Skip To Content

Accès aux services web ArcGIS sécurisés par jetons

Si les services web ArcGIS sont sécurisés par une authentification basée sur des jetons ArcGIS, il faut que le logiciel client puisse obtenir et utiliser des jetons. Les applications clientes Esri, comme ArcGIS Desktop, gèrent automatiquement l’acquisition des jetons auprès du service de jeton et les présentent au service Web ArcGIS sécurisé.

Lors de la création d’applications clientes ArcGIS utilisant les requêtes GET pour accéder aux services web sécurisés par l’authentification ArcGIS à base de jetons, il est recommandé d’envoyer le jeton dans l’en-tête d’autorisation X-Esri plutôt qu’en paramètre de requête. Ceci évite que les intermédiaires sur le réseau, comme les proxys, passerelles ou systèmes d’équilibrage de la charge n’accèdent au jeton. Par exemple, la requête HTTP GET ci-après envoie le jeton dans l’en-tête d’autorisation X-Esri :

GET https://arcgis.mydomain.com/arcgis/rest/services/SampleWorldCities/MapServer?f=pjson HTTP/1.1
    Host: arcgis.mydomain.com
    X-Esri-Authorization: Bearer xMTuPSYpAbj85TVfbZcVU7td8bMBlDKuSVkM3FAx7zO1MYD0zDam1VR3Cm-ZbFo-

Si le serveur ArcGIS utilise son authentification au lieu de l’authentification au niveau du Web (IWA, HTTP BASIC, PKI, etc.), il est possible d’utiliser l’en-tête d’autorisation HTTP standard au lieu de l’en-tête d’autorisation X-Esri :

GET https://arcgis.mydomain.com/arcgis/rest/services/SampleWorldCities/MapServer?f=pjson HTTP/1.1    Host: arcgis.mydomain.com
    Authorization: Bearer xMTuPSYpAbj85TVfbZcVU7td8bMBlDKuSVkM3FAx7zO1MYD0zDam1VR3Cm-ZbFo-

Le comportement des clients ArcGIS lors de la connexion à un service web ArcGIS avec une authentification basée sur des jetons est décrit ci-dessous.

  • ArcGIS Desktop (ArcMap, ArcCatalog) : L’utilisateur entre un nom valide et un mot de passe dans la boîte de dialogue pour se connecter. En l'absence de saisie de nom d'utilisateur ou de mot de passe ou si les identifiants sont incorrects, le logiciel invite l'utilisateur à saisir des informations d’identification correctes.
  • Applications JavaScript (API ArcGIS pour JavaScript et d’autres applications basées sur REST) : Le client doit fournir un jeton pour pouvoir accéder au service dont l’accès nécessite un jeton. Dans la plupart des cas, il n’est pas pertinent d’incorporer le nom d’utilisateur et le mot de passe pour le service dans le JavaScript côté client. Mais il est possible d’obtenir un jeton persistant auprès du serveur de jetons et d’inclure ce jeton dans la page côté client. Le jeton est ensuite inclus dans la demande de service. Pour savoir comment obtenir un jeton, reportez-vous à la rubrique Acquisition de jetons ArcGIS. Pour plus d'informations sur la demande de ressource avec un jeton, reportez-vous à l'aide API appropriée.
  • Applications basées sur SOAP : Les applications qui utilisent un kit d’outils SOAP pour accéder au WSDL du service Web GIS doivent acquérir et utiliser les jetons, explicitement. Reportez-vous à l'aide pour les développeurs d'ArcGIS for Server pour plus d'informations et des exemples.
  • Applications Web ArcGIS (Java ou Microsoft .NET) : L’application web utilise les identifiants de connexion entrés précédemment dans le gestionnaire d’applications Web ArcGIS ou dans l’environnement de développement.