En tant que membre ou administrateur par défaut doté des privilèges appropriés, vous déterminez si HTTPS est requis pour toutes les transactions et si l’accès anonyme à votre portail est autorisé. Vous pouvez également configurer les paramètres de sécurité pour le partage et la recherche, les stratégies de mot de passe, les options de connexion, les avis de connexion, les bannières d’information, les serveurs de confiance et bien plus.
Conseil :
Pour avoir davantage d’informations sur la sécurité, la confidentialité et la conformité, visitez le site web ArcGIS Trust Center.
- Assurez-vous d’être connecté en tant qu’administrateur par défaut ou en tant que membre d’un rôle personnalisé dont les privilèges administratifs de gestion de la sécurité et de l’infrastructure sont activés.
- En haut du site, cliquez sur Organization (Organisation), puis sur l’onglet Settings (Paramètres).
- Cliquez sur Sécurité dans la partie gauche de la page.
- Configurez les paramètres de sécurité suivants :
Accès et autorisations
Modifiez les paramètres de stratégie suivants si nécessaires :
- Allow access to the portal through HTTPS only (Autoriser l’accès au portail via HTTPS uniquement) : par défaut, le portail utilise uniquement les communications HTTPS pour s’assurer que les données de votre organisation, ainsi que tous les jetons d’identification temporaires qui permettent d’accéder à vos données, sont chiffrés durant les communications via Internet. Désactivez ce bouton si vous souhaitez autoriser à la fois des communications HTTP et HTTPS. La modification de ce paramètre risque d’affecter les performances du site.
Allow access to the portal through HTTPS only (Autoriser l’accès au portail via HTTPS uniquement) : activez cette option pour autoriser les utilisateurs anonymes à accéder au site Web de votre organisation. Si cette option n’est pas activée, l’accès anonyme est désactivé et les utilisateurs anonymes ne peuvent pas accéder au site Web. Ils ne peuvent pas non plus consulter vos cartes avec Bing Maps (si votre organisation est configurée pour Bing Maps).
Si vous activez l’accès anonyme, vérifiez que les groupes sélectionnés pour les groupes de configuration de site sont partagés avec le public. Sinon, il est possible que des utilisateurs anonymes ne parviennent pas à afficher ou à accéder correctement au contenu public de ces groupes.
- Allow members to edit biographical information and who can see their profile (Autorisez les membres à modifier des informations biographiques et à décider qui peut accéder à leur profil) : activez cette option pour permettre aux membres de modifier les informations biographiques de leur profil et de spécifier les personnes y ayant accès.
Partage et recherche
Modifiez les paramètres de partage et recherche suivants, si nécessaire :
Members can share content publicly (Les membres peuvent partager du contenu publiquement) : activez cette option pour permettre aux membres de rendre leur profil visible à tout le monde (public), de partager leurs applications Web et d’autres éléments avec d’autres organisations ou le public, ou même d’intégrer leurs cartes ou leurs groupes dans des sites Web.
- Show social media links on item and group pages (Affichez les liens vers les réseaux sociaux sur les pages des éléments ou des groupes) : activez cette option pour inclure des liens vers Facebook et Twitter sur des pages d’éléments et de groupes.
Stratégie de mot de passe
Lorsqu'ils changent leur mot de passe, les membres doivent respecter la stratégie de mot de passe de l'organisation. Dans le cas contraire, un message détaillant la stratégie s'affiche. La stratégie de mot de passe de l’organisation ne s’applique pas aux identifiants de connexion d’organisation tels que SAML ni aux informations d’identification des applications qui utilisent des ID et des clés secrètes pour l’application.
Cliquez sur Manage password policy (Gérer la stratégie de mot de passe) afin de configurer la longueur, la complexité et l’historique des mots de passe des membres détenteurs de comptes intégrés. Vous pouvez spécifier le nombre de caractères et indiquer si le mot de passe doit contenir au moins une occurrence des éléments suivants : lettre majuscule, lettre minuscule, chiffre ou caractère spécial. Vous pouvez également configurer le nombre de jours avant expiration du mot de passe et le nombre de mots de passe antérieurs que le membre ne peut pas réutiliser. Les mots de passe respectent la casse ; ils ne peuvent pas être identiques au nom d’utilisateur. Cliquez sur Use portal defaults (Utiliser les paramètres par défaut du portail) pour que l’organisation utilise la stratégie de mot de passe ArcGIS Enterprisestandard (au moins huit caractères, dont au moins une lettre et un chiffre, sans espace).
