En tant que membre ou administrateur par défaut doté des privilèges appropriés, vous déterminez si HTTPS est requis pour toutes les transactions et si l’accès anonyme à votre portail est autorisé. Vous pouvez également configurer les paramètres de sécurité pour le partage et la recherche, les stratégies de mot de passe, les options de connexion, les avis de connexion, les bannières d’information et les serveurs de confiance, et configurer une liste de portails avec lesquels vous souhaitez partager du contenu sécurisé.
Astuce :
Pour avoir davantage d’informations sur la sécurité, la confidentialité et la conformité, visitez le site web ArcGIS Trust Center.
- Assurez-vous d’être connecté en tant qu’administrateur par défaut ou en tant que membre d’un rôle personnalisé dont les privilèges administratifs de gestion de la sécurité et de l’infrastructure sont activés.
- En haut du site, cliquez sur Organization (Organisation), puis sur l’onglet Settings (Paramètres).
- Cliquez sur Sécurité dans la partie gauche de la page.
- Configurez les paramètres de sécurité suivants :
- Access and permissions (Accès et autorisations)
- Password policy (Stratégie de mot de passe)
- Logins (Identifiants de connexion)
- Access notice (Notification de connexion)
- Information banner (Bannière d’informations)
- Trusted servers (Serveurs approuvés)
- Allow origins (Autoriser les origines)
- Allow portal access (Autoriser l’accès au portail)
Accès et autorisations
Modifiez les paramètres de stratégie suivants si nécessaires :
- Allow access to the organization through HTTPS only (Autoriser l’accès à l’organisation via HTTPS uniquement) : par défaut, Portal for ArcGIS utilise uniquement les communications HTTPS pour s’assurer que les données de votre organisation, ainsi que tous les jetons d’identification temporaires qui permettent d’accéder à vos données, soient chiffrés durant les communications via Internet. Désactivez ce bouton si vous souhaitez autoriser à la fois des communications HTTP et HTTPS. La modification de ce paramètre risque d’affecter les performances du site.
Allow anonymous access to your organization (Autoriser l’accès anonyme à votre organisation) : activez cette option pour autoriser les utilisateurs anonymes à accéder au site Web de votre organisation. Si cette option n’est pas activée, l’accès anonyme est désactivé et les utilisateurs anonymes ne peuvent pas accéder au site Web. Ils ne peuvent pas non plus consulter vos cartes avec Bing Maps (si votre organisation est configurée pour Bing Maps). Si vous activez l’accès anonyme, vérifiez que les groupes sélectionnés pour les groupes de configuration de site sont partagés avec le public. Sinon, il est possible que des utilisateurs anonymes ne parviennent pas à afficher ou à accéder correctement au contenu public de ces groupes.
- Allow members to edit biographical information and who can see their profile (Autorisez les membres à modifier des informations biographiques et à décider qui peut accéder à leur profil) : activez cette option pour permettre aux membres de modifier les informations biographiques de leur profil et de spécifier les personnes y ayant accès.
- Allow users to create new built-in accounts (Autorisez les utilisateurs à créer de nouveaux comptes intégrés) : activez cette option pour permettre aux utilisateurs de créer un compte de portail intégré depuis la page de connexion au portail. Désactivez-la si vous utilisez des comptes d’entreprise ou souhaitez créer tous les comptes manuellement.
Partage et recherche
Modifiez les paramètres de partage et recherche suivants, si nécessaire :
Members can share content publicly (Les membres peuvent partager du contenu publiquement) : activez cette option pour permettre aux membres de rendre leur profil visible à tout le monde (public), de partager leurs applications Web et d’autres éléments avec d’autres organisations ou le public, ou même d’intégrer leurs cartes ou leurs groupes dans des sites Web.
- Show social media links on item and group pages (Affichez les liens vers les réseaux sociaux sur les pages des éléments ou des groupes) : activez cette option pour inclure des liens vers Facebook et Twitter sur des pages d’éléments et de groupes.
Stratégie de mot de passe
Lorsqu'ils changent leur mot de passe, les membres doivent respecter la stratégie de mot de passe de l'organisation. Dans le cas contraire, un message détaillant la stratégie s'affiche. La stratégie de mot de passe de l'organisation ne concerne pas les identifiants de connexion de l'entreprise ni les informations d'identification des applications qui utilisent des ID et des clés secrètes pour l'application.
Cliquez sur Manage password policy (Gérer la stratégie de mot de passe) afin de configurer la longueur, la complexité et l’historique des mots de passe des membres détenteurs de comptes intégrés. Vous pouvez spécifier le nombre de caractères et indiquer si le mot de passe doit contenir au moins une occurrence des éléments suivants : lettre majuscule, lettre minuscule, chiffre ou caractère spécial. Vous pouvez également configurer le nombre de jours avant expiration du mot de passe et le nombre de mots de passe antérieurs que le membre ne peut pas réutiliser. Les mots de passe respectent la casse ; ils ne peuvent pas être identiques au nom d'utilisateur. Cliquez sur Use portal defaults (Utiliser les paramètres par défaut du portail) pour que l’organisation utilise la stratégie de mot de passe Portal for ArcGIS standard (au moins huit caractères, dont au moins une lettre et un chiffre, sans espace).
