Concepts de sécurité

Considérations sur la sécurité dans le Géoportail

Cette section traite des concepts de sécurité qui sont spécifiques au Géoportail. Vous trouverez la présentation des concepts de sécurité pour un système d'entreprise sur la page Web de sécurité du Centre de ressources d'entreprise Esri. Les principales rubriques traitées dans cette section sont les suivantes :

Sécurisation des métadonnées

Une organisation peut souhaiter que les données soient découvrables par certains groupes de personnes, mais non découvrables par d'autres groupes. Il est possible de configurer l'accès aux enregistrements de métadonnées dans le Géoportail en implémentant une règle de sécurité pour l'accès aux métadonnées. La règle d'accès choisie par l'organisation qui implémente déterminera si et comment un éditeur peut restreindre l'accès à ses métadonnées. IMPORTANT : la restriction de l'accès utilisateur aux enregistrements de métadonnées restreint uniquement la personne qui peut voir les métadonnées. Elle ne détermine pas l'accès aux données réelles ou à la ressource du service Web même. Pour plus d'informations sur la sécurisation des métadonnées, voir Comment restreindre l'accès aux métadonnées.

Configurations de l'architecture

La gestion de l'accès via l'architecture du système est un autre moyen de sécuriser votre Géoportail. Trois modèles sont brièvement décrits ci-dessous.

Considérations sur les communications HTTPS

Hypertext Transfer Protocol - Secure (HTTPS) est une variante de HTTP améliorée par un mécanisme de sécurité tel qu'une connexion Secure Sockets Layer (SSL) ou Transport Layer Security (TLS) chiffrée. Cela permet le partage de données sur Internet de manière protégée. L'article Configuration SSL propose une bonne introduction au SSL et aux considérations sur sa configuration sur votre système. En plus des configurations SSL générales de votre organisation (voir Ressources de sécurité pour les composants de l'environnement du système de Géoportail), il n'y a aucune configuration spécifique au Géoportail, à l'exception des références URL complètes. Par exemple, si vous avez configuré une application de Visionneuse de cartes à exécuter sur votre Géoportail sous https, cela doit être spécifié correctement dans le fichier gpt.xml de manière à ce que l'URL inclue le préfixe https.

Concepts de chiffrement

Cette section décrit certains concepts importants du chiffrement dans le Géoportail.

Chiffrement des mots de passe dans le fichier gpt.xml

Dans le fichier gpt.xml, il y a des sections où vous pouvez spécifier si le mot de passe est chiffré. Lorsque le chiffrement est défini à vrai, il est possible de définir un mot de passe chiffré dans ces sections. Afin de générer un mot de passe chiffré pour stocker les mots de passe dans le fichier gpt.xml, suivez les étapes suivantes :

  1. Ouvrez le Géoportail dans un navigateur
  2. Connectez-vous en tant qu'administrateur
  3. Naviguez vers http://<machineName>/<GeoportalApplicationName>/catalog/identity/encryptPassword.page pour afficher la page Utilitaire de chiffrement de mots de passe
  4. Saisissez votre mot de passe admin dans le champ mot de passe
  5. Cliquez sur le bouton Chiffrer. Le mot de passe chiffré s'affiche dans le champ Valeur chiffrée
  6. Copiez-collez cette valeur dans votre fichier gpt.xml où vous souhaitez chiffrer le mot de passe

Modification de la clé de chiffrement

Sur la page Enregistrer une ressource sur le réseau, il est possible de définir une connexion à un autre catalogue qui nécessite un nom d'utilisateur et un mot de passe. Afin de protéger la sécurité de ces catalogues à distance, le Géoportail ne stockera pas le mot de passe en texte clair dans sa base de données et ses fichiers journaux. À la place, le Géoportail appliquera un algorithme de chiffrement pour stocker le mot de passe. Lorsque le processus de synchronisation utilise les informations sur le mot de passe pour se connecter au référentiel, il déchiffre le mot de passe. Étant donné que toutes les instances de Géoportail prêtes à l'emploi utilisent la même clé de chiffrement, il est important de modifier la valeur dans la section <encKey> du fichier gpt.xml afin que les mots de passe chiffrés ne puissent pas facilement être déchiffrés.

RemarqueRemarque :

Si la clé de chiffrement est modifiée à n'importe quel niveau, toute donnée déjà stockée dans la base de données qui a été chiffrée avec l'ancienne clé deviendra non valide. Dans ce cas, les données devront être générées et stockées à nouveau dans la base de données pour correspondre à la nouvelle clé de chiffrement. Pour cette raison, il est recommandé de modifier la clé de chiffrement au début du déploiement du Géoportail et de ne pas la modifier par la suite.

Pour modifier la clé de chiffrement :
  1. Ouvrez le fichier gpt.xml dans le dossier \\geoportal\WEB-INF\classes\gpt\config dans un éditeur de texte
  2. Faites défiler vers la balise <identity, puis notez la valeur de encKey
  3. Changez cette valeur en nouvelle clé. La clé doit être un mot simple
  4. Enregistrez le fichier, puis fermez-le

Ressources de sécurité pour les composants de l'environnement du système de Géoportail

Étant donné que le Géoportail est déployé dans le contexte des autres produits desquels il dépend, il est important de rechercher les recommandations de sécurité auprès des autres technologies sous-jacentes. Voici quelques documents utiles qui peuvent être utilisés pour référence :

2/3/2014