Skip To Content

Rechercher les pratiques conseillées en matière de sécurité sur votre portail

Portal for ArcGIS inclut un outil de script Python, portalScan.py, qui recherche les problèmes de sécurité les plus fréquents. L'outil recherche les problèmes en fonction de certaines pratiques conseillées en matière de configuration d'un environnement sécurisé pour votre portail. Il analyse de nombreux critères ou propriétés de configuration et les divise en trois niveaux de gravité : critique, important et recommandé. Les descriptions de ces critères sont les suivantes :

IDGravitéPropriétéDescription

PS01

Critique

Restrictions de proxy

Détermine si la capacité de proxy du portail est restreinte. Par défaut, le serveur proxy du portail est ouvert à n'importe quelle URL. Afin de réduire les risques liés aux attaques par déni de service ou de fausse requête côté serveur, il est recommandé de restreindre la capacité de proxy du portail aux adresses Web approuvées.

PS02

Critique

Demandes de jetons

Détermine si les demandes de jetons générées avec des informations d’identification dans le paramètre de requête sont prises en charge. Si ces demandes sont prises en charge, lors de la génération de jetons, les informations d'identification d'un utilisateur peuvent être indiquées dans l'URL et peuvent être affichées via l'historique du navigateur ou dans des journaux réseau. Il est conseillé de désactiver cette fonction sauf si elle est requise par d’autres applications.

PS03

Important

Répertoire des services du portail

Détermine si le répertoire des services du portail est accessible via un navigateur Web. Cette fonctionnalité doit être désactivée pour limiter le risque que vos éléments, services, cartes Web, groupes et autres ressources contenues sur le portail soient explorés, repérés dans une recherche Web ou interrogés via des formulaires HTML.

PS04

Important

Communication sécurisée

Détermine si le portail communique via HTTPS uniquement. Afin d'empêcher l'interception de communications au sein du portail, nous vous recommandons de configurer votre portail et le serveur Web hébergeant l'adaptateur Web pour la mise en place de SSL.

PS05

Recommandé

Connexion à un compte intégré

Détermine si les utilisateurs peuvent cliquer sur le bouton Create An Account (Créer un compte) sur la page de connexion du portail pour créer un compte de portail intégré. Si vous utilisez des comptes d’organisation ou souhaitez créer tous les comptes manuellement, désactivez cette option.

PS06

Recommandé

Accès anonyme

Détermine si l’accès anonyme est autorisé. Pour empêcher un utilisateur d'accéder à du contenu sans fournir au préalable des informations d'identification au portail, nous vous recommandons de configurer votre portail de manière à désactiver l'accès anonyme.

PS07

Recommandé

Magasin d’identités LDAP

Si le portail est configuré avec un magasin d’identifiants LDAP, cela détermine si la communication chiffrée est utilisée. Il est recommandé d’utiliser LDAPS dans les propriétés ldapURLForUsers et ldapURLForRoles répertoriées dans les paramètres de configuration du magasin d’utilisateurs et du magasin de groupes.

PS08

Recommandé

Certificat SSL du portail

Détermine si un certificat auto-signé est utilisé par le portail. Pour réduire les avertissements du navigateur Web ou tout autre comportement inattendu de la part de clients qui communiquent avec le portail, il est recommandé d’importer et d’utiliser un certificat SSL signé par une autorité de certification lié au port 7443.

PS09

Recommandé

Requêtes entre domaines

Détermine si les requêtes entre domaines (CORS) sont restreintes. Pour réduire la probabilité qu’une application inconnue accède à un élément de portail partagé, il est recommandé de restreindre les requêtes entre domaines aux applications hébergées uniquement dans des domaines approuvés.

PS10

Critique

URL administrative de serveur fédéré

Détermine si l’URL d’administrateur de votre serveur fédéré est accessible par le portail et si le certificat SSL utilisé dans cette URL est approuvé. Si l’URL est inaccessible ou si le certificat n’est pas approuvé, plusieurs fonctions et opérations du portail échoueront.

PS11

Recommandé

URL de services de serveur fédéré

Détermine si l’URL des services de votre serveur fédéré est accessible par le portail et si le certificat SSL utilisé dans cette URL est approuvé. Si l’URL est inaccessible ou si le certificat n’est pas approuvé, le portail fonctionnera toujours mais certaines opérations du portail échoueront.

