Skip To Content

Contrôler l’accès dans ArcGIS Server

La sécurité de vos ressources SIG repose sur une authentification et une autorisation strictes et appropriées de vos utilisateurs. L’authentification est le processus visant à vérifier l’identité d’un utilisateur, tandis que le processus d’autorisation consiste à vérifier qu’un utilisateur authentifié est autorisé à accéder à la ressource demandée ou à effectuer l’opération demandée. Pour que des autorisations puissent être appliquées à des ressources et des opérations sécurisées, l’utilisateur est d’abord authentifié, puis son autorisation est vérifiée. Ces termes sont définis par votre modèle de sécurité.

Le modèle de sécurité de votre site ArcGIS Server détermine qui peut accéder aux services du site, qui peut publier, modifier et supprimer des services, et qui peut effectuer des tâches d’administration sur le site. Plusieurs modèles de sécurité sont disponibles selon la configuration de votre déploiement SIG et l’intégration du fournisseur d’identités propre à votre organisation à votre déploiement.

Utilisateurs, rôles et autorisations

Lorsqu’une ressource dans ArcGIS Server est sécurisée, seuls les utilisateurs autorisés peuvent y accéder. ArcGIS Enterprise, y compris les instances ArcGIS Server autonomes, gère l’accès à une ressource sécurisée grâce à un système de contrôle d’accès basé sur les rôles. Les trois composantes principales d’un système de ce type sont les utilisateurs, les rôles et les autorisations.

Utilisateurs

Un utilisateur est une personne ou un agent logiciel qui accède à une ressource du serveur. Un magasin d’identités est une liste d’utilisateurs pouvant effectuer des demandes de ressource. ArcGIS Server et le portail ArcGIS Enterprise possèdent des magasins d’identités intégrés. Vous pouvez également utiliser les magasins d’identités d’un fournisseur d’identités propre à l’organisation.

Rôles

Un rôle est un ensemble d’utilisateurs dotés d’un niveau d’accès spécifique. Les utilisateurs qui composent un rôle sont généralement liés par une fonction, un titre ou une autre forme de relation. Par exemple, les utilisateurs qui administrent un site ArcGIS Server peuvent être regroupés au sein d’un rôle nommé Administrator (Administration), et les utilisateurs qui ont uniquement besoin d’afficher et d’explorer des ressources SIG peuvent se voir affecter un rôle nommé Viewer (Consultation). Dans le magasin d’identités intégré de ArcGIS Server, un utilisateur peut appartenir à plusieurs rôles. Dans le magasin d’identités intégré du portail ArcGIS Enterprise, un seul rôle est accordé à un utilisateur.

Autorisations

Les autorisations accordent le droit de réaliser certaines tâches ou d’accéder à une certaine ressource. Une autorisation ne peut être affectée qu’à un rôle. Les utilisateurs individuels ne peuvent acquérir des autorisations qu’en les héritant de leurs rôles. Le contrôle d’accès basé sur des rôles garantit une application, une gestion et un contrôle efficaces des stratégies mises en œuvre au sein de l’organisation. Les autorisations sont gérées en interne par ArcGIS Server.

Modèles de sécurité disponibles

ArcGIS Server est un composant principal de la plateforme ArcGIS Enterprise, qui offre à votre organisation un système SIG Web complet. ArcGIS Server peut être déployé en tant que système autonome ou intégré avec un portail ArcGIS Enterprise par fédération.

Modèle du déploiement de base d’ArcGIS Enterprise

Le modèle de sécurité d’un site ArcGIS Server autonome est déterminé par l’administrateur du serveur. Dans un déploiement ArcGIS Enterprise fédéré, le partage et les modèles de sécurité sont déterminés par l’administrateur du portail et remplacent ceux du site de serveur.

ArcGIS Server et le portail ArcGIS Enterprise offrent des magasins d’identités et d’authentification intégrés robustes et efficaces qui sont appliqués par défaut. ArcGIS Enterprise et les sites ArcGIS Server autonomes prennent également en charge l’authentification au niveau du Web et les fournisseurs d’identités externes. Lorsqu’un tel fournisseur est configuré, l’authentification d’utilisateur est effectuée via son magasin d’identités.

Sites ArcGIS Server autonomes

ArcGIS Server utilise un modèle d’accès basé sur des rôles. Un ou plusieurs rôles, auxquels certaines autorisations ont été accordées, sont affectés aux utilisateurs.

