications Web, reportez-vous à la rubrique Sécurisations des applications Web.


2/28/2012