Haut

Modèles d’autorisation et d’accès

Une fois qu’une étape d’authentification a été exécutée et qu’un utilisateur dispose d’un jeton d’accès valide pour ArcGIS, des règles d’autorisation et d’accès sont appliquées. Celles-ci peuvent prendre diverses formes et ArcGIS a été conçu et créé pour prendre en charge des modèles ou des structures d’autorisation complexes et spécifiques à l’organisation.

Autorisation d’accès

Ce type d’autorisation fait référence au contenu, aux services ou aux interfaces auxquels un utilisateur est susceptible d’accéder. Dans ArcGIS, l’autorisation d’accès est gérée par le biais du modèle de partage ArcGIS, qui s’appuie sur des principes tels que les suivants :

  • Les éléments de contenu dans ArcGIS appartiennent à un compte d’utilisateur spécifique. Un utilisateur individuel peut gérer, modifier, supprimer et exécuter une opération sur le contenu qu’il possède.
  • Les éléments peuvent être partagés avec des groupes dans ArcGIS. Les groupes sont des constructions créées dans ArcGIS. Ils possèdent des métadonnées spécifiques au groupe ainsi qu’une liste des membres participants. Un groupe de mise à jour partagée est un type de groupe. Il permet à n’importe quel membre du groupe de modifier et de gérer les éléments partagés avec le groupe.
  • Les groupes peuvent également être basés sur des groupes d’entreprise. L’appartenance au groupe est définie dans un annuaire organisationnel externe et propagée à ArcGIS via les processus d’authentification Active Directory, LDAP, SAML ou OIDC. Dans ce cas, l’appartenance de l’utilisateur à un groupe ArcGIS est définie par l’appartenance à ce groupe d’entreprise. Cette appartenance est établie au moment de la connexion à ArcGIS, reste valide pendant cette session et est actualisée à chaque nouvelle connexion.
  • Les éléments peuvent également être partagés avec l’organisation ou avec tout le monde.
    • En cas de partage des éléments avec l’organisation, tout utilisateur capable d’établir une session valide avec l’organisation en s’authentifiant peut y accéder et interagir avec celle-ci.
    • En cas de partage des éléments avec tout le monde, toute personne disposant d’une connectivité HTTPS au système peut afficher le contenu. Le contenu est accessible de manière anonyme soit sur le WAN du système, soit sur Internet, selon le mode de configuration du réseau. Les contrôles d’accès au réseau peuvent limiter davantage cette exposition.
Remarque:

L’accès de l’utilisateur est déterminé au moment de la demande. En cas de modification des paramètres de partage ou si un utilisateur est supprimé d’un groupe, il perd immédiatement l’accès au contenu partagé avec ce groupe ou à cet élément de contenu.

Lorsque vous utilisez des clés API, en particulier dans ArcGIS Location Platform, vous devez ajouter un accès aux éléments à la clé API pour contrôler l’accès au contenu.

Autorisation des fonctionnalités

Au-delà de l’accès au contenu, un autre type d’autorisation définit ce que vous avez le droit de faire dans un système particulier, qu’il s’agisse d’accéder à des fonctionnalités, des interfaces, des outils ou des applications spécifiques au sein du système ArcGIS. Cette autorisation est aussi gérée, en général, par ArcGIS et repose sur plusieurs principes différents :

  • Chaque utilisateur d’un système ArcGIS se voit attribuer un type d’utilisateur, lequel définit son niveau d’accès aux fonctionnalités. Par exemple, Viewer, Creator ou Professional Plus.
  • Un rôle est alloué également à chaque utilisateur. Ce rôle contrôle plus précisément son autorisation par le biais d’un ensemble de privilèges accordés pour ce rôle dans le système ArcGIS. Les privilèges offrent la possibilité de créer du contenu, de le partager avec tout le monde, d’exécuter des notebooks Python ou de créer des services d’imagerie hébergés. Les rôles standard sont Viewer, Data Editor ou Publisher, entre autres.
  • Certaines fonctionnalités ou certains niveaux d’accès sont inclus par défaut avec un type d’utilisateur. De plus, des applications additionnelles ou des extensions de type d’utilisateur peuvent être attribuées à des utilisateurs spécifiques pour leur donner accès à des fonctionnalités supplémentaires.

Ces distinctions sont décrites plus en détail dans la section Types d’utilisateurs, rôles et privilèges. Les fonctionnalités et les droits d’accès sont établis lorsqu’un utilisateur se connecte, de sorte que toute modification de l’accès ou des privilèges peut nécessiter la réauthentification de l’utilisateur pour que la mise à jour soit appliquée.

L’authentification par clé API gère l’autorisation des fonctionnalités différemment. Chaque clé API dispose d’un ensemble configuré de privilèges disponibles, tels que le géocodage, le géoenrichissement, le calcul d’itinéraire ou les tuiles de fond de carte, et l’accès à d’autres fonctionnalités est refusé lors de l’utilisation de cette clé API.

Intégration à des modèles d’autorisation externes

Alors que la plupart des organisations gèrent l’accès et les autorisations des utilisateurs d’ArcGIS directement dans ArcGIS, certaines organisations sont tenues de gérer les autorisations en externe. Plusieurs options sont disponibles à cet effet.

  1. L’appartenance à un groupe peut être maintenue à l’aide de groupes d’entreprise. Dans ce cas, l’appartenance des utilisateurs est basée sur une revendication incluse avec une assertion SAML lors de la connexion, une revendication OIDC ou une requête adressée à un magasin de groupes distant défini dans la configuration de sécurité, laquelle est également interrogée lors de la connexion de l’utilisateur.
  2. La plupart des fournisseurs d’identités pour les connexions basées sur SAML ou OIDC incluent une configuration dans laquelle les utilisateurs sont affectés ou alloués dynamiquement à l’application ArcGIS par le biais d’un processus, ce qui leur permet d’utiliser le processus de connexion SAML ou OIDC. Les utilisateurs qui ne sont pas alloués dynamiquement ne pourront pas se connecter via SAML ou OIDC. Divers processus peuvent être définis pour autoriser automatiquement l’accès ArcGIS à de nouveaux comptes ou respecter un certain type de processus de demande.
  3. ArcGIS fournit des API REST pour toutes les actions d’autorisation basées sur l’utilisateur, telles que la création et la gestion de groupes, l’ajout de membres à des groupes, la modification des rôles ou des types d’utilisateurs, etc. Il est possible également d’utiliser l’automatisation via un script, un outil ou un système externe, tel qu’un notebook Python, pour automatiser l’autorisation d’accès utilisateur. Cela implique d’interroger une source distante ou d’utiliser un autre moyen, un formulaire Survey123 par exemple, pour déclencher un processus qui accorde à un utilisateur une autorisation supplémentaire à la suite d’un examen.
Top