Un serveur proxy inverse est un ordinateur déployé sur un réseau de périmètre (appelé également zone démilitarisée [DMZ] ou sous-réseau filtré) qui gère des requêtes provenant d'Internet et les transmet aux machines de votre réseau interne. La transmission des requêtes via un serveur proxy inverse permet de masquer l'identité des machines derrière le pare-feu de votre organisation et ainsi de protéger les machines en interne contre toute attaque provenant des utilisateurs d'Internet. Vous pouvez intégrer des fonctions de sécurité supplémentaires au serveur proxy inverse pour protéger davantage votre réseau interne contre toute attaque provenant de l'extérieur.
Si votre serveur proxy inverse prend en charge une fonction de contrôle de l'intégrité, vous pouvez utiliser l'extrémité de contrôle de l'intégrité d'Portal for ArcGIS pour déterminer si le portail peut recevoir des requêtes. Ceci est utile pour déterminer rapidement si le site rencontre une défaillance logicielle ou matérielle. Pour plus d'informations, reportez-vous à la rubrique Contrôle de l'intégrité du portail dans l'API REST d'ArcGIS.
Ajouter Portal for ArcGIS à votre serveur proxy inverse
Avant d'ajouter Portal for ArcGIS au serveur proxy inverse de votre organisation, vous devez effectuer les opérations suivantes :
- Configurez HTTPS (HTTP et HTTPS ou HTTPS uniquement) sur le serveur proxy inverse. Portal for ArcGIS requiert HTTPS pour certaines communications. Consultez la documentation de votre serveur proxy pour savoir comment configurer HTTPS.
- Si vous avez fédéré ArcGIS Server avec votre portail, vous devez annuler cette opération et supprimer le serveur avant de poursuivre. Pour plus d'informations, reportez-vous à la rubrique Suppression d'un site ArcGIS Server de votre portail.
- Configurez ArcGIS Web Adaptor avec votre portail si ce dernier doit utiliser l'authentification Windows intégrée. Portal for ArcGIS requiert pour ce faire l'utilisation d'ArcGIS Web Adaptor, ce qui permet au serveur proxy inverse de communiquer directement avec votre portail. Pour des instructions complètes, reportez-vous aux rubriques relatives à la configuration pour IIS, Java (Windows) ou Java (Linux).
Après avoir supprimé les serveurs fédérés et configuré ArcGIS Web Adaptor avec Portal for ArcGIS, vous pouvez utiliser ArcGIS Web Adaptor avec le serveur proxy inverse de votre organisation en ajoutant directement les composants aux directives de proxy. Par exemple, si vous utilisez Apache comme serveur proxy inverse, vous devez ajouter ArcGIS Web Adaptor aux directives ProxyPass du fichier de configuration du serveur Web Apache httpd.conf :
ProxyPass /arcgis https://webadaptorhost.domain.com/webadaptorname
ProxyPassReverse /arcgis https://webadaptorhost.domain.com/webadaptorname
Les directives ProxyPass doivent correspondre au nom désigné pour ArcGIS Web Adaptor (/webadaptorname dans l'exemple ci-dessus). Si l'URL d'accès à votre site ne se termine pas par la chaîne par défaut /arcgis, indiquez le nom autre que celui par défaut d'ArcGIS Web Adaptor (par exemple, /myorg).
Vérifiez que le serveur proxy prend en charge le codage gzip et qu'il est configuré pour autoriser l'en-tête Accept-Encoding. Cet en-tête permet aux réponses HTTP 1.1 d'être compressées à l'aide du codage gzip. Ainsi, si l'en-tête est autorisé, une demande de chargement de la visionneuse de carte renvoie une réponse compressée d'environ 1,4 Mo au navigateur. Si l'en-tête n'est pas autorisé ou est ignoré, la demande renvoie une réponse non compressée d'environ 6,8 Mo au navigateur. Si le débit de votre réseau est lent, le chargement de la visionneuse de carte est lent lorsque les réponses ne sont pas compressées. Il est par conséquent vivement recommandé d'autoriser cet en-tête dans le cadre de la configuration de votre serveur proxy inverse.
Définissez la propriété WebContextURL du portail. Cela permet à Portal for ArcGIS de créer les URL correctes sur toutes les ressources transmises à l'utilisateur final. Procédez comme suit pour modifier WebContextURL :
- Ouvrez un navigateur Web et connectez-vous au répertoire Portal for ArcGIS en tant que membre du rôle d'administrateur par défaut de l'organisation de votre portail. L'URL est au format https://portal.domain.com:7443/arcgis/portaladmin.
- Cliquez sur Système > Propriétés > Mettre à jour les propriétés.
- Dans la boîte de dialogue Mettre à jour les propriétés du système, insérez la notation JSON suivante en remplaçant l'URL de l'alias DNS ou de votre serveur proxy inverse, telle qu'elle apparaît aux utilisateurs en dehors du pare-feu de votre organisation.
{ "WebContextURL": "https://reverseproxy.domain.com/myorg" }
- Cliquez sur Mettre à jour les propriétés.
Une fois que vous avez configuré le serveur proxy inverse avec votre portail, vous pouvez accéder à votre portail via l'URL du serveur proxy inverse à la place de l'URL d'ArcGIS Web Adaptor. Tout ce à quoi vous accédez sur le site Web du portail ou dans le répertoire Portal for ArcGIS retournera l'URL du serveur proxy inverse.
Les tâches administratives suivantes doivent être réexécutées en utilisant l'URL du serveur proxy inverse :
Si vous avez ajouté auparavant des services sécurisés en tant qu'éléments dans votre portail, vous devrez supprimer les éléments d'origine et les ajouter de nouveau. En effet, les éléments d'origine utilisent l'URL d'ArcGIS Web Adaptor à la place de l'URL du serveur proxy inverse. Pour obtenir des instructions, reportez-vous à la rubrique Se connecter à des services sécurisés.
Vous avez un commentaire à formuler concernant cette rubrique ?