SAML (Security Assertion Markup Language) est une norme ouverte permettant un échange en toute sécurité des données d'authentification et d'autorisation entre un fournisseur d'identités d'entreprise et un fournisseur de services (dans ce cas, Portal for ArcGIS). C'est ce que l'on appelle l'authentification unique Web SAML. Le portail est conforme à SAML 2.0 et s'intègre avec les fournisseurs d'identités qui prennent en charge l'authentification unique Web SAML 2. Grâce à la configuration de SAML, vous n'avez pas besoin de créer d'identifiants de connexion supplémentaires pour que les utilisateurs accèdent à Portal for ArcGIS. Ils utilisent à la place l'identifiant de connexion qui est déjà configuré dans un magasin d'identités d'entreprise. Ce processus est décrit dans la documentation sous forme de configuration d'identifiants de connexion d'entreprise.
Vous pouvez également transmettre au portail des métadonnées concernant les groupes d'entreprise de votre magasin d'identités. Cela vous permet de créer des groupes sur le portail qui se basent sur les groupes d'entreprise de votre magasin d'identités. Lorsque les membres se connectent au portail, l'accès au contenu, aux éléments et aux données est déterminé par les règles d'appartenance définies dans le groupe d'entreprise. Si vous ne communiquez pas les métadonnées requises concernant les groupes d'entreprise, vous pourrez toutefois créer des groupes. Cependant, les règles d'appartenance seront contrôlées par Portal for ArcGIS et non par votre magasin d'identités.
Connexion SAML
Portal for ArcGIS prend en charge les identifiants de connexion d'entreprise initiés par les fournisseurs de services et les identifiants de connexion d'entreprise initiés par les fournisseurs d'identités. Chaque type de connexion est différent.
Identifiants de connexion initiés par les fournisseurs de services
Avec les identifiants de connexion initiés par les fournisseurs de services, les utilisateurs accèdent directement au portail et peuvent utiliser des options leur permettant de se connecter avec des comptes intégrés (gérés par le portail) ou des comptes gérés par un fournisseur d'identités compatible avec SAML. Si l'utilisateur choisit l'option du fournisseur d'identités SAML, il est redirigé vers une page Web (connue sous le nom de gestionnaire d'identifiants de connexion d'entreprise) où il est invité à saisir son nom d'utilisateur et son mot de passe d'entreprise. Au terme de la vérification de l'identifiant de connexion de l'utilisateur, le fournisseur d'identités d'entreprise informe Portal for ArcGIS que l'identité de l'utilisateur qui se connecte a été vérifiée et l'utilisateur est redirigé vers le site Web du portail.
Si l'utilisateur choisit l'option du compte intégré, la page de connexion au site Web du portail s'ouvre. L'utilisateur peut alors saisir son nom d'utilisateur et son mot de passe de compte intégré pour accéder au site Web. Cette option ne peut pas être désactivée. L'option du compte intégré peut être utilisée en cas d'indisponibilité de votre fournisseur d'identités compatible avec SAML.
Identifiants de connexion initiés par les fournisseurs d'identités
Avec les identifiants de connexion initiés par les fournisseurs de services, les utilisateurs accèdent directement au gestionnaire d'identifiants d'entreprise et se connectent avec leur compte. Lorsque l'utilisateur envoie ses informations de compte, le fournisseur d'identités envoie la réponse SAML directement à Portal for ArcGIS. L'utilisateur est ensuite connecté et redirigé vers le site Web du portail, où il peut immédiatement accéder aux ressources sans avoir à se reconnecter à l'organisation.
L'option de connexion avec un compte intégré à partir du gestionnaire d'identifiants de connexion d'entreprise n'est pas disponible. Pour se connecter à l'organisation avec un compte intégré, les membres doivent accéder directement au site Web du portail.
Fournisseurs d'identités SAML
Les didacticiels suivants expliquent comment utiliser plusieurs fournisseurs d'identités compatibles avec SAML avec Portal for ArcGIS :
- NetIQ Access Manager 3.2 et versions ultérieures
- OpenAM 10.1.0 et versions ultérieures
- Shibboleth 2.3.8 et versions ultérieures
- SimpleSAMLphp 1.10 et versions ultérieures
La procédure d'obtention des métadonnées nécessaires à partir des fournisseurs d'identités ci-dessus est décrite dans chaque lien. La procédure de configuration des fournisseurs d'entreprise avec Portal for ArcGIS est décrite ci-dessous. Avant de continuer, il est conseillé de contacter l'administrateur du fournisseur d'identités de votre entreprise pour obtenir les paramètres nécessaires à la configuration.