Remarque :
Les mots de passe faibles ne peuvent pas être acceptés. Un mot de passe est considéré comme faible s’il s’agit d’un mot de passe couramment utilisé, tel que modepasse1, ou s’il comprend des caractères répétitifs ou séquentiels, par exemple, aaaabbbb ou 1234abcd.
Remarque :
Avec la version 10.8.1, si les paramètres de courrier électronique sont configurés dans votre organisation, une notification automatique par courrier électronique sera envoyée à vos contacts administratifs lorsque la politique de mot de passe change. Si aucun contact administratif n’est défini, le compte d’administrateur le plus ancien de l’organisation ou le compte d’administrateur initial recevra la notification par courrier électronique.
Connexions
Utilisez le bouton Set enterprise login (Configurer un identifiant de connexion d’entreprise) pour configurer un fournisseur d’identités compatible avec SAML avec votre portail si vous voulez que les membres se connectent au portail avec les mêmes identifiants de connexion que ceux qu’ils utilisent pour accéder aux systèmes de votre entreprise.
Si vous configurez un fournisseur d’identités compatible avec SAML avec votre portail, une section Sign in options (Options de connexion) permettant de configurer les options apparaissant sur la page de connexion du portail s’affiche. Activez les boutons à bascule correspondant aux options à afficher. Par exemple, si vous voulez que tous les membres se connectent uniquement avec leur identifiant pour le fournisseur d’identités compatible avec SAML, désactivez la seconde option. Si les connexions d’entreprise ne sont pas activées pour l’organisation, la section Sign in options (Options de connexion) n’est pas affichée.
Avis de connexion
Vous pouvez configurer et afficher une notification de conditions à l’attention des utilisateurs qui accèdent à votre site.
Vous pouvez configurer une notification de connexion à l’attention des membres de l’organisation ou de tous les utilisateurs qui accèdent à votre organisation, ou des deux. Si vous définissez une notification de connexion pour les membres de l’organisation, la notification s’affiche une fois les membres connectés. Si vous définissez une notification de connexion pour tous les utilisateurs, la notification s’affiche dès qu’un utilisateur accède au site. Si vous définissez les deux notifications de connexion, les membres de l’organisation verront les deux notifications.
Pour configurer une notification de connexion pour les membres de l’organisation ou tous les utilisateurs, cliquez sur Set access notice (Définir la notification de connexion) dans la section appropriée, activez le bouton permettant d’afficher la notification de connexion et entrez le titre et le texte de la note. Sélectionnez l’option ACCEPT and DECLINE (ACCEPTER ou REFUSER) si vous voulez que les utilisateurs acceptent la notification de connexion avant de naviguer sur le site ou sélectionnez OK only (OK uniquement) si vous voulez que les utilisateurs cliquent simplement sur OK pour continuer. Cliquez sur Enregistrer lorsque vous avez terminé.
Pour mettre à jour l’avis de connexion pour les membres de l’organisation ou pour tous les utilisateurs, cliquez sur Edit access notice (Mettre à jour l’avis de connexion) dans la section appropriée et apportez des modifications au titre, au texte ou aux options du bouton d’action. Si vous ne souhaitez plus l’affichage de l’avis de connexion, utilisez le bouton à bascule pour désactiver l’avis de connexion. Une fois l’avis de connexion désactivé, le texte et la configuration précédemment saisis seront conservés si l’avis de connexion est réactivé ultérieurement. Cliquez sur Enregistrer lorsque vous avez terminé.
Bannière d’informations
Vous pouvez utiliser des bannières d’informations pour alerter les utilisateurs qui accèdent à votre organisation au sujet du statut et du contenu de votre site. Vous pouvez par exemple tenir les utilisateurs informés des programmes de maintenance, les alerter sur les informations classifiées et les modes de lecture seule en créant des messages personnalisés qui s’affichent en haut et en bas du site. La bannière s’affiche sur les pages Accueil, Bibliothèque, Map Viewer, Scene Viewer, Groupes, Contenu et Organisation, ainsi que sur les sites créés dans ArcGIS Enterprise Sites si l’application l’autorise.
Remarque :
Dans la version 10.8, cette bannière d’informations remplace le processus qui consiste à définir la propriété classificationBanner dans le fichier de configuration.
Pour activer la bannière d’informations de votre organisation, cliquez sur Set information banner (Définir la bannière d’informations) et activez Display information banner (Afficher la bannière d’informations). Ajoutez du texte dans le champ Banner text (Texte de bannière) et choisissez une couleur d’arrière-plan et de police. Un taux de contraste apparaît pour la couleur de texte et la couleur d’arrière-plan sélectionnées. Le taux de contraste permet de mesurer la lisibilité en fonction des normes d’accessibilité WCAG 2.1 ; pour assurer la conformité à ces normes, il est recommandé de disposer d’un taux de contraste de 4,5.
