Configurez les paramètres de sécurité.

Les administrateurs par défaut et les utilisateurs qui disposent des privilèges adéquats peuvent configurer les paramètres de sécurité des règles, le partage et la recherche, les stratégies de mot de passe, les options de connexion, l’authentification multifacteur, les notifications d'accès, les serveurs approuvés, l’accès au portail et bien plus encore.

Astuce :

Pour avoir davantage d’informations sur la sécurité, la confidentialité et la conformité, visitez le site web ArcGIS Trust Center.

  1. Assurez-vous d’être connecté en tant qu’administrateur par défaut ou en tant que membre d’un rôle personnalisé dont les privilèges administratifs de gestion de la sécurité et de l’infrastructure sont activés.
  2. En haut du site, cliquez sur Organization (Organisation), puis sur l’onglet Settings (Paramètres).
  3. Cliquez sur Sécurité dans la partie gauche de la page.
  4. Configurez les paramètres de sécurité suivants :

Accès et autorisations

Modifiez les paramètres de stratégie suivants si nécessaires :

  • Allow anonymous access to your organization (Autoriser l’accès anonyme à votre organisation) : activez cette option pour autoriser les utilisateurs anonymes à accéder au site Web de votre organisation. Si cette option n’est pas activée, l’utilisateurs anonymes ne peuvent pas accéder au site Web. Ils ne peuvent pas non plus consulter vos cartes avec Bing Maps (si votre organisation est configurée pour Bing Maps).

    Astuce :

    Si vous désactivez l’accès anonyme, les membres de l’organisation peuvent toujours partager des éléments publics en utilisant L’URL publique.

    Si vous activez l’accès anonyme, vérifiez que les groupes sélectionnés pour les groupes de configuration de site sont partagés avec le public. Sinon, il est possible que des utilisateurs anonymes ne parviennent pas à afficher ou à accéder correctement au contenu public de ces groupes.

    Remarque :

    Les organisations vérifiées doivent autoriser l’accès anonyme à l’organisation. Les organisations vérifiées qui souhaitent désactiver l’accès anonyme doivent d’abord faire en sorte que leur statut vérifié soit retiré.

  • Display an option in your Sign In panel to allow members of other organizations to sign in using their ArcGIS Online credentials solely to access the organization content your members have shared with them (Afficher une option dans votre panneau de connexion pour autoriser les membres d’autres organisations à se connecter avec leurs identifiants de connexion ArcGIS Online seulement pour accéder au contenu de l’organisation que vos membres ont partagé avec eux) : activez cette option pour autoriser les membres d’autres organisations ArcGIS Online à accéder aux éléments que les membres de votre organisation ont partagés avec eux. Lorsque cette option est activée, un lien de connexion s’affiche au bas de la fenêtre de connexion et permet aux utilisateurs de se connecter via www.arcgis.com et d’accéder aux éléments partagés avec eux.
  • Allow members to edit biographical information and who can see their profile (Autorisez les membres à modifier des informations biographiques et à décider qui peut accéder à leur profil) : activez cette option pour permettre aux membres de modifier les informations biographiques de leur profil et de spécifier les personnes y ayant accès.
  • Allow members to download licensed Esri applications, such as ArcGIS Pro, from their settings page (Autorisez des membres à télécharger des applications Esri sous licence, telles qu'ArcGIS Pro, à partir de leur page de paramètres) : activez cette option pour autoriser les membres de l'organisation disposant de la licence nécessaire à télécharger l'application en cliquant sur un lien sur la page de leurs paramètres. Lorsque cette option est désactivée, le lien de téléchargement destiné aux membres est masqué.

Remarque :

Vous pouvez également voir l'option suivante si votre organisation a été créée avant la mi-septembre 2018 et qu’elle a été configurée avec ce paramètre désactivé. Il est recommandé d’activer ce paramètre de sécurité :

  • Allow access to the organization through HTTPS only (Autoriser l’accès à l’organisation via HTTPS uniquement) : activez cette option pour que les données de votre organisation, ainsi que tous les jetons d’identification temporaires qui permettent d’accéder à vos données, soient chiffrés durant les communications via Internet. Une fois ce paramètre activé, examinez votre organisation pour vérifier que rien n’est affecté, comme la page d’accueil, les cartes, les scènes et les applications. Par exemple, il se peut que vous deviez mettre à jour des couches et faire en sorte qu’elles utilisent HTTPS dans vos cartes et scènes.