Remarque :
Les mots de passe faibles ne peuvent pas être acceptés. Un mot de passe est considéré comme faible s’il s’agit d’un mot de passe couramment utilisé, tel que modepasse1, ou s’il comprend des caractères répétitifs ou séquentiels, par exemple, aaaabbbb ou 1234abcd.
Remarque :
Si les paramètres de messagerie électronique sont configurés dans votre organisation, une notification automatique par courrier électronique est envoyée à vos contacts administrateurs lorsque la stratégie de mot de passe change.
Connexions
Vous pouvez personnaliser la page de connexion de l'organisation pour permettre aux membres de se connecter au moyen d"une des méthodes suivantes : identifiants de connexion ArcGIS, Security Assertion Markup Language (SAML) (autrefois nommés identifiants de connexion d'entreprise) et OpenID Connect.
Vous pouvez également personnaliser l’ordre suivant lequel les méthodes de connexion apparaissent dans la page de connexion de l’organisation. Pour réorganiser une méthode de connexion, cliquez sur sa poignée et faites-la glisser à sa nouvelle position. Cliquez sur Preview (Aperçu) pour obtenir un aperçu de la page de connexion.
Activez la bascule ArcGIS login (Identifiant de connexion ArcGIS) pour permettre aux utilisateurs de se connecter avec leurs identifiants ArcGIS.
Utilisez le bouton New SAML login (Nouvel identifiant de connexion SAML) pour configurer un fournisseur d’identités compatible SAML avec votre portail si vous souhaitez que les membres se connectent au portail à l’aide du fournisseur d’identités SAML de votre organisation.
Utilisez le bouton New OpenID Connect login (Nouvel identifiant de connexion OpenID Connect) pour configurer des identifiants de connexion OpenID Connect si vous souhaitez que les membres se connectent à ArcGIS à l’aide du fournisseur d’identités OpenID Connect de votre organisation.
Authentification multifacteur
Remarque :
Cette option contrôle l’authentification multifacteur des comptes intégrés. Pour configurer l’authentification multifacteur pour des comptes basés sur des identifiants de connexion SAML ou OpenID Connect, rapprochez-vous de votre fournisseur d’identités afin de configurer les options correspondantes.
L’authentification multifacteur ne peut être activée pour les comptes intégrés que si votre organisation a configuré les paramètres de messagerie électronique.
Les organisations qui veulent offrir à leurs membres la possibilité de configurer l’authentification multifacteur pour la connexion à ArcGIS peuvent activer le bouton Allow members to choose whether to set up multifactor authentication for their individual accounts (Autoriser les membres à configurer l’authentification multifacteur pour leurs comptes individuels). L’authentification multifacteur confère un niveau de sécurité supplémentaire en exigeant la saisie d’un code de vérification en plus du nom d’utilisateur et du mot de passe lorsque les membres se connectent.
Si vous activez ce paramètre, les membres de l’organisation peuvent configurer l’authentification multifacteur via leur page de profil et recevoir des codes de vérification sur leur téléphone mobile ou leur tablette à partir d’une application d’authentification prise en charge (actuellement, Google Authenticator pour Android et iOS, et Authenticator pour Windows Phone). Les membres qui activent l’authentification multifacteur sont identifiés par une coche dans la colonne Multifactor Authentication (Authentification multifacteur) de la table des membres, dans l’onglet Members (Membres) de la page Organization (Organisation).
Si vous activez l’authentification multifacteur pour votre organisation, vous devez désigner au moins deux administrateurs qui recevront les demandes par courrier électronique pour désactiver l’authentification multifacteur sur les comptes des membres, en fonction des besoins. ArcGIS Enterprise envoie des courriers électroniques de la part des membres demandant de l'aide sur l'authentification multifacteur via le lien Having trouble signing in with your code? (Vous ne parvenez pas à vous connecter avec votre code ?) (disponible sur la page où le membre doit entrer le code d’authentification). Au moins deux administrateurs sont requis afin de s’assurer qu’au moins un sera disponible pour aider les membres ayant des problèmes liés à l’authentification multifacteur.
L’authentification multifacteur fonctionne avec les applications Esri qui prennent en charge OAuth 2.0. Cela concerne le site Web du portail, ArcGIS Pro, les applications ArcGIS et My Esri.
