ArcGIS accepte et prend en charge des mécanismes, des protocoles et des technologies d’authentification informatique standard pour s’assurer qu’il s’intègre sans problème aux politiques, aux pratiques et à l’infrastructure de sécurité d’une organisation existante. Les produits ArcGIS appliquent les pratiques d’authentification standard lors de l’accès aux ressources sécurisées, notamment les sources de fichiers, les sources SGBD et les sources Web. ArcGIS Enterprise et ArcGIS Online prennent en charge, l’un comme l’autre, un magasin d’utilisateurs intégré ainsi qu’une multitude de fournisseurs d’identités d’entreprise (IdP) fournis et utilisés par les organisations informatiques. Citons, par exemple, Microsoft Entra ID, Active Directory ou Okta. Les clients et les serveurs ArcGIS prennent en charge l’authentification à tous les niveaux d’une architecture à un ou plusieurs niveaux, y compris l’accès aux services Web, aux portails, aux SGBD, aux magasins de fichiers, aux lacs de données (Data Lakes) et à d’autres sources. Cette section fournit des informations détaillées sur les processus et les options d’authentification pris en compte lors de la conception d’une architecture système.
ArcGIS prend en charge les expériences d’authentification unique (SSO) reposant sur le fournisseur d’identités (IdP) d’une organisation et l’infrastructure de sécurité associée pour gérer les identités et les informations d’identification des utilisateurs et les mécanismes d’authentification. Cette intégration avec les fournisseurs d’identité permet de s’assurer qu’ArcGIS s’appuie, de manière transparente, sur une infrastructure de sécurité stratégique avec des ressources robustes et centralisées de d’approvisionnement, d’administration, de surveillance et d’audit des utilisateurs. ArcGIS s’intègre à l’IdP d’une organisation par l’intermédiaire de modèles d’authentification largement acceptés, tels que SAML, OIDC, IWA/AD, LDAP ou PKI. Cette approche intégrée simplifie le modèle de sécurité et permet à ArcGIS de se fonder sur l’IdP pour authentifier directement les utilisateurs, fournir des services d’authentification, gérer l’accès (par exemple, pour ajouter ou supprimer des privilèges ou activer ou désactiver des comptes) et fournir une expérience d’authentification unique (SSO) ainsi que des ressources de prévention des vulnérabilités et des intrusions.
Lors de l’utilisation de ressources Web dans ArcGIS, l’utilisateur crée son identité la première fois qu’il s’authentifie. Même s’il existe différentes méthodes pour établir cette identité, la procédure générale est la suivante :
Quelle que soit la manière dont l’authentification est effectuée, la session utilisateur résultante est basée exclusivement sur le jeton d’accès ArcGIS. Ce jeton est conservé soit dans le code de l’application, soit stocké et communiqué sous forme de cookie HTTP et est valable pour une durée déterminée. Par défaut, les jetons expirent au bout de 120 minutes, mais ils peuvent être actualisés et demandés pour des périodes plus longues. En plus du jeton d’accès, un jeton d’actualisation est également généré. Il peut servir à actualiser le jeton d’accès de l’utilisateur et prolonger sa session lorsque l’utilisation dépasse une période de deux heures.
Une identité d’utilisateur comprend également des attributs spécifiques à l’utilisateur qui s’appliquent à l’ensemble du système ArcGIS et de l’expérience utilisateur, notamment :
Lors de l’utilisation de ressources de bureau dans une configuration client-serveur classique telle qu’un SGBD ou un serveur de fichiers, l’identité de l’utilisateur est basée sur le modèle de sécurité associé à la technologie du serveur ou à la capacité du système d’exploitation.
Dans les scénarios d’automatisation du back-end, tels que les communications de type serveur à serveur ou basées sur les processus du système d’exploitation, le client dans ces interactions suit les modèles ci-dessus pour établir l’identité en fonction des informations d’identification associées.
Pour plus d’informations sur les modèles d’authentification spécifiques à ArcGIS, consultez le site Esri Developer.
Pour établir une session utilisateur ou de programmation avec ArcGIS Enterprise ou ArcGIS Online, divers protocoles et mécanismes standard sont utilisés pour authentifier les utilisateurs et les clients dans le système ArcGIS. Il s’agit notamment de :
Esri prend en charge les connexions SAML dans ArcGIS Enterprise et ArcGIS Online, ainsi qu’un ensemble de documentations spécifiques au fournisseur d’identités. OpenID Connect (OIDC) est également entièrement pris en charge par les organisations ArcGIS Enterprise et ArcGIS Online. Esri recommande d’utiliser les connexions SAML ou OIDC pour toutes les organisations pour lesquelles cette option est disponible.