Soixante jours après l’activation de ce paramètre, l’option de désactivation n’est plus disponible sur la page Organization (Organisation).

Partage et recherche

Modifiez les paramètres de partage et recherche suivants, si nécessaire :

  • Members can share content publicly (Les membres peuvent partager du contenu publiquement) : activez cette option pour permettre aux membres de rendre leur profil visible à tout le monde (public), de partager leurs applications Web et d’autres éléments avec d’autres organisations ou le public, ou même d’intégrer leurs cartes ou leurs groupes dans des sites Web.

    Si vous désactivez cette option, les membres ne peuvent pas rendre leur profil public, partager publiquement leur contenu ni intégrer du contenu dans des sites Web. Les boutons des réseaux sociaux sont également désactivés. En tant qu'administrateur, vous pouvez partager les éléments des membres avec le public. Vous pouvez également rendre le profil d'un membre visible pour tout le monde (public) de sorte que le membre puisse recevoir des invitations de la part de groupes en-dehors de l'organisation.

    Si vous désactivez l’accès anonyme à votre organisation, vous pouvez partager des cartes, des applications et des groupes en partageant l’élément avec tout le monde (public) et en transformant l’URL privée de votre organisation en URL ArcGIS Online publique (www.arcgis.com) pour l’élément. Vous pouvez, par exemple, partager une des cartes de votre organisation avec des utilisateurs anonymes en changeant l’URL https://samplegis.maps.arcgis.com/home/webmap/viewer.html?webmap=fb39737f95a74b009e94d2274d44fd55en https://www.arcgis.com/home/webmap/viewer.html?webmap=fb39737f95a74b009e94d2274d44fd55.

  • Members can search for content outside the organization (Les membres peuvent rechercher du contenu hors de l’organisation) : activez cette option pour permettre aux membres d’accéder à des cartes, des couches, des applications et des fichiers appartenant à des utilisateurs non affiliés à l’organisation.

    Si vous désactivez ce paramètre, les membres ne peuvent pas accéder au contenu en hors de l’organisation. En tant qu’administrateur, vous pouvez rechercher des éléments en dehors de l’organisation.

  • Show social media links on item and group pages (Affichez les liens vers les réseaux sociaux sur les pages des éléments ou des groupes) : activez cette option pour inclure des liens vers Facebook et Twitter sur des pages d’éléments et de groupes.

Stratégie de mot de passe

Lorsqu'ils changent leur mot de passe, les membres doivent respecter la stratégie de mot de passe de l'organisation. Dans le cas contraire, un message détaillant la stratégie s'affiche. La stratégie de mot de passe de l'organisation ne s'applique pas aux identifiants de connexion d'organisation tels que SAML ni aux informations d'identification des applications qui utilisent des ID et des clés secrètes pour l'application.

La stratégie de mot de passe ArcGIS par défaut stipule que les mots de passe doivent comprendre au moins huit caractères et contenir au moins une lettre et un nombre. Si vous souhaitez mettre à jour la stratégie de mot de passe de votre organisation, cliquez sur Manage password policy (Gérer la stratégie de mot de passe) pour configurer la longueur, la complexité et l’historique des mots de passe des membres détenteurs de comptes ArcGIS. Vous pouvez spécifier le nombre de caractères et indiquer si le mot de passe doit contenir au moins une occurrence des éléments suivants : lettre majuscule, lettre minuscule, chiffre ou caractère spécial. Vous pouvez également configurer le nombre de jours avant expiration du mot de passe et le nombre de mots de passe antérieurs que le membre ne peut pas réutiliser. Pour revenir à tout moment à la stratégie par défaut d’ArcGIS, cliquez sur Use default ArcGIS policy (Utiliser la stratégie ArcGIS par défaut).

Remarque :

Les mots de passe faibles ne sont pas acceptés. Un mot de passe est considéré comme faible s’il s’agit d’un mot de passe couramment utilisé, tel que modepasse1, ou s’il comprend des caractères répétitifs ou séquentiels, par exemple, aaaabbbb ou 1234abcd.

