Sécurisation de services Web avec l'authentification Windows intégrée

Ce didacticiel vous explique comment sécuriser des services Web ArcGIS à l'aide de l'authentification Windows intégrée. Pour utiliser ce type d'authentification, il faut que les utilisateurs et les rôles soient gérés dans un serveur Microsoft Windows Active Directory. Cette approche peut être appropriée si vous voulez que vos utilisateurs SIG tirent parti des comptes qu'ils possèdent déjà sur votre réseau.

Vous pouvez utiliser l'authentification Windows intégrée lorsque des utilisateurs sont titulaires de comptes de domaine et accèdent aux services sur un réseau local.

RemarqueRemarque :

L'authentification Windows intégrée n'est pas prise en charge par Internet et nécessite l'installation et la configuration d'ArcGIS Web Adaptor (IIS). Pour plus d'informations, reportez-vous à la rubrique A propos d'ArcGIS Web Adaptor. L'adaptateur Web procède à l'authentification, tandis qu'ArcGIS Server autorise l'accès aux services Web.

Pour sécuriser des services Web ArcGIS à l'aide de l'authentification Windows intégrée, procédez comme suit :

  1. Configurez ArcGIS Server pour qu'il utilise des utilisateurs et des rôles Windows Active Directory.
  2. Passez en revue les utilisateurs et les rôles.
  3. Définissez des autorisations pour les services.
  4. Configurez ArcGIS Web Adaptor (IIS) de manière à utiliser l'authentification Windows.
  5. Testez l'accès aux services sécurisés.

Configuration de la sécurité d'ArcGIS Server de manière à utiliser des utilisateurs et des rôles Windows Active Directory

Pour prendre en charge l'authentification Windows intégrée, configurez ArcGIS Server pour qu'il récupère les utilisateurs et les rôles d'un serveur Windows Active Directory :

Etapes :
  1. Ouvrez le Gestionnaire et connectez-vous en tant qu'administrateur de site principal ou en tant qu'utilisateur doté d'un accès administratif. Si vous avez besoin d'aide pour cette étape, reportez-vous à la rubrique Connexion au gestionnaire.
  2. Cliquez surSécurité > Paramètres.
  3. Cliquez sur le bouton Modifier Mise à jour en regard de l'option Paramètres de configuration.
  4. Sur la page Gestion des utilisateurs et des rôles, sélectionnez l'option Utilisateurs et rôles d'un systèmes d'entreprise existant (LDAP ou Domaine Windows), puis cliquez sur Suivant.
  5. Sur la page Type de magasin d'entreprise, sélectionnez l'option Domaine Windows, puis cliquez sur Suivant.
  6. Sur la page Informations d'identification Windows, saisissez les informations d'identification d'un utilisateur disposant d'un accès en lecture au domaine, puis cliquez sur Suivant.
  7. Sur la page Niveau d'authentification, choisissez Niveau du Web.
  8. Passez en revue le récapitulatif des éléments que vous avez sélectionnés. Cliquez sur Terminer pour appliquer la configuration de sécurité et l'enregistrer.

Analyse des utilisateurs et des rôles

Après avoir configuré un domaine Windows Active Directory en tant que magasin de rôles et d'utilisateurs, passez ces derniers en revue afin de vous assurer qu'ils ont été récupérés correctement. Pour ajouter, modifier ou supprimer des utilisateurs et des rôles, vous devez utiliser les outils disponibles sur le serveur Active Directory.

Etapes :
  1. Dans le Gestionnaire, cliquez sur Sécurité > Utilisateurs.
  2. Vérifiez que les utilisateurs ont été récupérés comme prévu du serveur de domaine Windows.
  3. Cliquez sur Rôles pour passer en revue les rôles récupérés du serveur de domaine Windows.
  4. Vérifiez que les rôles ont été récupérés comme prévu. Cliquez sur le bouton Mettre à jour en regard d'un rôle pour vérifier l'appartenance à un rôle. Modifiez la valeur Type de rôle suivant vos besoins. Pour en savoir plus sur les types de rôle, reportez-vous à la rubrique Fonctionnement de la sécurité d'ArcGIS Server.

