Lorsque vous sécurisez votre organisation ArcGIS Enterprise, il est essentiel que l’environnement dans lequel elle s’exécute soit également sécurisé. Vous pouvez appliquer plusieurs pratiques conseillées pour bénéficier d’un niveau de sécurité optimal.
Configurer les paramètres de courrier électronique
Vous pouvez configurer votre organisation pour qu’elle envoie des notifications par courrier électronique aux membres et aux administrateurs en cas d’oubli de mot de passe, de stratégie de mise à jour du mot de passe, etc. Passez en revue la rubrique Paramètres relatifs au courrier électronique pour en savoir plus sur la procédure et les renseignements détaillés.
Restreindre la capacité de proxy du portail
Le portail est utilisé comme serveur proxy dans plusieurs scénarios. Ainsi, la capacité de proxy du portail peut être détournée pour lancer des attaques de déni de service ou de fausse requête côté serveur contre tout ordinateur auquel la machine du portail peut accéder. Afin de réduire cette vulnérabilité potentielle, il est fortement recommandé de restreindre la capacité de proxy du portail à des adresses web approuvées. Pour obtenir davantage d’informations et des instructions complètes, reportez-vous à la section Restreindre la capacité de proxy du portail.
Désactiver l'accès anonyme
Pour empêcher un utilisateur d'accéder à du contenu sans fournir au préalable des informations d'identification au portail, nous vous recommandons de configurer votre portail de manière à désactiver l'accès anonyme. Cela permet de vous assurer qu'un utilisateur public ne pourra pas accéder aux ressources contenues sur votre portail.
Pour savoir comment désactiver l’accès anonyme sur votre portail ArcGIS Enterprise, reportez-vous à la rubrique Désactiver l’accès anonyme. Si vous utilisez l’authentification au niveau du Web (c’est-à-dire si l’authentification s’effectue via ArcGIS Web Adaptor), vous devez également désactiver l’accès anonyme sur votre serveur Web. Pour savoir comment procéder, reportez-vous à la documentation produit de votre serveur Web.
Configurer les certificats de serveur signés par une autorité de certification.
ArcGIS Enterprise est préconfiguré avec un certificat de serveur auto signé, ce qui permet de tester initialement le portail et de vérifier rapidement votre installation. Cependant, dans presque tous les cas, une organisation doit demander un certificat auprès d'une autorité de certification fiable, et configurer le portail pour qu'il l'utilise. Le certificat peut être signé par une autorité de certification de l'entreprise (interne) ou commerciale.
Vous devez configurer chaque composant ArcGIS applicable dans votre organisation avec un certificat émanant d’une autorité de certification d’entreprise ou commerciale. ArcGIS Web Adaptor et ArcGIS Server sont des exemples courants. Par exemple, ArcGIS Server est livré avec un certificat auto-signé préconfiguré. Si vous comptez fédérer un site ArcGIS Server avec votre portail, il est important de demander un certificat signé par une autorité de certification et de configurer le serveur et Web Adaptor pour qu’ils l’utilisent.
La configuration d’un certificat émanant d’une autorité fiable est une pratique sûre pour les systèmes basés sur le web, qui prévient également l’émission d’avertissements du navigateur ou tout autre comportement inattendu. Si vous décidez d’utiliser le certificat auto-signé inclus avec ArcGIS Enterprise lors du test, vous vous trouverez dans les cas de figure suivants :
- Avertissements du navigateur Web ou de ArcGIS Pro concernant le manque de fiabilité du site. Lorsqu’un navigateur Web décèle un certificat auto-signé, il affiche généralement un avertissement et vous demande de confirmer votre souhait d’accéder au site. De nombreux navigateurs affichent des icônes d’avertissement ou une couleur rouge dans la barre d’adresse tant que vous utilisez le certificat auto-signé.
- Impossibilité d’ouvrir un service fédéré dans Map Viewer ou Map Viewer Classic dans le portail, d’ajouter un élément de service sécurisé au portail, de se connecter à ArcGIS Server Manager sur un serveur fédéré, ou de se connecter au portail à partir de ArcGIS for Office.
- Comportement inattendu en cas de configuration de services utilitaires, d'impression de services hébergés et d'accès au portail à partir d'applications clientes.
Attention :
La liste ci-dessus des problèmes que vous risquez de rencontrer avec un certificat auto-signé n'est pas exhaustive. Il est impératif d'utiliser un certificat signé par une autorité de certification pour tester et déployer entièrement votre portail.
Pour savoir comment configurer ArcGIS Enterprise avec un certificat signé par une autorité de certification, reportez-vous aux rubriques suivantes :
Configurer HTTPS
Lors de la configuration initiale de votre déploiement ArcGIS Enterprise, le nom d’utilisateur et le mot de passe sont envoyés via le protocole HTTPS chaque fois que vous êtes invité à saisir vos identifiants de connexion. Cela signifie que vos identifiants de connexion transmis sur un réseau interne ou sur Internet sont chiffrées et ne peuvent pas être interceptées. Par défaut, toutes les communications au sein de votre portail sont effectuées via HTTPS. Afin d’empêcher l’interception de toute communication, nous vous recommandons de configurer votre serveur Web hébergeant ArcGIS Web Adaptor d’appliquer également le protocole HTTPS.
L’instauration exclusive de liaisons HTTPS permet de sécuriser toutes les communications extérieures à votre portail Enterprise (telles que les services ArcGIS Server et Open Geospatial Consortium [OGC]). Votre portail accédera au contenu Web externe à condition que HTTPS soit disponible. Sinon, le contenu externe sera bloqué.