L’authentification multifacteur doit être désactivée pour accéder aux applications sans la prise en charge OAuth 2.0. Pour certaines applications, telle que ArcGIS Desktop 10.2.1 et version ultérieure, qui prennent en charge Oauth 2.0, l’authentification multifacteur doit tout de même être désactivée avant l’établissement d’une connexion de ArcGIS Desktop aux services ArcGIS Enterprise disponibles dans le cadre de ArcGIS Online.Cela englobe les services de géocodage et de géotraitement qui effectuent des calculs d’itinéraires et des analyses d’altitude. L’authentification multifacteur doit également être désactivée lorsque vous stockez des identifiants de connexion avecEsri.
Notification de connexion
Vous pouvez configurer et afficher une notification de conditions à l’attention des utilisateurs qui accèdent à votre site.
Vous pouvez configurer une notification de connexion à l’attention des membres de l’organisation ou de tous les utilisateurs qui accèdent à votre organisation, ou des deux. Si vous définissez une notification de connexion pour les membres de l’organisation, la notification s’affiche une fois les membres connectés. Si vous définissez une notification de connexion pour tous les utilisateurs, la notification s’affiche dès qu’un utilisateur accède au site. Si vous définissez les deux notifications de connexion, les membres de l’organisation verront les deux notifications.
Pour configurer une notification de connexion pour les membres de l’organisation ou tous les utilisateurs, cliquez sur Set access notice (Définir la notification de connexion) dans la section appropriée, activez le bouton permettant d’afficher la notification de connexion et entrez le titre et le texte de la note. Sélectionnez l’option ACCEPT and DECLINE (ACCEPTER ou REFUSER) si vous voulez que les utilisateurs acceptent la notification de connexion avant de naviguer sur le site ou sélectionnez OK only (OK uniquement) si vous voulez que les utilisateurs cliquent simplement sur OK pour continuer. Cliquez sur Enregistrer lorsque vous avez terminé.
Pour modifier la notification d'accès aux membres de l'organisation ou à tous les utilisateurs, cliquez sur Edit access notice (Modifier la note de connexion) dans la section appropriée et apportez les modifications aux options de titre, texte ou boutons d'actions. Si vous ne souhaitez plus afficher les notifications d'accès, désactivez la bascule correspondante. Même après désactivation des notifications d'accès, la configuration et le texte saisis précédemment sont conservés au cas où les notifications seraient à nouveau activées ultérieurement. Cliquez sur Enregistrer lorsque vous avez terminé.
Bannière d’informations
Vous pouvez utiliser des bannières d’informations pour alerter les utilisateurs qui accèdent à votre organisation au sujet du statut et du contenu de votre site. Vous pouvez par exemple tenir les utilisateurs informés des programmes de maintenance, les alerter sur les informations classifiées et les modes de lecture seule en créant des messages personnalisés qui s’affichent en haut et en bas du site. La bannière apparaît sur les pages Home (Accueil), Gallery (Bibliothèque), Map Viewer, Scene Viewer, Notebook, Groups (Groupes), Content (Contenu) et Organization (Organisation) et sur les sites créés dans ArcGIS Enterprise Sites s’ils sont activés dans l’application.
Pour activer la bannière d’informations de votre organisation, cliquez sur Set information banner (Définir la bannière d’informations) et activez Display information banner (Afficher la bannière d’informations). Ajoutez du texte dans le champ Banner text (Texte de bannière) et choisissez une couleur d’arrière-plan et de police. Un taux de contraste apparaît pour la couleur de texte et d’arrière-plan sélectionnée. Un taux de contraste est une mesure de lisibilité basée sur les normes d’accessibilité WCAG 2.1 ; un taux de contraste d’au moins 4,5 est recommandé dans un souci de conformité à ces normes.
Vous pouvez afficher un aperçu de la bannière d’informations dans la fenêtre Preview (Aperçu). Cliquez sur Save (Enregistrer) pour ajouter la bannière à votre organisation.
Pour modifier la bannière d’information, cliquez sur Edit information banner (Mettre à jour la bannière d’informations) et apportez les modifications souhaitées au texte ou au style de la bannière. Si vous ne souhaitez plus afficher la bannière d'informations, désactivez la bascule correspondante. Même après désactivation de la bannière d'informations, la configuration et le texte saisis précédemment sont conservés au cas où la bannière d'informations serait à nouveau activée ultérieurement. Cliquez sur Enregistrer lorsque vous avez terminé.
