comment ArcGIS Enterprise et ses composants logiciels associés, ArcGIS Server et Portal for ArcGIS, sont-ils impactés par la désactivation de TLS 1.0 et 1.1 ?

Réponse

Pour respecter les bonnes pratiques du secteur en matière de sécurité et d’intégrité des données, Esri est sur le point de mettre fin à la prise en charge des versions 1.0 et 1.1 de TLS dans ArcGIS Online et d’appliquer TLS 1.2. Lorsque ce changement sera effectif, les applications clientes qui ne prennent pas en charge TLS 1.2 ne seront plus en mesure d’interagir avec ArcGIS Online. Cet article indique les effets de la désactivation de ces versions de protocole pour les utilisateurs d’ArcGIS Enterprise et de ses composants logiciels associés, ArcGIS Server et Portal for ArcGIS.

De quelle façon les composants logiciels ArcGIS Enterprise sont-ils impactés ?

Les déploiements ArcGIS Enterprise qui ne prennent pas en charge le protocole TLS 1.2 sont concernés, car toute tentative de connexion à ArcGIS Online via TLS 1.0 et TLS 1.1 est vouée à l’échec. Les processus affectés, liés à ArcGIS Server et Portal for ArcGIS, sont les suivants :

Processus ArcGIS Server :

• Utilisation des services d’impression d’ArcGIS Server pour imprimer des contenus ou fonds de carte ArcGIS Online (un symptôme classique est que l’exportation des fonds de carte échoue après l’entrée en vigueur du changement)
• Services de géotraitement personnalisés qui recourent à du contenu ArcGIS Online
• Inscription d’éléments dans ArcGIS Online via l’interface ArcGIS Server Manager dans ArcGIS Server versions 10.4 et antérieures

Processus Portal for ArcGIS :

• Accès au contenu sécurisé d’ArcGIS Online via les éléments inscrits dans Portal for ArcGIS, notamment les couches hébergées, les fonds de carte et le contenu d’ArcGIS Living Atlas of the World
• Configuration et utilisation des services réseaux ArcGIS Online dans Portal for ArcGIS. Cela comprend la recherche géographique, le géocodage, le calcul d’itinéraire et d’autres services réseaux

Comment puis-je savoir si mon déploiement ArcGIS Enterprise est impacté ?

Deux facteurs principaux déterminent si un environnement est concerné : il s’agit de la version logicielle des composants ArcGIS Enterprise et du système d’exploitation sur lequel les composants ArcGIS Enterprise sont installés. La version d’Internet Explorer installée sur le serveur peut également modifier le comportement du système et avoir un impact sur les processus ArcGIS Server définis précédemment. L’organigramme joint indique les environnements impactés ainsi que les points d’action recommandés, comme décrit ci-après.

Portal for ArcGIS
Les versions de Portal for ArcGIS sont impactées différemment en fonction du processus réalisé.
 
Si vous utilisez Portal for ArcGIS pour accéder au contenu sécurisé d’ArcGIS Online par le biais d’éléments inscrits avec des identifiants de connexion mémorisés, la version 10.5 de Portal for ArcGIS et les versions antérieures sont concernés, car ces versions ne prennent pas en charge la configuration appropriée nécessaire pour accéder au contenu ArcGIS Online via TLS 1.2.
Portal for ArcGIS 10.5.1 et les versions ultérieures ne sont pas concernés.

Si vous utilisez Portal for ArcGIS pour configurer et utiliser les services réseaux d’ArcGIS Online, Portal for ArcGIS 10.4 et les versions antérieures sont concernés, car ces versions contiennent des composants internes qui ne peuvent communiquer que par l’intermédiaire du protocole TLS 1.0.
Portal for ArcGIS 10.4.1 et les versions ultérieures ne sont pas concernés lors de l’exploitation des services réseaux d’ArcGIS Online.

ArcGIS Server
La prise en charge du système d’exploitation sous-jacent détermine si les processus ArcGIS Server sont impactés. Reportez-vous aux informations détaillées ci-dessous pour en savoir plus sur les installations sous Windows Server.

Quels systèmes d’exploitation prennent en charge TLS 1.2 ?

Windows Server 2008
Les installations d’ArcGIS Server sous Windows Server 2008 sont concernées, car ce système d’exploitation ne prend pas en charge TLS 1.2.
Il existe un correctif Microsoft visant à permettre la prise en charge de TLS 1.2 sous Windows Server 2008, mais ce correctif ne suffit pas à apporter la prise en charge complète de TLS 1.2 requise par ce changement.

Windows Server 2008 R2 et versions ultérieures
Windows Server 2008 R2 et versions ultérieures (Windows Server 2012, Windows Server 2012 R2 et Windows Server 2016 comprises) incluent la prise en charge du protocole nécessaire pour se connecter à l’aide de TLS 1.2.

Pour Windows Server 2008 R2 et Windows Server 2012, il peut s’avérer nécessaire d’activer de façon explicite TLS 1.2 pour le compte ArcGIS Server. Les valeurs par défaut du système sont impactées par la version d’Internet Explorer installée sur le serveur. Si Internet Explorer 11 est installé, les paramètres système sont mis à jour afin d’activer TLS 1.2 par défaut. Si Internet Explorer 11 n’est pas installé sur le serveur, il peut s’avérer nécessaire d’activer explicitement TLS 1.2 pour le compte ArcGIS Server.

Linux
ArcGIS Server fonctionnant sous Linux comporte la prise en charge de TLS 1.2 sur toutes les versions prises en charge.

Que faire si mon déploiement ArcGIS Enterprise est impacté ?

Portal for ArcGIS
Si vous avez déployé Portal for ArcGIS 10.5 ou une version antérieure et que vos processus sont impactés par la désactivation de TLS 1.0 et TLS 1.1, Esri recommande de mettre à niveau le produit vers une version prenant en charge la communication via TLS 1.2. Toutes les versions de Portal for ArcGIS 10.5.1 et versions ultérieures prennent complètement en charge TLS 1.2. Esri recommande aux clients de procéder à une mise à niveau vers la version la plus actuelle, dans la mesure du possible.

ArcGIS Server
Les processus d’ArcGIS Server peuvent éventuellement être impactés quelle que soit la version. Cela est dû au système d’exploitation sur lequel ArcGIS Server est installé et aux options Internet utilisées par le compte ArcGIS Server.

Si ArcGIS Server fonctionne sous Windows Server 2008, il est nécessaire de procéder à la mise à niveau de la version de Windows Server pour résoudre ce problème.
Il est possible que les clients utilisant ArcGIS Server sous Windows Server 2008 R2 ou Windows Server 2012 doivent également activer TLS 1.2 pour le compte ArcGIS Server.

Si Internet Explorer 11 est installé, les paramètres système sont mis à jour afin d’activer TLS 1.2 par défaut. Si Internet Explorer 11 n’est pas installé sur le serveur, il peut s’avérer nécessaire d’activer explicitement TLS 1.2 pour le compte ArcGIS Server dans la fenêtre des options Internet.

Il n’y a aucun impact et aucune configuration n’est requise pour les déploiements ArcGIS Server fonctionnant sous Windows Server 2012 R2 et Windows Server 2016.

Si vous avez observé les recommandations décrites ci-dessus et continuez à rencontrer des problèmes de communication avec ArcGIS Online via les composants ArcGIS Enterprise, veuillez contacter le support technique Esri pour un examen plus poussé.

Remarque :
Reportez-vous à la page consacrée à TLS du support technique Esri pour obtenir des instructions sur l’utilisation de TLS 1.2 avec les autres produits Esri.