Vous pouvez afficher un aperçu de la bannière d’informations dans la fenêtre Preview (Aperçu). Cliquez sur Save (Enregistrer) pour ajouter la bannière à votre organisation.
Pour mettre à jour la bannière d’information, cliquez sur Edit information banner (Mettre à jour la bannière d’information) et apportez des modifications au texte ou au style de la bannière. Si vous ne souhaitez plus l’affichage de la bannière d’informations, utilisez le bouton à bascule pour désactiver la bannière d’informations. Une fois la bannière d’informations désactivée, le texte et la configuration précédemment saisis seront conservés si la bannière d’informations est réactivée ultérieurement. Cliquez sur Enregistrer lorsque vous avez terminé.
Serveurs approuvés
Pour Trusted servers (Serveurs approuvés), configurez la liste des serveurs approuvés auxquels vous voulez que vos clients envoient des identifiants de connexion lorsque vous formulez des requêtes CORS (Cross-Origin Resource Sharing) visant à accéder aux services sécurisés avec l’authentification au niveau du Web. Cela s'applique principalement à la mise à jour des services d'entités sécurisés à partir d'une instance ArcGIS Server autonome (non fédérée) ou à l'affichage des services OGC sécurisés. Les instances ArcGIS Server qui hébergent des services sécurisés à l'aide de la sécurité à base de jetons n'ont pas besoin d'être ajoutées à cette liste. Les serveurs ajoutés à la liste des serveurs approuvés doivent prendre CORS en charge. Les couches hébergées sur des serveurs qui ne prennent pas en charge CORS risquent de ne pas fonctionner comme prévu. ArcGIS Server prend en charge CORS par défaut dans les versions 10.1 et ultérieures. Pour configurer CORS sur des serveurs autres qu'ArcGIS, reportez-vous à la documentation du fournisseur du serveur Web.
Les noms d'hôtes doivent être saisis individuellement. Les caractères génériques ne peuvent pas être utilisés et ne sont pas acceptés. Le nom d'hôte peut être saisi avec ou sans le protocole devant. Vous pouvez par exemple saisir le nom d'hôte secure.esri.com comme suit : secure.esri.com ou https://secure.esri.com.
Remarque :
La mise à jour des services d'entités sécurisés avec l'authentification au niveau du Web nécessite un navigateur Web qui prend en charge CORS. Les dernières versions des navigateurs Firefox, Chrome, Safari et Internet Explorer prennent en charge CORS. Pour savoir si CORS est activé dans votre navigateur, ouvrez http://caniuse.com/cors.
Autoriser les origines
Par défaut, l’API REST ArcGIS est ouverte aux demandes CORS (Cross-Origin Resource Sharing) émanant des applications web de n’importe quel domaine. Si votre organisation souhaite limiter les domaines des applications web qui sont autorisés à accéder à l’API REST ArcGIS via CORS, vous devez désigner explicitement ces domaines. Par exemple, pour restreindre l’accès CORS aux applications Web sur acme.com uniquement, cliquez sur Add (Ajouter), saisissez https://acme.com dans la zone de texte et cliquez sur Add domain (Ajouter un domaine). Vous pouvez désigner jusqu’à 100 domaines approuvés pour votre organisation. Il n’est pas nécessaire de désigner arcgis.com comme domaine approuvé, car les applications exécutées sur le domaine arcgis.com sont toujours autorisées à se connecter à ArcGIS REST API.
Autoriser l’accès au portail
Configurez une liste de portails (par exemple, https://otherportal.domain.com/arcgis) avec lesquels vous souhaitez partager le contenu sécurisé. Ceci permet aux membres de votre organisation d’utiliser leurs identifiants de connexion d’entreprise (notamment les identifiants SAML) pour accéder au contenu sécurisé lorsqu'ils le consultent depuis ces portails. Les portails avec lesquels votre organisation collabore sont inclus automatiquement et n’ont pas besoin d’être ajoutés à cette liste. Ceci s'applique uniquement aux portails des versions 10.5 et ultérieures de Portal for ArcGIS. Ce paramètre n'est pas requis pour partager le contenu sécurisé avec une organisation ArcGIS Online.
Les URL des portails doivent être saisies individuellement et doivent comprendre le protocole. Les caractères génériques ne peuvent pas être utilisés et ne sont pas acceptés. Si le portail ajouté permet l’accès HTTP et HTTPS, deux URL doivent être ajoutées pour ce portail (par exemple http://otherportal.domain.com/arcgis et https://otherportal.domain.com/arcgis). Tout portail ajouté à la liste est d'abord validé et doit, par conséquent, être accessible à partir du navigateur.
Vous avez un commentaire à formuler concernant cette rubrique ?