Serveurs approuvés
Pour Trusted servers (Serveurs approuvés), configurez la liste des serveurs approuvés auxquels vous voulez que vos clients envoient des identifiants de connexion lorsque vous formulez des requêtes CORS (Cross-Origin Resource Sharing) visant à accéder aux services sécurisés avec l’authentification au niveau du Web. Cela s’applique principalement à la mise à jour des services d’entités sécurisés à partir d’un serveur autonome (non fédéré) exécutant ArcGIS Server ou affichant des services OGC sécurisés. Il n’est pas nécessaire d’ajouter à cette liste les services d’hébergement ArcGIS Serversécurisés à l’aide de la sécurité à base de jetons. Les serveurs ajoutés à la liste des serveurs approuvés doivent prendre CORS en charge. Les couches hébergées sur des serveurs qui ne prennent pas CORS en charge risquent de ne pas fonctionner comme prévu. ArcGIS Server prend en charge CORS par défaut dans les versions 10.1 et ultérieures. Pour configurer CORS sur des serveurs autres qu'ArcGIS, reportez-vous à la documentation du fournisseur du serveur Web.
Les noms d'hôtes doivent être saisis individuellement. Les caractères génériques ne peuvent pas être utilisés et ne sont pas acceptés. Le nom d'hôte peut être saisi avec ou sans le protocole devant. Vous pouvez par exemple saisir le nom d'hôte secure.esri.com comme suit : secure.esri.com ou https://secure.esri.com
Remarque :
La mise à jour des services d'entités sécurisés avec l'authentification au niveau du Web nécessite un navigateur Web qui prend en charge CORS. CORS est activé sur les dernières versions de Mozilla Firefox, Google Chrome et Safari. Pour savoir si CORS est activé dans votre navigateur, ouvrez https://caniuse.com/cors.
Autoriser les origines
Par défaut, ArcGIS REST API est ouvert aux demandes CORS (Cross-Origin Resource Sharing) émanant des applications Web de n’importe quel domaine. Si votre organisation souhaite limiter les domaines des applications Web qui sont autorisés à accéder à ArcGIS REST API via CORS, vous devez désigner explicitement ces domaines. Par exemple, pour restreindre l’accès CORS aux applications Web sur acme.com uniquement, cliquez sur Add (Ajouter), saisissez https://acme.com dans la zone de texte et cliquez sur Add domain (Ajouter un domaine). Vous pouvez désigner jusqu’à 100 domaines approuvés pour votre organisation. Il n’est pas nécessaire de spécifier arcgis.com comme domaine approuvé, car les applications exécutées sur le domaine arcgis.com sont toujours autorisées à se connecter à ArcGIS REST API.
Autoriser l’accès au portail
Configurez une liste de portails (par exemple, https://otherportal.domain.com/arcgis) avec lesquels vous souhaitez partager le contenu sécurisé. Cela permet aux membres de votre organisation d’utiliser leurs identifiants de connexion d’organisation (notamment les identifiants SAML) pour accéder au contenu sécurisé lorsqu’ils le consultent depuis ces portails. Les portails avec lesquels votre organisation collabore sont inclus automatiquement et n’ont pas besoin d’être ajoutés à cette liste. Ceci s’applique uniquement aux portails des versions 10.5 et ultérieures de .ArcGIS Enterprise Ce paramètre n’est pas requis pour le partage de contenu sécurisé avec une organisation ArcGIS Online.
Les URL des portails doivent être saisies individuellement et doivent comprendre le protocole. Les caractères génériques ne peuvent pas être utilisés et ne sont pas acceptés. Si le portail ajouté permet l’accès HTTP et HTTPS, deux URL doivent être ajoutées pour ce portail (par exemple http://otherportal.domain.com/arcgis et https://otherportal.domain.com/arcgis). Tout portail ajouté à la liste est d'abord validé et doit, par conséquent, être accessible à partir du navigateur.
Paramètres de messagerie
Vous pouvez configurer les paramètres de messagerie de votre organisation, qui permettent d’envoyer des notifications électroniques aux membres. Les notifications électroniques suivantes peuvent être configurées :
- Notifications de la stratégie de mot de passe : une notification automatique par courrier électronique est envoyée à vos contacts administrateurs lorsque la stratégie de mot de passe change. Si aucun contact administratif n’est défini, le compte d’administrateur le plus ancien de l’organisation ou le compte d’administrateur initial recevra la notification par courrier électronique.