Définition d'autorisations pour les services Web ArcGIS

Dès que vous avez configuré vos paramètres de sécurité et défini des utilisateurs et des rôles, vous pouvez définir des autorisations pour les services afin de contrôler les utilisateurs autorisés à y accéder.

ArcGIS Server contrôle l'accès aux services Web SIG hébergés sur votre serveur à l'aide d'un modèle de contrôle d'accès basé sur les rôles. Dans ce modèle, l'autorisation d'accès à un service sécurisé est contrôlée en attribuant des rôles à ce service. Pour exploiter un service sécurisé, un utilisateur doit être membre d'un rôle auquel ont été affectées des autorisations d'accès.

Les autorisations peuvent être affectées à un service Web individuel ou au dossier parent contenant un groupe de services. Si vous attribuez des autorisations à un dossier, elles sont également transmises à tout service qu'il contient. Par exemple, si vous accordez à un rôle l'accès au dossier site (racine), les utilisateurs appartenant à ce rôle se voient accorder l'accès à tous les services hébergés sur ce site. Pour remplacer automatiquement les autorisations héritées par un service de son dossier parent, vous pouvez mettre à jour le service et supprimer explicitement ces autorisations.

Pour définir les autorisations d'un service, reportez-vous à la rubrique Mise à jour des autorisations dans le gestionnaire.

Configuration d'ArcGIS Web Adaptor (IIS) de manière à utiliser l'authentification Windows

Après avoir configuré vos services de manière à utiliser les utilisateurs et les rôles d'un serveur Windows Active Directory, vous devez installer et configurer ArcGIS Web Adaptor (IIS), puis configurer IIS pour qu'il utilise la méthode d'authentification Windows.

Etapes :
  1. Installez l'adaptateur Web en suivant les instructions de la rubrique Installation d'ArcGIS Web Adaptor (IIS).
  2. Configurez l'adaptateur Web en suivant les instructions de la rubrique Configuration de l'adaptateur Web après l'installation.
  3. Définissez la méthode d'authentification de l'adaptateur Web à l'aide du Gestionnaire des services Internet (IIS).
    1. Pour ouvrir le Gestionnaire des services Internet (IIS), cliquez sur Démarrer > Panneau de configuration > Outils d'administration > Gestionnaire des services Internet (IIS).
    2. Développez l'arborescence de gauche du Gestionnaire des services Internet (IIS), sous Sites. Développez Site Web par défaut pour rechercher l'application ArcGIS Web Adaptor (IIS). Par défaut, ArcGIS Web Adaptor (IIS) se nomme arcgis.
    3. Modifiez la propriété par défaut de l'adaptateur Web. Désélectionnez l'authentification Anonyme et sélectionnez Authentification Windows.
    4. Fermez le Gestionnaire des services Internet (IIS).

Test de l'accès aux services sécurisés

Pour tester votre configuration, identifiez un compte d'utilisateur de domaine Windows ayant accès au dossier racine (site) où sont hébergés vos services. Connectez-vous à Windows à l'aide de ce compte, ouvrez un navigateur Web et accédez à votre WSDL ArcGIS Server :

http://<hôte de l'adaptateur Web>/arcgis/services?wsdl

Pour déterminer les utilisateurs du domaine Windows qui ont accès au dossier racine, procédez comme suit :

Etapes :
  1. Connectez-vous au gestionnaire ArcGIS Server et cliquez sur Services.
  2. Cliquez sur le bouton Verrouiller Verrouiller en regard du dossier site (racine) et identifiez les rôles qui ont été autorisés à accéder à ce dossier. Si aucun rôle ne dispose actuellement d'une autorisation d'accès, veuillez en accorder une à au moins un rôle en cliquant sur Ajouter un rôle Ajouter un rôle.
  3. Cliquez sur Sécurité > Rôles, puis cliquez sur le bouton Mettre à jour correspondant au rôle qui a accès au dossier racine.
  4. Consultez la liste des utilisateurs qui sont membres de ce rôle.
Copyright © 1995-2013 Esri. All rights reserved.
9/18/2013