Haut

Certificats PKI et certificats clients

L’une des méthodes courantes de sécurisation de la communication entre les clients et les services consiste à utiliser l’authentification de certificat client. Ce terme peut couvrir une définition au sens large des processus client et serveur. Par exemple, il peut être utilisé pour un utilisateur demandant une page Web ou un système back-end se connectant à une API dans une communication de serveur à serveur. Les certificats PKI permettent de chiffrer les communications Web, signer des codes et des applications, authentifier un utilisateur auprès d’un système distant ou communiquer de personne à personne par le biais de modèles tels que Pretty Good Privacy (PGP).

En principe, les certificats clients sont générés pour un utilisateur à partir d’une autorité de certification gérée par l’organisation informatique d’une entreprise. Ils sont stockés dans le magasin du système d’exploitation, sur un périphérique distinct ou sur un autre mécanisme de stockage tel qu’une clé USB ou une carte d’identification à puce. Ils peuvent être reliés à plusieurs ordinateurs différents pour permettre à l’utilisateur de s’authentifier à partir de différents emplacements.  

Authentification du client auprès des services ArcGIS

Dans les systèmes ArcGIS, l’utilisation la plus courante des certificats clients implique que les utilisateurs s’authentifient auprès d’un fournisseur d’authentification. Deux modèles d’implémentation principaux pour ce processus sont décrits ci-dessous.

Authentification au niveau du Web

Dans ArcGIS Enterprise, l’authentification au niveau du Web fait référence à un modèle dans lequel un serveur Web héberge une installation d’ArcGIS Web Adaptor pour établir l’authentification. Le déroulement général de ce modèle comprend les éléments suivants :

  1. Lorsqu’un utilisateur tente pour la première fois d’accéder à ArcGIS Enterprise, tel que le composant ArcGIS Server ou Portal for ArcGIS, le serveur Web répond à la demande d’un utilisateur en lui stipulant de fournir un certificat client.
  2. L’utilisateur peut choisir de fournir un certificat, qui est validé par rapport au magasin de confiance du serveur Web. S’il est validé, ArcGIS Web Adaptor envoie le nom d’utilisateur au composant, qui établit alors une session pour cet utilisateur.
Remarque:

Ce processus ne nécessite pas l’envoi du certificat client à ArcGIS Enterprise ou son approbation. Aucun mot de passe n’est échangé ou validé avec le composant ArcGIS. C’est l’approbation implicite du processus d’authentification de certificat client qui accorde l’accès à l’utilisateur.

IdP basé sur SAML ou OIDC

La popularité de ce modèle ne cesse de grandir à mesure que les méthodes d’authentification modernes sont introduites. Ce modèle implique l’utilisation d’un certificat client pour authentifier l’utilisateur auprès d’un fournisseur d’identité (IdP) basé sur SAML ou OIDC. Dans ce modèle, il n’y a pas d’interaction de type authentification de certificat client auprès d’ArcGIS Enterprise ou d’ArcGIS Online. Le processus est le suivant :

  1. Lorsqu’un utilisateur tente de se connecter à ArcGIS, il est invité à lancer un processus de connexion basé sur SAML ou OIDC à son fournisseur d’identité.
  2. Le fournisseur d’identité, généralement un système géré et hébergé séparément, peut choisir d’autoriser un certain nombre de modèles d’authentification différents, qui peuvent inclure l’authentification de certificat client via une carte à puce ou un certificat géré par le système d’exploitation, entre autres options telles que l’authentification basée sur le nom d’utilisateur et le mot de passe.
  3. Une fois que l’utilisateur s’est authentifié auprès de l’IdP, sa session est lancée avec ArcGIS par le biais d’une assertion SAML ou d’une revendication OIDC, et le certificat client n’est plus demandé avant l’expiration de sa session.

Authentification de service à service avec PKI

Un modèle supplémentaire d’authentification basée sur un certificat client concerne les demandes provenant d’un composant côté serveur, d’un service Web ou d’un autre processus, par opposition à la session d’un utilisateur individuel ouverte par le biais d’un logiciel, tel qu’un navigateur Web. Ce processus peut se produire dans une grande variété de processus, notamment les suivants :

  • Un service d’impression ArcGIS Server tente de se connecter à un point de terminaison sécurisé par PKI pour une carte ou un service d’entités.
  • Un service d’API géré dans le Cloud s’authentifie auprès d’un service back-end ou local et nécessite une authentification de certificat client.

Dans ces scénarios, une configuration doit être appliquée pour fournir un certificat client que le service doit utiliser pour s’authentifier auprès du système back-end. Cela peut prendre plusieurs formes ou être configuré de différentes manières.

Autres considérations et recommandations

  • L’authentification PKI à partir d’applications natives et mobiles créées avec les SDK ArcGIS Maps peut nécessiter une attention particulière en raison de l’utilisation et du stockage des certificats clients sur des appareils mobiles.
  • La mise en œuvre de l’authentification PKI et le mode d’interaction des utilisateurs avec celle-ci peuvent varier considérablement entre les configurations individuelles de leur système d’exploitation, de leur navigateur et de leurs paramètres.
  • La résolution des problèmes ou des erreurs en lien avec PKI nécessite des compétences spécialisées et une compréhension de la conception prévue de l’ensemble du système PKI au sein du réseau ou de l’environnement informatique. Il est important de faire appel à des professionnels de la cybersécurité ou de l’informatique pour garantir la conformité et une utilisation correcte de l’authentification PKI.
  • Les certificats clients ont les mêmes considérations en matière de validité, de chaîne de confiance et d’attributs que les certificats SSL/TLS de serveurs Web. Ils doivent être soigneusement surveillés, mis à jour et gérés afin que les utilisateurs ne subissent pas d’interruptions inattendues.
Top