Haut

Restreindre la capacité de proxy du portail

Dans certains scénarios, ArcGIS Enterprise agit en tant que serveur proxy. Cette fonctionnalité est utile dans les situations suivantes :

  • Vous essayez d’accéder à une ressource sur un domaine autre que votre portail et la prise en charge de CORS (Cross-Origin Resource Sharing) n’est pas disponible. CORS est une spécification qui permet à un serveur Web et à un navigateur Web d'interagir et de déterminer si une requête à origine multiples doit être autorisée.
  • Vous essayez de partager une ressource sécurisée avec d'autres utilisateurs, mais vous souhaitez masquer les informations d'identification de l'utilisateur nécessaires pour accéder à la ressource.

Par défaut, la capacité de proxy du portail est illimitée. Ainsi, le portail peut être détourné pour lancer des attaques de déni de service ou de fausse requête côté serveur contre tout ordinateur auquel la machine du portail peut accéder. Afin de réduire cette vulnérabilité potentielle, il est fortement recommandé de restreindre la capacité de proxy du portail en définissant une liste d’adresses Web approuvées. ArcGIS Enterprise pourra uniquement transmettre par proxy des requêtes aux adresses de la liste. Toutes les autres sont bloquées. Si vous avez fédéré ArcGIS Server avec votre portail, la liste doit contenir les adresses de toutes les machines du site, ainsi que toute ressource partagée en tant qu’élément sur le portail.

Pour définir une liste d'adresses approuvées, suivez les étapes ci-dessous :

  1. Ouvrez un navigateur Web et connectez-vous au répertoire administrateur ArcGIS Enterprise en tant qu’administrateur de votre organisation. L'URL est formatée comme suit : https://example.organization.com/<context>/admin.
  2. Cliquez sur Security (Sécurité) > Configuration > Update Configuration (Mettre à jour la configuration).
  3. Dans le champ Security Configuration (JSON), ajoutez la propriété allowedProxyHosts et indiquez la liste des adresses approuvées.

    {
  "disableServicesDirectory": false,
  "enableAutomaticAccountCreation": false;
  "allowedProxyHosts": "gisserver1.domain.com,gisserver2.domain.com"
}

    Remarque :
    Utilisez le format (.*).domain.com pour autoriser les demandes proxy sur toutes les machines d’un domaine spécifié. Utilisez les caractères génériques (*) avec précaution. Des utilisateurs non autorisés pourraient par inadvertance obtenir un accès à des machines restreintes.

  4. Cliquez sur Update Security Configuration (Mettre à jour la configuration de sécurité).

Vous avez un commentaire à formuler concernant cette rubrique ?