Skip To Content

Composants d'identité : LDAP et authentification unique

Dans cette rubrique

Composants d'identité : LDAP et authentification unique

Le géoportail implémente un modèle d'authentification basé sur les conteneurs Java standard. Le conteneur Java est configuré pour effectuer l'authentification par rapport à un magasin d'identités. Les demandes entrantes sont traitées par le conteneur et les informations d'identification sont demandées et authentifiées comme nécessaire. Les informations sur l'utilisateur authentifié sont alors fournies, par demande, à chaque application Web participante qui s'exécute au sein du conteneur. Ces informations sont fournies en tant qu'objet UserPrincipal, lequel contient généralement une information d'identification de type "nom d'utilisateur" ; l'information d'identification "mot de passe" n'est pas fournie aux applications sous-jacentes.

Au minimum, le géoportail requiert un accès en lecture à un magasin d'identités LDAP (Lightweight Directory Access Protocol) externe. Le magasin d'identités contient des informations sur les utilisateurs et les groupes. Un ensemble de fonctions interrogent le magasin d'identités (en lecture seule) pour déterminer les attributs associés à un utilisateur (par ex., l'adresse e-mail), les groupes auxquels un utilisateur appartient et les groupes inclus dans le magasin. L'autorisation d'accéder à une fonctionnalité spécifique est basée sur l'appartenance aux groupes (c'est-à-dire, le rôle), définie ci-dessous :

  • Administrateurs du géoportail : les membres de ce groupe ont un accès complet, y compris la capacité à approuver les documents de métadonnées.
  • Editeurs du géoportail : les membres de ce groupe peuvent publier des documents de métadonnées et inscrire des sites distants pour une collecte.
  • Utilisateurs inscrits du géoportail : les membres de ce groupe peuvent enregistrer les recherches et les cartes pour les utiliser ultérieurement.
Un ensemble de fonctions modifient le contenu du magasin d'identités. Les fonctions suivantes sont associées à la gestion des utilisateurs et incluent : la capacité à s'inscrire en tant que membre, la gestion des profils d'utilisateur (modification des attributs d'utilisateur LDAP tels que l'adresse e-mail), la modification du mot de passe et une procédure en cas d'oubli du mot de passe. Ces fonctions peuvent être désactivées dans le fichier de configuration gpt.xml dans le cas où une connexion en écriture à LDAP n'est pas disponible ou souhaitée. Le géoportail implémente la communication LDAP par le biais d'une classe extensible, com.esri.Geoportal.framework.security.identity.ldap.LdapIdentityAdapter. Si nécessaire, cette classe peut être remplacée pour fournir un comportement personnalisé. Toutefois, dans la plupart des cas, l'intégration avec le protocole LDAP d'une organisation peut être configurée par le biais de la section <identity> du fichier gpt.xml sans modifier les classes.