Connexions

Vous pouvez personnaliser la page de connexion de l'organisation pour permettre aux membres de se connecter au moyen d"une des méthodes suivantes : identifiants de connexion ArcGIS, Security Assertion Markup Language (SAML) (autrefois nommés identifiants de connexion d'entreprise), OpenID Connect et à un réseau social.

Activez la bascule ArcGIS login (Identifiant de connexion ArcGIS) pour permettre aux utilisateurs de se connecter avec leurs identifiants ArcGIS.

Utilisez le bouton Set up SAML login (Configurer un identifiant de connexion SAML) pour configurer des identifiants de connexion SAML si vous voulez que les membres se connectent à ArcGIS en utilisant le fournisseur d'identités SAML existant de votre organisation.

Utilisez le bouton Set up OpenID Connect login (Configurer un identifiant de connexion OpenID Connect) pour configurer des identifiants de connexion OpenID Connect si vous voulez que les membres se connectent à ArcGIS en utilisant le fournisseur d'identités OpenID Connect existant de votre organisation.

Regardez cette vidéo pour connaître les avantages des identifiants de connexion d’organisation tels que SAML et OpenID Connect.

Vous pouvez également autoriser les membres de l’organisation à s’inscrire et à se connecter à ArcGIS avec les identifiants de connexion qu’ils utilisent pour les réseaux sociaux, tels que Facebook, Google, GitHub et Apple. Pour activer les identifiants de connexion aux réseaux sociaux, activez la bascule Social Logins (Identifiants de connexion aux réseaux sociaux) des réseaux sociaux que vous souhaitez activer.

Authentification multifacteur

Les organisations qui veulent offrir à leurs membres la possibilité de configurer l’authentification multifacteur pour la connexion à ArcGIS peuvent activer le bouton Allow members to choose whether to set up multifactor authentication for their individual accounts (Autoriser les membres à configurer l’authentification multifacteur pour leurs comptes individuels). L’authentification multifacteur offre un niveau de sécurité supplémentaire en exigeant la saisie d’un code de vérification en plus du nom d’utilisateur et du mot de passe lorsque les membres se connectent.

Si vous activez ce paramètre, les membres de l’organisation peuvent configurer l’authentification multifacteur via leur page de profil et recevoir des codes de vérification sur leur téléphone mobile ou leur tablette à partir d’une application d’authentification prise en charge (actuellement, Google Authenticator pour Android et iOS, et Authenticator pour Windows Phone). L’authentification multifacteur n’est pas prise en charge pour les identifiants de connexion SAML, OpenID Connect ou les comptes d’organisation ArcGIS créés lors d’une connexion via les réseaux sociaux. Les membres qui activent l’authentification multifacteur sont identifiés par une coche dans la colonne Multifactor Authentication (Authentification multifacteur) Authentification multifacteur de la table des membres, dans l’onglet Members (Membres) de la page Organization (Organisation).

Si vous activez l’authentification multifacteur pour votre organisation, vous devez désigner au moins deux administrateurs qui recevront les demandes par courrier électronique pour désactiver l’authentification multifacteur sur les comptes des membres, en fonction des besoins. ArcGIS Online envoie des messages électroniques de la part des membres demandant de l’aide sur l’authentification multifacteur via le lien Having trouble signing in with your code? (Vous ne parvenez pas à vous connecter avec votre code ?) (sur la page invitant le membre à saisir le code d’authentification). Au moins deux administrateurs sont requis afin de s’assurer qu’au moins un sera disponible pour aider les membres ayant des problèmes liés à l’authentification multifacteur.

L’authentification multifacteur fonctionne avec les comptes ArcGIS dans les applications Esri qui prennent en charge OAuth 2.0. Cela concerne le site Web ArcGIS Online, ArcGIS Desktop version 10.2.1 et ultérieure, les applications ArcGIS, My Esri et les applications de ArcGIS Marketplace. Dans ArcGIS Desktop 10.2.1 et versions ultérieures, l’authentification multifacteur permet de se connecter aux services ArcGIS Online à partir du nœud de services prêts à l’emploi dans la fenêtre de catalogue.