Pour gérer ces utilisateurs et ces rôles, les sites ArcGIS Server d’une configuration autonome peuvent utiliser le magasin d’identités intégré, ainsi que plusieurs types de fournisseurs d’identités tiers. Vous pouvez modifier ces paramètres dans l’assistant Security Configuration Wizard (Assistant de configuration de la sécurité) dans ArcGIS Server Manager.

L’authentification permettant l’accès à un site ArcGIS Server autonome peut être effectuée au niveau du serveur ou du Web.

La table ci-dessous décrit les configurations du magasin d’identités prises en charge pour le type d’authentification choisi :

Méthode d’authentificationConfigurations du magasin d’identités prises en charge

Authentification ArcGIS Server

  • Utilisateurs et rôles intégrés
  • Utilisateurs dans Active Directory et rôles dans Active Directory ou dans le magasin intégré
  • Utilisateurs dans LDAP et rôles dans LDAP ou dans le magasin intégré
  • Utilisateurs dans un magasin personnalisé et rôles dans le magasin personnalisé ou intégré

Authentification au niveau du Web

Tout magasin d’identités pour lequel le serveur Web dispose d’une prise en charge intégrée ou extensible

Par exemple, si votre serveur Web dispose d’une prise en charge intégrée pour les magasins d’identités personnalisés, Active Directory et LDAP, vous pouvez utiliser l’une des configurations suivantes :

  • Utilisateurs dans Active Directory et rôles dans Active Directory ou dans le magasin intégré
  • Utilisateurs dans LDAP et rôles dans LDAP ou dans le magasin intégré
  • Utilisateurs dans un magasin personnalisé et rôles dans le magasin personnalisé ou intégré

Comme illustré dans le diagramme ci-dessous, l’authentification au niveau du serveur s’effectue entièrement dans le site du serveur, tandis que l’authentification au niveau du web repose uniquement sur le magasin d’identités externe pour la validation des identifiants de connexion de l’utilisateur.

Modèles d’authentification ArcGIS Server autonomes

Le magasin d’identités intégré est géré dans ArcGIS Server Manager quand il est configuré. Les informations relatives aux utilisateurs et aux rôles sont conservées dans l’emplacement de la configuration du serveur et seul ArcGIS Server y a accès. Les utilisateurs s’authentifient auprès du magasin d’identités grâce à des jetons, à savoir des chaînes d’informations chiffrées qui contiennent le nom de l’utilisateur, le délai d’expiration du jeton et d’autres informations propriétaires.

Il est possible de configurer de nombreux types de systèmes d’authentification au niveau du Web avec des sites ArcGIS Server autonomes. Parmi ceux-ci figurent les répertoires LDAP (Lightweight Directory Access Protocol), l’authentification du certificat client basée sur PKI (infrastructure à clé publique) et l’Authentification Windows intégrée (Integrated Windows Authentication).

Si votre site ArcGIS Server est censé rester un site autonome et que vous ne configurez pas d’authentification au niveau du Web, reportez-vous à la rubrique Configurer l’authentification au niveau du serveur.

Si vous configurez l’authentification au niveau du Web (via un répertoire LDAP, IWA ou une authentification du certificat client) avec votre site ArcGIS Server autonome, reportez-vous à la rubrique Configurer l’authentification au niveau du Web.

Sites ArcGIS Server fédérés

Si vous fédérez votre site ArcGIS Server avec un portail ArcGIS Enterprise, il existe plusieurs modèles de sécurité possibles pour le déploiement ArcGIS Enterprise. Quel que soit le modèle de sécurité appliqué par votre portail, une fois que vous avez fédéré votre site ArcGIS Server avec le portail, ce modèle de sécurité remplace le magasin d’identités du serveur, y compris tous les utilisateurs et rôles que vous avez configurés dans ArcGIS Server Manager.

Le portail possède son propre magasin d’identités et peut être configuré avec l’authentification au niveau du web via IWA, authentification du certificat client ou des fournisseurs d’identités basés sur LDAP, comme un site ArcGIS Server autonome. En outre, des fournisseurs d’identités compatibles avec SAML (Security Assertion Markup Language) peuvent être configurés avec un portail ArcGIS Enterprise.

Si votre site ArcGIS Server est fédéré, ou si vous envisagez de le fédérer, avec un portail ArcGIS Enterprise, reportez-vous à la rubrique Fédérer un site ArcGIS Server avec votre portail. Vous y trouverez, ainsi que dans la documentation de Portal for ArcGIS, plus d’informations sur les options relatives aux modèles de sécurité du portail.