Dans le contexte d’ArcGIS, SAML et OIDC facilitent l’accès sécurisé en permettant aux utilisateurs de se connecter à l’aide de leurs identifiants existants provenant d’un fournisseur d’identités de confiance, tel que Google, Microsoft Entra ID, Okta ou tout autre système d’identité d’entreprise. Lorsqu’un utilisateur tente d’accéder à un système ArcGIS sans avoir de session d’authentification en cours, il est redirigé vers le fournisseur d’identités pour pouvoir s’authentifier. Le fournisseur d’identités gère l’étape d’authentification, au cours de laquelle un nom d’utilisateur, un mot de passe, un code à usage unique ou d’autres facteurs sont fournis au système. Si l’authentification réussit, le fournisseur d’identités émet une assertion SAML ou une revendication OIDC qui est renvoyée à ArcGIS afin de valider l’identité de l’utilisateur.
Une connexion SAML ou OIDC présente les avantages suivants :
Mode de fonctionnement
Le magasin d’identités intégré vous permet de gérer les utilisateurs et les groupes directement dans les composants ArcGIS Server ou Portal for ArcGIS. Cela signifie que vous n’avez pas besoin d’un système externe pour gérer l’authentification des utilisateurs. ArcGIS s’occupe du processus d’authentification, en vérifiant les noms d’utilisateur et les mots de passe stockés dans sa propre base de données. Cette méthode est souvent utilisée lors des phases de configuration initiale, de développement et de test, car elle permet de créer rapidement et facilement un compte.
Exemple pratique
Imaginez que vous mettiez en place un nouveau portail ArcGIS Enterprise pour une petite équipe de professionnels des SIG. Vous pouvez créer rapidement des comptes d’utilisateurs pour chaque membre de l’équipe directement dans le portail. Chaque utilisateur peut ensuite se connecter avec ses informations d’identification pour accéder aux cartes, applications et autres ressources partagées au sein de l’organisation.
Avantages
Facilité d’utilisation : pas besoin d’intégration complexe avec des systèmes externes.
Configuration rapide : pratique pour démarrer rapidement, en particulier dans les environnements de développement et de test.
Autonomie : toutes les données des utilisateurs sont gérées au sein du portail, ce qui simplifie l’administration.
Limitations
Évolutivité : pas idéale pour les moyennes et grandes organisations comptant de nombreux utilisateurs, car sa gestion peut devenir fastidieuse.
Sécurité : peut ne pas répondre aux exigences de sécurité strictes de certaines organisations, à l’inverse d’une connexion LDAP ou SAML.
Les protocoles IWA (Integrated Windows Authentication), AD (Active Directory) et LDAP (Lightweight Directory Access Protocol), qui ne sont disponibles qu’avec ArcGIS Enterprise, sont couramment utilisés au sein des organisations dans le cadre de processus internes ou sur le réseau. Esri recommande uniquement d’utiliser des configurations IWA, AD et LDAP pour les déploiements internes d’ArcGIS Enterprise.
L’infrastructure à clé publique (PKI) exploitant des certificats clients est utilisée dans plusieurs modèles d’authentification, notamment IWA, SAML et OIDC.
L’authentification multifacteur (MFA) est souvent appliquée aux connexions intégrées à ArcGIS ou dans le cadre d’un processus SAML ou OIDC faisant appel à un fournisseur d’identités externe. Cette pratique est recommandée en particulier pour les comptes disposant de privilèges élevés.
L’authentification basée sur une application est un autre modèle d’authentification, lié au modèle d’utilisateur intégré, où l’authentification est effectuée à l’aide de clés API ou de paires d’ID client et de clé secrète client.[^1]
ArcGIS prend également en charge l’accès anonyme des utilisateurs à la plupart des types de ressources dans l’ensemble du système, pour les organisations qui ont besoin d’un accès ouvert sur leur WAN ou d’un accès public aux applications via Internet.
[^1] : Les clés API sont prises en charge dans ArcGIS Location Platform, ArcGIS Online et ArcGIS Enterprise à partir de la version 11.4 ou ultérieure.
Alors que la plupart des processus d’utilisation prévus dans les systèmes ArcGIS sont basés sur l’utilisateur (une personne interagit avec une page Web ou une application qui émet des requêtes destinées à un serveur), d’autres processus nécessitent un niveau d’interaction de serveur à serveur ou de programmation, que ce soit pour l’intégration entre les systèmes, l’automatisation des tâches relatives aux données ou la fourniture d’un autre niveau de connectivité entre différents systèmes de type serveur ou back-end.
Bien que les requêtes basées sur un serveur qui autorisent une identité anonyme soient simples à prendre en charge, il existe de nombreuses options pour authentifier ces requêtes si le service ou le point de terminaison est sécurisé et qu’un certain niveau d’authentification ou d’identification est requis. Voici quelques recommandations générales dans ce domaine :
jeton d’actualisation basé sur ArcGIS OAuth (généré à partir d’un fournisseur d’identités intégré ou d’entreprise) peut être intégré à un système et utilisé pour générer des jetons de session selon les besoins. Un jeton d’actualisation valide peut également être échangé contre un nouveau jeton d’actualisation, ce qui permet d’instaurer une logique pour conserver ce jeton d’actualisation et le garder valide indéfiniment.