PS12

Recommandé

Contenu public

Si le portail est configuré de sorte que les membres ne puissent pas partager le contenu publiquement, les éléments qui sont toujours partagés avec Everyone (Tout le monde) sont répertoriés.

PS13

Important

Paramètres de configuration SAML

Si le portail est configuré pour utiliser l’authentification SAML, cela détermine si les assertions chiffrées et des demandes signées sont activées. Si le fournisseur d’identité le permet, il est recommandé que vous configuriez le portail pour exiger des assertions chiffrées et des demandes signées.

PS14

Important

Statut du service d’impression par défaut

En général, le service d’impression qui est configuré par défaut sur le portail est remplacé une fois qu’un serveur ArcGIS Server a été fédéré. Il est recommandé de désactiver le service d’impression par défaut s’il n’est pas utilisé.

PS15

Recommandé

Statut du service de légende

Le service de légende est utilisé par le portail pour extraire des icônes de légende depuis d’anciens services de carte et d’entités (via SOAP). À moins que les anciens services ne prennent pas en charge l’extraction de la légende via REST, il est recommandé de désactiver ce service.

PS16

Recommandé

Statut du service RSS

Le service RSS est utilisé par le portail pour communiquer avec les flux GeoRSS. Si aucun flux GeoRSS n’est utilisé par le biais d’une carte Web sur le portail, il est recommandé de désactiver ce service.

PS17

Recommandé

Statut du service KML

Le service KML est utilisé par le portail pour communiquer avec des points de terminaison KML. Si aucun point de terminaison KML n’est utilisé par le biais d’une carte Web sur le portail, il est recommandé de désactiver ce service.

Le script portalScan.py est dans le répertoire <Portal for ArcGIS installation location>/tools/security. Exécutez le script à partir du shell avec portalScan Bash, qui est dans le même répertoire. Vous avez la possibilité de spécifier un ou plusieurs paramètres lors de l’exécution du script.

paramètres portalScan.py

Le tableau suivant décrit les paramètres portalScan.py :

ParamètreDescription

-n

Le nom de domaine complet de la machine sur laquelle Portal for ArcGIS est installé (en d’autres termes, gisportal.domain.com). La valeur par défaut est le nom d’hôte de la machine sur laquelle le script est exécuté.

-u

Le nom d'utilisateur d'un compte d'administrateur.

-p

Le mot de passe d'un compte d'administrateur.

-o

Le répertoire dans lequel le rapport d'analyse de sécurité sera enregistré. Le répertoire par défaut est le dossier dans lequel vous exécutez le script.

-t

Un jeton peut être généré et utilisé à la place du nom d'utilisateur et du mot de passe. Lorsque vous générez un jeton, portalScan doit être saisi dans le champ Webapp URL. Lorsqu'un jeton est fourni, il remplace le nom d'utilisateur ou le mot de passe indiqué.

--ignoressl

Désactivez la vérification du certificat SSL. À partir de la version 10.7.1, le script essaiera par défaut de vérifier tous les certificats SSL. Si Python ne juge pas l’émetteur des certificats digne de confiance, le script échoue. Si besoin, le paramètre peut être défini de manière à ignorer tous les certificats.

-h ou -?

Génère une liste de paramètres qui peuvent être spécifiés lors de l'exécution du script.

Exemple (avec le fichier en sortie enregistré dans le répertoire d’accueil de l’utilisateur) :

./portalScan -n portal.domain.com -u admin -p my.password -o ~

Si le script portalScan est exécuté sans spécifier de paramètres, vous êtes invité à les saisir manuellement ou à sélectionner la valeur par défaut. Si vous avez l’intention d’utiliser un jeton, il doit être fourni en tant que paramètre lors de l’exécution du script.

L'analyse génère un rapport au format HTML qui dresse la liste des problèmes ci-dessus qui ont été détectés dans le portail spécifié.

Par défaut, le rapport est enregistré dans le dossier dans lequel vous exécutez le script et se nomme portalScanReport_[hostname]_[date].html.


Dans cette rubrique
  1. paramètres portalScan.py