Un serveur proxy inverse sert d’intermédiaire pour les requêtes des clients recherchant des ressources sur votre site ArcGIS Server et il améliore la sécurité du déploiement de votre site.
ArcGIS Web Adaptor est un composant logiciel que vous pouvez configurer dans la plupart des serveurs d’application Web. Vous pouvez également utiliser d'autres serveurs Web proxy inversés tiers.
ArcGIS Web Adaptor ou un serveur proxy inverse tiers est habituellement configuré sur une machine serveur Web distincte, bien qu’il puisse également cohabiter avec votre ArcGIS Server.
Les applications clientes peuvent aussi bien accéder aux services SIG directement ou via le proxy. Toutefois, en tant qu’administrateur ArcGIS Server, vous souhaiterez peut-être utiliser un serveur proxy inverse pour une ou plusieurs raisons parmi les suivantes :
Accéder aux services SIG via des ports standard
Lorsque vous n’utilisez pas de serveur proxy inverse, les clients se connectent directement à ArcGIS Server via https://gisserver.domain.com:6443 si vous avez configuré le protocole HTTPS. Vous ne pouvez pas modifier les ports par défaut utilisés par ArcGIS Server. Pour que les applications client utilisent le port standard 443, vous devez configurer un proxy inverse et diriger les clients vers ce dernier pour accéder aux services. Par exemple, vous pouvez configurer votre proxy inverse sur http://proxy.domain.com/arcgis ou http://proxy.domain.com/myGIS.
Isoler ArcGIS Server derrière le pare-feu de votre organisation
Pour que vos services et applications soient disponibles au public sur Internet, nous conseillons l’utilisation d’une configuration de serveur Web proxy inverse pour isoler ArcGIS Server derrière le pare-feu de votre organisation. Avec cette configuration, les requêtes en entrée provenant d’Internet passent par un pare-feu qui bloque tous les ports, à l’exception du port 443. Votre serveur Web proxy inverse reçoit les requêtes en entrée, les transmet à ArcGIS Server via un autre pare-feu par le port 6443 et renvoie la réponse au client. Le diagramme suivant indique comment le serveur proxy inverse réside sur un réseau de périmètre pour vous aider à contrôler l'accès à votre réseau interne sécurisé.
Pour savoir comment intégrer un serveur proxy inverse à ArcGIS Server, reportez-vous à la rubrique Utilisation d’un serveur proxy inverse avec ArcGIS Server.
Bloquer l'accès administratif à votre site
Un serveur proxy inverse permet de bloquer l'accès à des ressources spécifiques de votre site. Par exemple, vous pouvez configurer votre proxy inverse pour bloquer l’accès à ArcGIS Server Manager et au répertoire d’administrateur de ArcGIS Server. Cette pratique est recommandée, surtout si vous proposez vos services ArcGIS Server sur Internet.
Lorsque vous utilisez ArcGIS Web Adaptor, désactivez l’accès administratif à votre site en suivant les instructions de la rubrique Configuration de l’adaptateur Web après l’installation. Si vous utilisez un serveur proxy inverse tiers, consultez la documentation qui l’accompagne pour bloquer toutes les requêtes qui tentent d’accéder à ArcGIS Server Manager (proxy.domain.com/arcgis/manager/) ou au répertoire d’administrateur de ArcGIS Server (proxy.domain.com/arcgis/admin/).
Même si l’accès administrateur à votre site est bloqué via le proxy inverse, il reste disponible si vous accédez à ArcGIS Server directement via son port par défaut (6443). Utilisez les pare-feu correctement pour contrôler l'accès à ces ports.
Exploiter les fonctionnalités de votre serveur Web
Les serveurs Web intègrent de nombreuses fonctionnalités que vous souhaiterez peut-être utiliser dans le cadre du déploiement de ArcGIS Server. En partageant vos services SIG via votre serveur proxy inverse, vous pouvez utiliser les fonctions de consignation, de mise en cache et de sécurité de votre serveur Web.
- Authentification au niveau du Web : par défaut, ArcGIS Server utilise l’authentification à base de jetons (souvent appelée authentification ArcGIS à base de jetons ou authentification au niveau du serveur SIG). Vous pouvez également configurer ArcGIS Server avec l’authentification au niveau du Web. Cette méthode permet à ArcGIS Server de déléguer l’authentification à votre serveur Web. Si vous devez procéder à une authentification au niveau du Web, vous devez utiliser ArcGIS Web Adaptor. L'authentification au niveau du Web n'est pas disponible via un serveur Web proxy inversé tiers.
- Consignation : les journaux ArcGIS Server contiennent des informations propres aux services ArcGIS Server, permettant par exemple d’identifier l’opération appelée, l’heure d’exécution des appels ArcGIS Server, ainsi que les avertissements et erreurs déclenchés sur votre ArcGIS Server. Vous pouvez compléter ces informations en assimilant les journaux de votre serveur Web qui contiennent des détails pouvant ne pas figurer dans les journaux ArcGIS Server, tels que l’adresse IP à partir de laquelle les requêtes ont été transmises, l’agent de l’utilisateur, le référent, etc.
- Autres fonctionnalités : la plupart des serveurs Web proposent des options de contrôle strict des requêtes et des réponses. Par exemple, vous pouvez appliquer des règles de filtrage aux requêtes en entrée, bloquer l'accès à partir d'adresses IP ou de noms de domaine spécifiques, etc.
Résumé
ArcGIS Web Adaptor ou un serveur proxy inverse tiers sont tout à fait adaptés pour compléter des déploiements ArcGIS Server sur une seule machine. Ils proposent tous les deux des fonctions de sécurité supplémentaires. Nous recommandons vivement l'utilisation de l'un des deux si vous pensez proposer vos services SIG sur Internet, et leur utilisation peut être nécessaire pour les déploiements sur intranet, selon vos exigences en matière de sécurité.
Avantages
- Complète le déploiement sur une seule machine avec un niveau supplémentaire de sécurité.
Inconvénients
- L’utilisation d’un serveur proxy inverse peut éventuellement surcharger les requêtes à destination de vos services ArcGIS Server. C’est particulièrement le cas lors de l’utilisation de l’authentification au niveau du Web pour des magasins d’entités d’organisation très volumineux et complexes (groupes imbriqués ou fédérés).
- Absence de haute disponibilité. La machine ArcGIS Server et le serveur proxy inverse représentent des points de défaillance uniques s’ils venaient à être déconnectés. Pour plus d'informations, renseignez-vous sur le déploiement d'une seule machine haute disponibilité (actif-passif).
Vous avez un commentaire à formuler concernant cette rubrique ?