Lorsque vous sécurisez votre portail ArcGIS Enterprise, il est essentiel que l’environnement dans lequel votre portail s’exécute soit également sécurisé. Vous pouvez appliquer plusieurs pratiques conseillées pour bénéficier d’un niveau de sécurité optimal.
Restreindre la capacité de proxy du portail
Le portail est utilisé comme serveur proxy dans plusieurs scénarios. Ainsi, la capacité de proxy du portail peut être détournée pour lancer des attaques de déni de service ou de fausse requête côté serveur contre tout ordinateur auquel la machine du portail peut accéder. Afin de réduire cette vulnérabilité potentielle, il est fortement recommandé de restreindre la capacité de proxy du portail à des adresses web approuvées. Pour obtenir davantage d'informations et des instructions complètes, reportez-vous à la section Restriction de la capacité de proxy du portail.
Désactiver l'accès anonyme
Pour empêcher un utilisateur d'accéder à du contenu sans fournir au préalable des informations d'identification au portail, nous vous recommandons de configurer votre portail de manière à désactiver l'accès anonyme. Cela permet de vous assurer qu'un utilisateur public ne pourra pas accéder aux ressources contenues sur votre portail.
Pour savoir comment désactiver l’accès anonyme sur votre portail ArcGIS Enterprise, reportez-vous à la rubrique Désactivation de l’accès anonyme. Si vous utilisez l’authentification au niveau du Web (c’est-à-dire si l’authentification s’effectue via ArcGIS Web Adaptor), vous devez également désactiver l’accès anonyme sur votre serveur Web. Pour savoir comment procéder, reportez-vous à la documentation produit de votre serveur Web.
Configurer les certificats de serveur signés par une autorité de certification.
Le portail ArcGIS Enterprise est préconfiguré avec un certificat de serveur auto signé, ce qui permet de tester initialement le portail et de vérifier rapidement votre installation. Cependant, dans presque tous les cas, une organisation doit demander un certificat auprès d'une autorité de certification fiable, et configurer le portail pour qu'il l'utilise. Le certificat peut être signé par une autorité de certification de l'entreprise (interne) ou commerciale.
Vous devez configurer chaque composant ArcGIS applicable dans votre organisation avec un certificat émanant d'une autorité de certification de l'entreprise ou commerciale. Les exemples courants incluent ArcGIS Web Adaptor et ArcGIS Server. Par exemple, ArcGIS Server est livré également avec un certificat auto-signé préconfiguré. Si vous comptez fédérer un site ArcGIS Server avec votre portail, il est important de demander un certificat SSL auto-signé et de configurer le serveur et Web Adaptor pour qu’ils l’utilisent.
La configuration d’un certificat émanant d’une autorité fiable est une pratique sûre pour les systèmes basés sur le web, qui prévient également l’émission d’avertissements du navigateur ou tout autre comportement inattendu. Si vous choisissez d’utiliser le certificat auto-signé inclus avec ArcGIS Enterprise lors du test, vous vous trouverez dans les cas de figure suivants :
- Avertissements du navigateur web, de ArcGIS Desktop ou de ArcGIS Pro concernant le manque de fiabilité du site. Lorsqu'un navigateur Web rencontre un certificat auto-signé, il affiche généralement un avertissement et vous demande de confirmer votre souhait d'accéder au site. De nombreux navigateurs affichent des icônes d’avertissement ou une couleur rouge dans la barre d’adresse tant que vous utilisez le certificat auto-signé.
- Impossibilité d’ouvrir un service fédéré dans le Map Viewer du portail, d’ajouter un élément de service sécurisé au portail, de se connecter à ArcGIS Server Manager sur un serveur fédéré et de se connecter au portail à partir de ArcGIS Maps for Office.
- Comportement inattendu en cas de configuration de services utilitaires, d'impression de services hébergés et d'accès au portail à partir d'applications clientes.
Attention :
La liste ci-dessus des problèmes que vous risquez de rencontrer avec un certificat auto-signé n'est pas exhaustive. Il est impératif d'utiliser un certificat signé par une autorité de certification pour tester et déployer entièrement votre portail.
Pour savoir comment configurer ArcGIS Enterprise avec un certificat signé par une autorité de certification, reportez-vous aux rubriques suivantes :
Configurer HTTPS
Lors de la configuration initiale de votre déploiement ArcGIS Enterprise, le nom d’utilisateur et le mot de passe sont envoyés à l’aide du protocole HTTPS chaque fois que vous êtes invité à saisir vos identifiants de connexion. Cela signifie que vos identifiants de connexion transmis sur un réseau interne ou sur Internet sont chiffrées et ne peuvent pas être interceptées. Par défaut, toutes les communications au sein de votre portail sont effectuées via HTTPS. Afin d’empêcher l’interception de communications, nous vous recommandons de configurer votre serveur Web hébergeant ArcGIS Web Adaptor pour qu’il force également l’exécution en HTTPS.
L’instauration exclusive de liaisons HTTPS permet de sécuriser toutes les communications extérieures à votre portail Enterprise (telles que les services ArcGIS Server et Open Geospatial Consortium (OGC)). Votre portail accédera au contenu web à condition que HTTPS soit disponible. Sinon, le contenu externe sera bloqué.
Cependant, il peut être utile, dans certains cas, d’activer à la fois les communications HTTP et HTTPS au sein de votre portail. Pour savoir comment mettre en place HTTP et HTTPS pour toutes les communications dans ArcGIS Enterprise, reportez-vous à la rubrique Configuration de HTTPS.
