Skip To Content

Utilisation d'un serveur proxy inverse avec Portal for ArcGIS

Un serveur proxy inverse est un ordinateur déployé sur un réseau de périmètre (appelé également zone démilitarisée [DMZ] ou sous-réseau filtré) qui gère des requêtes provenant d'Internet et les transmet aux machines de votre réseau interne. La transmission des requêtes via un serveur proxy inverse permet de masquer l'identité des machines derrière le pare-feu de votre organisation et ainsi de protéger les machines en interne contre toute attaque provenant des utilisateurs d'Internet. Vous pouvez intégrer des fonctions de sécurité supplémentaires au serveur proxy inverse pour protéger davantage votre réseau interne contre toute attaque provenant de l'extérieur.

Ajout de Portal for ArcGIS à votre serveur proxy inverse

Avant d'ajouter Portal for ArcGIS au serveur proxy inverse de votre organisation, vous devez effectuer les opérations suivantes :

  • Configurez HTTPS (HTTP et HTTPS ou HTTPS uniquement) sur le serveur proxy inverse. Portal for ArcGIS exige le protocole HTTPS pour certaines communications. Consultez la documentation de votre serveur proxy pour savoir comment configurer HTTPS.
  • Si vous avez fédéré ArcGIS Server avec votre portail, vous devrez annuler cette opération et supprimer le serveur avant de poursuivre. Pour plus d'informations, reportez-vous à la rubrique Suppression d'un site ArcGIS Server de votre portail.
  • Configurez ArcGIS Web Adaptor avec votre portail. Portal for ArcGIS nécessite l'utilisation d'ArcGIS Web Adaptor qui permettra au serveur proxy inverse de communiquer correctement avec votre portail. Pour des instructions complètes, reportez-vous aux rubriques relatives à la configuration pour IIS, Java (Windows) ou Java (Linux).

Après avoir supprimé les serveurs fédérés et configuré ArcGIS Web Adaptor avec Portal for ArcGIS, vous pouvez utiliser ArcGIS Web Adaptor avec le serveur proxy inverse de votre organisation en ajoutant directement les composants aux directives du serveur proxy. Par exemple, si vous utilisez Apache comme serveur proxy inverse, vous devez ajouter ArcGIS Web Adaptor aux directives ProxyPass du fichier de configuration du serveur Web Apache httpd.conf :

ProxyPass /arcgis https://webadaptor.domain.com/arcgis
ProxyPassReverse /arcgis https://webadaptor.domain.com/arcgis

Les directives ProxyPass doivent correspondre au nom désigné pour ArcGIS Web Adaptor (/arcgis dans l'exemple ci-dessus). Si l'URL d'accès à votre site ne se termine pas par la chaîne par défaut /arcgis, indiquez le nom autre que celui par défaut d'ArcGIS Web Adaptor (par exemple, /myorg).

Vérifiez que le serveur proxy prend en charge le codage gzip et est configuré pour autoriser l'en-tête Accept-Encoding. Cet en-tête permet aux réponses HTTP 1.1 d'être compressées à l'aide du codage gzip. Ainsi, si l'en-tête est autorisé, une demande de chargement de la visionneuse de carte renvoie une réponse compressée d'environ 1,4 Mo au navigateur. Si l'en-tête n'est pas autorisé ou est ignoré, la demande renvoie une réponse non compressée d'environ 6,8 Mo au navigateur. Si le débit de votre réseau est lent, le chargement de la visionneuse de carte est lent lorsque les réponses ne sont pas compressées. Il est par conséquent vivement recommandé d'autoriser cet en-tête dans le cadre de la configuration de votre serveur proxy inverse.

Définissez la propriété WebContextURL du portail. Cela permet à Portal for ArcGIS de créer les URL correctes sur toutes les ressources transmises à l'utilisateur final. Procédez comme suit pour modifier WebContextURL :

  1. Ouvrez un navigateur Web et connectez-vous au répertoire Portal for ArcGIS en tant qu'administrateur de votre organisation. L'URL est formatée comme suit : https://portal.domain.com:7443/arcgis/portaladmin.
  2. Cliquez sur Système > Propriétés > Mettre à jour les propriétés.
  3. Dans la boîte de dialogue Mettre à jour les propriétés du système, insérez la notation JSON suivante en remplaçant l'URL de l'alias DNS ou de votre serveur proxy inverse, telle qu'elle apparaît aux utilisateurs en dehors du pare-feu de votre organisation.
    {
       "WebContextURL": "https://reverseproxy.domain.com/myorg"
    }
  4. Cliquez sur Mettre à jour les propriétés.

Une fois que vous avez configuré le serveur proxy inverse avec votre portail, vous pouvez accéder au portail via l'URL du serveur proxy inverse à la place de l'URL d'ArcGIS Web Adaptor. Tout ce à quoi vous accédez sur le site Web du portail ou dans le répertoire Portal for ArcGIS retournera l'URL du serveur proxy inverse.

Les tâches administratives suivantes doivent être réexécutées en utilisant l'URL du serveur proxy inverse :

Si vous avez ajouté auparavant des services sécurisés en tant qu'éléments dans votre portail, vous devrez supprimer les éléments d'origine et les ajouter de nouveau. En effet, les éléments d'origine utilisent l'URL d'ArcGIS Web Adaptor à la place de l'URL du serveur proxy inverse. Pour obtenir des instructions, reportez-vous à la rubrique Connexion aux services sécurisés.