Cependant, il peut être utile, dans certains cas, d’activer à la fois les communications HTTP et HTTPS au sein de votre portail. Pour savoir comment mettre en place HTTP et HTTPS pour toutes les communications dans ArcGIS Enterprise, reportez-vous à la rubrique Configurer HTTPS.
Utiliser un compte de service administré de groupe
Pour l’installation du portail, il est recommandé d’utiliser un gMSA (group Managed Service Account, compte de service administré de groupe) comme compte d’exécution du service de portail. L’utilisation d’un gMSA permet d’allier les avantages d’un compte de domaine Active Director à la sécurisation du compte par des mises à jour périodiques des mots de passe.
En savoir plus sur les comptes de service administrés de groupe
Désactiver le répertoire du portail ArcGIS
Vous pouvez désactiver le répertoire du portail ArcGIS pour limiter le risque que vos éléments, services, cartes Web, groupes et autres ressources contenues sur le portail soient explorés, repérés dans une recherche Web ou interrogés via des formulaires HTML. En désactivant le répertoire Portal for ArcGIS, vous renforcez la protection contre les attaques par exécution de scripts de site à site (XSS).
La décision de désactiver le répertoire Portal for ArcGIS dépend de la fonction de votre portail et du degré de fréquentation de votre site par les utilisateurs et les développeurs. Si vous désactivez le répertoire Portal for ArcGIS, vous devrez sans doute au préalable créer d'autres listes ou métadonnées sur les éléments disponibles sur votre portail.
Pour en savoir plus, reportez-vous à la rubrique Désactiver le répertoire Portal for ArcGIS.
Configurer votre pare-feu à utiliser avec le portail
Chaque ordinateur possède des milliers de ports par l’intermédiaire desquels d’autres ordinateurs peuvent envoyer des informations. Un pare-feu est un dispositif de sécurité qui limite le nombre de ports sur votre machine par l’intermédiaire desquels d’autres ordinateurs peuvent communiquer. Lorsque vous utilisez un pare-feu pour limiter la communication à un nombre réduit de ports, vous pouvez surveiller de près ces ports pour empêcher toute attaque.
Le portail ArcGIS Enterprise utilise certains ports pour communiquer, tels que les ports 7005, 7080, 7099, 7443 et 7654. La pratique conseillée en matière de sécurité recommande d’ouvrir votre pare-feu de manière à autoriser les communications sur ces ports. Autrement, votre port risquerait de ne pas fonctionner correctement. Pour en savoir plus, reportez-vous à la rubrique Ports utilisés par Portal for ArcGIS.
Indiquer le délai d’expiration du jeton
Un jeton est une chaîne d'informations chiffrées qui contient le nom de l'utilisateur, le délai d'expiration du jeton et d'autres informations propriétaires. Lorsqu'un jeton est remis au membre, ce dernier peut accéder au portail jusqu'à l'expiration du jeton. A l'expiration, le membre doit de nouveau fournir son nom d'utilisateur et son mot de passe.
Chaque fois que vous générez un nouveau jeton au cours de l’utilisation de ArcGIS Enterprise, vous devriez indiquer un délai d’expiration. Si vous ne le faites pas, une valeur d’expiration par défaut est utilisée.
Il existe trois types de jetons employés dans le portail : les jetons ArcGIS, les jetons access OAuth et les jetons refresh OAuth. À chaque type de jeton correspond une valeur d’expiration par défaut .
Il n’est pas possible d’augmenter ces valeurs maximum et par défaut. Vous pouvez les diminuer en définissant la propriété maxTokenExpirationMinutes dans leArcGIS Portal Administrator Directory. La valeur pour la propriété maxTokenExpirationMinutes s’applique à chaque type de jeton. Si cette valeur est inférieure à la valeur maximum mais supérieure à la valeur par défaut, seule la valeur maximum sera impactée et la valeur par défaut restera identique. Si la valeur est inférieure à la fois aux valeurs maximum et par défaut, les deux valeurs seront affectées et les valeurs maximum et par défaut correspondront à celles définies dans maxTokenExpirationMinutes.
Pour modifier le délai d'expiration du jeton par défaut, suivez la procédure de la section Indiquer le délai d'expiration du jeton par défaut.
Restreindre les autorisations d'accès aux fichiers
Il est conseillé de définir les autorisations d’accès aux fichiers de telle sorte que seul l’accès nécessaire soit accordé au répertoire d’installation de Portal for ArcGIS et au répertoire de contenu. Le compte Portal for ArcGIS est le seul auquel le logiciel Portal for ArcGIS doit obligatoirement avoir accès. Il s'agit, en effet, du compte utilisé pour l'exécution du logiciel. Votre organisation peut exiger que l'accès à d'autres comptes soit également accordé. N’oubliez pas que le compte du portail doit disposer d’un accès total au répertoire d’installation et aux répertoires de contenu pour que votre site fonctionne correctement.
Portal for ArcGIS hérite des autorisations d’accès aux fichiers du dossier parent dans lequel il est installé. De plus, il accorde l’autorisation d’accès au compte du portail, de telle sorte qu’il puisse accéder au répertoire où il réside. Les fichiers créés lors de l'exécution du portail héritent des autorisations du dossier parent. Si vous souhaitez sécuriser le répertoire de contenu, définissez des autorisations limitées sur le dossier parent.
Tout compte disposant d’un accès en écriture au répertoire de contenu peut changer les paramètres du portail qui, normalement, ne peuvent être modifiés que par un administrateur du système. Si un magasin de sécurité intégré est utilisé pour gérer des utilisateurs, le répertoire de contenu contient les mots de passe chiffrés qui leur sont associés. Dans ce cas, l’accès en lecture au répertoire de contenu doit également être limité.
Vous avez un commentaire à formuler concernant cette rubrique ?