L’authentification multifacteur doit être désactivée pour accéder aux applications sans la prise en charge OAuth 2.0. Pour certaines applications, telles que ArcGIS Desktop 10.2.1 et versions ultérieures, prenant en charge OAuth 2.0, l’authentification multifacteur doit tout de même être désactivée avant l’établissement d’une connexion à partir de ArcGIS Desktop avec les services ArcGIS Server disponibles sur ArcGIS Online. Cela englobe les services de géocodage et de géotraitement qui effectuent des calculs d'itinéraires et des analyses d'altitude. L’authentification multifacteur doit également être désactivée lorsque vous stockez des identifiants de connexion avecEsri.

Notification de connexion

Vous pouvez configurer et afficher une notification de conditions à l’attention des utilisateurs qui accèdent à votre site.

Vous pouvez configurer une notification de connexion à l’attention des membres de l’organisation ou de tous les utilisateurs qui accèdent à votre organisation, ou des deux. Si vous définissez une notification de connexion pour les membres de l’organisation, la notification s’affiche une fois les membres connectés. Si vous définissez une notification de connexion pour tous les utilisateurs, la notification s’affiche dès qu’un utilisateur accède au site. Si vous définissez les deux notifications de connexion, les membres de l’organisation verront les deux notifications.

Pour configurer une notification de connexion pour les membres de l’organisation ou tous les utilisateurs, cliquez sur Set access notice (Définir la notification de connexion) dans la section appropriée, activez le bouton permettant d’afficher la notification de connexion et entrez le titre et le texte de la note. Sélectionnez l’option ACCEPT and DECLINE (ACCEPTER ou REFUSER) si vous voulez que les utilisateurs acceptent la notification de connexion avant de naviguer sur le site ou sélectionnez OK only (OK uniquement) si vous voulez que les utilisateurs cliquent simplement sur OK pour continuer. Cliquez sur Enregistrer lorsque vous avez terminé.

Pour modifier la notification d'accès aux membres de l'organisation ou à tous les utilisateurs, cliquez sur Edit access notice (Modifier la note de connexion) dans la section appropriée et apportez les modifications aux options de titre, texte ou boutons d'actions. Si vous ne souhaitez plus afficher les notifications d'accès, désactivez la bascule correspondante. Même après désactivation des notifications d'accès, la configuration et le texte saisis précédemment sont conservés au cas où les notifications seraient à nouveau activées ultérieurement. Cliquez sur Enregistrer lorsque vous avez terminé.

Bannière d’informations

Vous pouvez utiliser des bannières d’informations pour alerter les utilisateurs qui accèdent à votre organisation au sujet du statut et du contenu de votre site. Vous pouvez, par exemple, tenir les utilisateurs informés des programmes de maintenance et les alerter sur les informations classifiées et les modes de lecture seule en créant des messages personnalisés qui s’affichent en haut et en bas du site. La bannière apparaît sur les pages Home (Accueil), Gallery (Galerie), Map Viewer, Scene Viewer, Groups (Groupes), Content (Contenu) et Organization (Organisation).

Pour activer la bannière d’informations de votre organisation, cliquez sur Set information banner (Définir la bannière d’informations) et activez Display information banner (Afficher la bannière d’informations). Ajoutez du texte dans le champ Banner text (Texte de bannière) et choisissez une couleur d’arrière-plan et de police. Un taux de contraste apparaît pour la couleur de texte et d’arrière-plan sélectionnée. Un taux de contraste est une mesure de lisibilité basée sur les normes d’accessibilité WCAG 2.1 ; un taux de contraste d’au moins 4,5 est recommandé dans un souci de conformité à ces normes.

Vous pouvez afficher un aperçu de la bannière d’informations dans la fenêtre Preview (Aperçu). Cliquez sur Save (Enregistrer) pour ajouter la bannière à votre organisation.