Prise en charge de plusieurs fournisseurs d'identités SAML
Avec SAML, vous pouvez autoriser l'accès à votre portail à l'aide de plusieurs magasins d'identités. Cette méthode est conseillée pour gérer les utilisateurs qui peuvent se trouver au sein ou en dehors de votre organisation.
Pour ce faire, établissez une relation de confiance entre les magasins d'identités que vous voulez rendre accessibles sur le portail. Cette opération est généralement réalisée par un administrateur de la sécurité. Les relations de confiance ne sont pas configurées dans Portal for ArcGIS. Une fois la relation de confiance établie, il vous suffit de configurer un des magasins d'identités approuvés avec votre portail (comme décrit ci-dessous). Lorsque les utilisateurs accèdent au site Web du portail ou au site du fournisseur d'identités, l'option leur permettant de se connecter avec un compte d'entreprise géré par un des fournisseurs d'identités approuvés apparaît.
Informations requises
Portal for ArcGIS requiert la réception de certaines informations attributaires de la part du fournisseur d'identités lorsqu'un utilisateur se connecte à l'aide d'identifiants d'entreprise. NameID est un attribut obligatoire qui doit être envoyé par votre fournisseur d'identités dans la réponse SAML afin que la fédération avec Portal for ArcGIS fonctionne. Lorsqu'un utilisateur IDP se connecte, un nouvel utilisateur nommé NameID est créé par Portal for ArcGIS dans son magasin d'utilisateurs. Les caractères autorisés pour la valeur envoyée par l'attribut NameID sont les caractères alphanumériques et le trait de soulignement (_). (le point) et @ (le symbole arobase). Tous les autres caractères seront désactivés pour contenir des traits de soulignement dans le nom d'utilisateur créé par Portal for ArcGIS.
Portal for ArcGIS prend en charge le flux des attributs givenName et le email address de l'identifiant de connexion d'entreprise provenant du fournisseur d'identités. Lorsqu'un utilisateur se connecte à l'aide d'un identifiant de connexion d'entreprise et si Portal for ArcGIS reçoit des attributs avec les noms givenname, email ou mail (quelle que soit la casse), Portal for ArcGIS renseigne le nom complet et l'adresse électronique du compte de l'utilisateur avec les valeurs reçues de la part du fournisseur d'identités. Il est conseillé de transmettre l'adresse électronique (email address) reçue du fournisseur d'identités d'entreprise afin que l'utilisateur puisse recevoir les notifications.
Configuration de votre portail avec un fournisseur d'identités SAML
- Connectez-vous au site Web du portail en tant qu'administrateur de votre organisation et cliquez sur Mon organisation > Modifier les paramètres > Sécurité.
- Dans la section Connexions d'entreprise, cliquez sur le bouton Définir le fournisseur d'identités et saisissez le nom de votre organisation dans la fenêtre qui s'ouvre (par exemple, Ville de Redlands). Lorsque les utilisateurs accèdent au site Web du portail, ce texte est intégré dans le nom de l'option de connexion SAML (par exemple, Utilisation de votre compte Ville de Redlands).
- Indiquez si vos utilisateurs peuvent rejoindre l'organisation automatiquement ou après l'ajout des comptes au portail. Sélectionnez la première option pour permettre aux utilisateurs de se connecter à l'organisation avec leur identifiant de connexion d'entreprise sans intervention de l'administrateur. Leur compte est automatiquement enregistré auprès de l'organisation lors de leur première connexion. La seconde option suppose que l'administrateur enregistre les comptes nécessaires auprès de l'organisation à l'aide d'un utilitaire de ligne de commande ou d'un exemple de script Python. Une fois les comptes enregistrés, les utilisateurs peuvent se connecter à l'organisation.
Astuce:
Nous vous recommandons de désigner au moins un compte d'entreprise pour administrer votre portail et de rétrograder ou de supprimer le compte d'administrateur initial. Nous vous conseillons également de désactiver le bouton Créer un compte et la page de connexion (signup.html) sur le site Web du portail pour empêcher les utilisateurs de créer leurs propres comptes. Pour plus d'informations, consultez la section Désigner un compte d'entreprise comme administrateur ci-dessous.