- Notifications de réinitialisation du mot de passe : les administrateurs peuvent réinitialiser le mot de passe d’un membre dans l’onglet Members (Membres) ; un courrier électronique est alors envoyé au membre, avec un mot de passe provisoire. Un membre peut également demander un lien de réinitialisation du mot de passe lorsqu’il indique qu’il a oublié son mot de passe dans la page de connexion de l’organisation. Les courriers électroniques sont envoyés à l’adresse électronique associée au profil d’un membre.
- Notifications d’authentification multifacteur : les paramètres de messagerie de votre organisation doivent être configurés pour pouvoir activer l’authentification multifacteur. Si l’authentification multifacteur est configurée, les administrateurs désignés reçoivent éventuellement des notifications par courrier électronique pour désactiver l'authentification multifacteur pour des membres spécifiques.
- Notifications de commentaire sur un élément : lorsque les commentaires sont activés dans l’organisation, les propriétaires des éléments reçoivent des notifications électroniques les informant que de nouveaux commentaires sont publiés sur leurs éléments.
- Notifications de profil et des paramètres : les membres sont avertis de tout changement dans leur profil et leurs paramètres (mot de passe, question de sécurité et visibilité du profil, par exemple).
- Pour configurer les notifications par courrier électronique de votre organisation, sous Email settings (Paramètres de messagerie), cliquez sur Configure (Configurer).
Si les paramètres de messagerie sont déjà configurés, cliquez sur Manage email settings (Gérer les paramètres de messagerie) pour ouvrir la fenêtre Configure email settings (Configurer les paramètres de messagerie).
- Dans la page des paramètres SMTP, procédez comme suit :
- Entrez l’adresse du serveur SMTP.
Il s’agit de l’adresse IP ou du nom de domaine complet du serveur SMTP (par exemple, smtp.domain.com).
- Entrez le port SMTP.
Il s’agit du port par l’intermédiaire duquel le serveur SMTP communiquera. Les ports de communication les plus courants sont les ports 25, 465 et 587. La valeur par défaut est 25.
- Sous Encryption method (Méthode de chiffrement), sélectionnez la méthode de chiffrement des messages électroniques envoyés par votre organisation.
Vous pouvez sélectionner PLAIN TEXT (TEXTE SIMPLE), STARTTLS ou SSL.
- Activez SMTP authentication required (Authentification SMTP requise) si l’authentification est requise pour se connecter avec le serveur SMTP spécifié.
Vous pouvez laisser cette option désactivée si l’authentification SMTP n’est pas requise.
- Si l’option SMTP authentication required (Authentification SMTP requise) est activée ci-avant, saisissez le nom d’utilisateur et le mot de passe d’un utilisateur autorisé à accéder au serveur SMTP.
- Entrez l’adresse électronique à partir de laquelle les courriers électroniques de l’organisation seront envoyés.
Il est recommandé que le membre associé à cette adresse électronique soit répertorié sous les contacts administrateurs de votre organisation.
- Entrez le libellé d’adresse électronique qui sera affiché avec l’adresse électronique émettrice.
Ces informations sont envoyées en tant qu’émetteur dans la ligne de l’émetteur de toutes les notifications par courrier électronique. Vous pouvez utiliser le nom associé à l’adresse électronique de l’émetteur ou utiliser un libellé tel que DO NOT REPLY si vous souhaitez empêcher les membres de répondre directement à l’adresse électronique de l’émetteur.
- Entrez l’adresse du serveur SMTP.
- Cliquez sur Next (Suivant).
Il est recommandé d’envoyer un courrier électronique de test pour vérifier que vous avez correctement configuré vos paramètres de messagerie.
- Entrez une adresse électronique que vous pouvez utiliser pour vérifier que le courrier électronique de test est correctement distribué, puis cliquez sur Send Email (Envoyer le courrier électronique).
Une notification apparaît pour confirmer l’envoi du message électronique. Vous pouvez consulter les journaux du portail pour en savoir plus.
- Cliquez sur Finish (Terminer) pour configurer les paramètres de messagerie.
Si vous souhaitez désactiver les notifications par courrier électronique de votre organisation, cliquez sur Disable email settings (Désactiver les paramètres de messagerie).
Vous avez un commentaire à formuler concernant cette rubrique ?