Utiliser un compte de service administré de groupe
Pour l’installation du portail, il est recommandé d’utiliser un gMSA (group Managed Service Account, compte de service administré de groupe) comme compte d’exécution du service de portail. L’utilisation d’un gMSA permet d’allier les avantages d’un compte de domaine Active Director à la sécurisation du compte par des mises à jour périodiques des mots de passe.
En savoir plus sur les comptes de service administrés de groupe
Désactiver le répertoire du portail ArcGIS
Vous pouvez désactiver le répertoire du portail ArcGIS pour limiter le risque que vos éléments, services, cartes Web, groupes et autres ressources contenues sur le portail soient explorés, repérés dans une recherche Web ou interrogés via des formulaires HTML. En désactivant le répertoire Portal for ArcGIS, vous renforcez la protection contre les attaques par exécution de scripts de site à site (XSS).
La décision de désactiver le répertoire Portal for ArcGIS dépend de la fonction de votre portail et du degré de fréquentation de votre site par les utilisateurs et les développeurs. Si vous désactivez le répertoire Portal for ArcGIS, vous devrez sans doute au préalable créer d'autres listes ou métadonnées sur les éléments disponibles sur votre portail.
Pour en savoir plus, reportez-vous à la rubrique Désactiver le répertoire Portal for ArcGIS.
Configurer votre pare-feu à utiliser avec le portail
Chaque ordinateur possède des milliers de ports par l’intermédiaire desquels d’autres ordinateurs peuvent envoyer des informations. Un pare-feu est un dispositif de sécurité qui limite le nombre de ports sur votre machine par l’intermédiaire desquels d’autres ordinateurs peuvent communiquer. Lorsque vous utilisez un pare-feu pour limiter la communication à un nombre réduit de ports, vous pouvez surveiller de près ces ports pour empêcher toute attaque.
Le portail ArcGIS Enterprise utilise certains ports pour communiquer, tels que 7005, 7080, 7099, 7443 et 7654. En tant que pratique conseillée de sécurité, il vous est recommandé d'ouvrir votre pare-feu de manière à autoriser les communications sur ces ports. Dans le cas contraire, votre port peut ne pas fonctionner correctement. Pour en savoir plus, reportez-vous à la rubrique Ports utilisés par Portal for ArcGIS.
Indiquer le délai d’expiration du jeton
Un jeton est une chaîne d'informations chiffrées qui contient le nom de l'utilisateur, le délai d'expiration du jeton et d'autres informations propriétaires. Lorsqu'un jeton est remis au membre, ce dernier peut accéder au portail jusqu'à l'expiration du jeton. A l'expiration, le membre doit de nouveau fournir son nom d'utilisateur et son mot de passe.
Chaque fois que vous générez un nouveau jeton lorsque vous utilisez ArcGIS Enterprise, vous devez indiquer un délai d’expiration. Si vous ne le faites pas, une valeur d’expiration par défaut est utilisée.
Il existe trois types de jetons employés dans le portail : les jetons ArcGIS, les jetons access OAuth et les jetons refresh OAuth. À chaque type de jeton correspond une valeur d’expiration par défaut .
Il n’est pas possible d’augmenter ces valeurs par défaut. Vous ne pouvez que les diminuer en définissant la propriété maxTokenExpirationMinutes d’ArcGIS Portal Administrator Directory sur une valeur inférieure à la valeur par défaut. Même si ces valeurs sont susceptibles de convenir à votre organisation, il est essentiel de prendre en compte les implications sous-jacentes de sécurité liées au jeton. Un jeton doté d’un délai d’expiration plus long est moins sécurisé. Par exemple, un jeton intercepté par un utilisateur malveillant peut être utilisé jusqu'à l'expiration du jeton. À l’inverse, un délai d’expiration plus court offre une plus grande sécurité mais s’avère moins pratique dans la mesure où les membres doivent saisir leur nom d’utilisateur et leur mot de passe plus fréquemment.
Pour modifier le délai d'expiration du jeton par défaut, suivez la procédure de la section Indiquer le délai d'expiration du jeton par défaut.
Restreindre les autorisations d'accès aux fichiers
Il est conseillé de définir les autorisations d’accès aux fichiers de telle sorte que seul l’accès nécessaire soit accordé au répertoire d’installation de Portal for ArcGIS et au répertoire de contenu. Le compte Portal for ArcGIS est le seul auquel le logiciel Portal for ArcGIS doit obligatoirement avoir accès. Il s'agit, en effet, du compte utilisé pour l'exécution du logiciel. Votre organisation peut exiger que l'accès à d'autres comptes soit également accordé. N’oubliez pas que le compte du portail doit disposer d’un accès total au répertoire d’installation et aux répertoires de contenu pour que votre site fonctionne correctement.
Portal for ArcGIS hérite des autorisations d'accès aux fichiers du dossier parent dans lequel il est installé. De plus, il accorde l’autorisation d’accès au compte du portail, de telle sorte qu’il puisse accéder au répertoire où il réside. Les fichiers créés lors de l'exécution du portail héritent des autorisations du dossier parent. Si vous souhaitez sécuriser le répertoire de contenu, définissez des autorisations limitées sur le dossier parent.
Tout compte disposant d’un accès en écriture au répertoire de contenu peut changer les paramètres du portail qui, normalement, ne peuvent être modifiés que par un administrateur du système. Si un magasin de sécurité intégré est utilisé pour gérer des utilisateurs, le répertoire de contenu contient les mots de passe chiffrés qui leur sont associés. Dans ce cas, l’accès en lecture au répertoire de contenu doit également être limité.
Vous avez un commentaire à formuler concernant cette rubrique ?