Pour modifier la bannière d’information, cliquez sur Edit information banner (Mettre à jour la bannière d’informations) et apportez les modifications souhaitées au texte ou au style de la bannière. Si vous ne souhaitez plus afficher la bannière d'informations, désactivez la bascule correspondante. Même après désactivation de la bannière d'informations, la configuration et le texte saisis précédemment sont conservés au cas où la bannière d'informations serait à nouveau activée ultérieurement. Cliquez sur Enregistrer lorsque vous avez terminé.

Serveurs approuvés

Pour Trusted servers (Serveurs approuvés), configurez la liste des serveurs approuvés auxquels vous voulez que vos clients envoient des identifiants de connexion lorsque vous formulez des requêtes CORS (Cross-Origin Resource Sharing) visant à accéder aux services sécurisés avec l’authentification au niveau du Web. Cela s’applique principalement à la mise à jour des services d’entités sécurisés à partir d’une instance ArcGIS Server autonome (non fédérée) ou à l’affichage des services OGC sécurisés. Il n’est pas nécessaire d’ajouter à cette liste les services d’hébergement ArcGIS Serversécurisés à l’aide de la sécurité à base de jetons. Les serveurs ajoutés à la liste des serveurs approuvés doivent prendre CORS en charge. En outre, la norme CORS doit être configurée de façon à autoriser certains domaines qui permettront de communiquer avec le serveur, tels que le domaine de votre organisation ArcGIS Online. Les couches hébergées sur des serveurs qui ne prennent pas CORS en charge risquent de ne pas fonctionner comme prévu. ArcGIS Server prend en charge CORS par défaut dans les versions 10.1 et ultérieures. Pour configurer CORS sur des serveurs autres qu'ArcGIS, reportez-vous à la documentation du fournisseur du serveur Web.

Les noms d'hôtes doivent être saisis individuellement. Les caractères génériques ne peuvent pas être utilisés et ne sont pas acceptés. Le nom d'hôte peut être saisi avec ou sans le protocole devant. Vous pouvez par exemple saisir le nom d'hôte secure.esri.com comme suit : secure.esri.com ou https://secure.esri.com.

Remarque :

La mise à jour des services d'entités sécurisés avec l'authentification au niveau du Web nécessite un navigateur Web qui prend en charge CORS. CORS est activé sur tous les navigateurs pris en charge.

Autoriser les origines

Par défaut, l’API REST ArcGIS est ouverte aux demandes CORS (Cross-Origin Resource Sharing) émanant des applications web de n’importe quel domaine. Si votre organisation souhaite limiter les domaines des applications web qui sont autorisés à accéder à l’API REST ArcGIS via CORS, vous devez désigner explicitement ces domaines. Par exemple, pour restreindre l’accès CORS aux applications Web sur acme.com uniquement, cliquez sur Add (Ajouter), saisissez https://acme.com dans la zone de texte et cliquez sur Add domain (Ajouter un domaine). Vous pouvez désigner jusqu’à 100 domaines approuvés pour votre organisation. Il n’est pas nécessaire de désigner arcgis.com comme domaine approuvé, car les applications s’exécutant sur le domaine arcgis.com sont toujours autorisées à se connecter à ArcGIS REST API.

Autoriser l’accès au portail

Configurez une liste de portails (par exemple, https://otherportal.domain.com/arcgis) avec lesquels vous souhaitez partager le contenu sécurisé. Cela permet aux membres de votre organisation d’utiliser leurs identifiants de connexion d’organisation (notamment les identifiants SAML) pour accéder au contenu sécurisé lorsqu’ils le consultent depuis ces portails. Ceci s’applique uniquement aux portails des versions 10.5 et ultérieures de .Portal for ArcGIS Ce paramètre n’est pas requis pour le partage de contenu sécurisé entre organisations ArcGIS Online. Pour partager du contenu de façon privée entre organisations, consultez la rubrique Partager des éléments avec une autre organisation.

Les URL des portails doivent être saisies individuellement et doivent comprendre le protocole. Les caractères génériques ne peuvent pas être utilisés et ne sont pas acceptés. Si le portail ajouté permet l’accès HTTP et HTTPS, deux URL doivent être ajoutées pour ce portail (par exemple http://otherportal.domain.com/arcgis et https://otherportal.domain.com/arcgis). Tout portail ajouté à la liste est d'abord validé et doit, par conséquent, être accessible à partir du navigateur.