- Fournissez les informations de métadonnées nécessaires concernant le fournisseur d'identités d'entreprise compatible avec SAML. Pour ce faire, spécifiez la source à laquelle le portail accédera pour obtenir les informations de métadonnées. Des liens vers les instructions d'obtention des métadonnées auprès de fournisseurs certifiés sont disponibles dans la section Fournisseurs d'identités SAML ci-dessus. Trois sources sont possibles pour obtenir des informations sur les métadonnées :
- URL : fournissez une URL qui renvoie des informations de métadonnées concernant le fournisseur d'identités.
Remarque :
Si votre fournisseur d'identités d'entreprise inclut un certificat auto-signé, vous pouvez rencontrer une erreur en essayant de spécifier l'URL HTTPS des métadonnées. Cela se produit parce que Portal for ArcGIS ne peut pas vérifier le certificat auto-signé du fournisseur d'identités. Vous pouvez également utiliser HTTP dans l'URL, une des autres options ci-dessous ou configurer votre fournisseur d'identités avec un certificat approuvé.
- Fichier : chargez un fichier contenant des informations de métadonnées concernant le fournisseur d'identités.
- Paramètres : entrez directement des informations de métadonnées concernant le fournisseur d'identités en fournissant les paramètres suivants :
- URL de connexion : l'URL que Portal for ArcGIS doit utiliser pour autoriser un utilisateur à se connecter.
- Certificat : fournissez le certificat X.509 du fournisseur d'identités d'entreprise. Il s'agit du certificat qui permet à Portal for ArcGIS de vérifier la signature numérique dans les réponses SAML qui lui sont envoyées par le fournisseur d'identités d'entreprise.
Remarque :
Contactez l'administrateur du fournisseur d'identités pour obtenir de l'aide sur l'identification de la source des informations de métadonnées que vous devez communiquer.
- URL : fournissez une URL qui renvoie des informations de métadonnées concernant le fournisseur d'identités.
- Pour terminer le processus de configuration et établir une relation de confiance avec le fournisseur d'identités, enregistrez les métadonnées du fournisseur de services du portail auprès de votre fournisseur d'identités d'entreprise. Vous pouvez obtenir les métadonnées de votre portail de deux façons :
- Dans la section Sécurité de la page Modifier les paramètres de votre organisation, cliquez sur le bouton Obtenir un fournisseur de services. Les métadonnées de votre organisation s'affichent, que vous pouvez enregistrer au format XML sur votre ordinateur.
- Ouvrez l'URL des métadonnées et enregistrez-les en tant que fichier XML sur votre ordinateur. L'URL est https://webadaptor.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=<token>, par exemple, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Vous pouvez générer un jeton avec https://webadaptor.domain.com/arcgis/sharing/rest/generateToken. Lorsque vous saisissez l'URL sur la page Générer un jeton, indiquez le nom de domaine complet du serveur du fournisseur d'identités dans le champ URL de l'application Web. Sélectionnez une autre option, telle que Adresse IP ou Adresse IP de l'origine de cette requête, au risque de générer un jeton incorrect.
Des liens vers les instructions d'enregistrement des métadonnées du fournisseur de services du portail auprès des fournisseurs certifiés sont disponibles dans la section Fournisseurs d'identités SAML ci-dessus.
- Configurez les paramètres avancés comme il convient :
- Chiffrer l'assertion : sélectionnez cette option pour chiffrer les réponses d'assertion SAML du fournisseur d'identités.
- Activer la demande signée : sélectionnez cette option pour que Portal for ArcGIS signe la demande d'authentification SAML envoyée au fournisseur d'identités.
- URL de déconnexion : mettez cette valeur à jour si vous avez configuré le fournisseur d'identités pour qu'il utilise une URL de déconnexion personnalisée.
- ID d'entité : mettez cette valeur à jour pour utiliser un nouvel ID d'entité qui identifie de manière unique votre portail auprès du fournisseur d'identités.
Les paramètres Chiffrer l'assertion et Activer la demande signée utilisent le certificat samlcert dans le KeyStore du portail. Pour utiliser un nouveau certificat, supprimez le certificat samlcert, créez un nouveau certificat avec le même alias (samlcert) en suivant la procédure indiquée dans la rubrique Importer un certificat dans le portail, puis redémarrez le portail.
- Vous pouvez également transmettre au portail les métadonnées concernant les groupes d'entreprise du magasin d'identités.
- Connectez-vous au répertoire de Portal for ArcGIS en tant qu'administrateur de votre organisation. L'URL est au format suivant : https://webadaptor.domain.com/arcgis/portaladmin.
- Cliquez sur Sécurité > Config > Mettre à jour le magasin d'identités.
- Indiquez la configuration de groupe JSON dans la zone de texte Configuration du magasin de groupes (au format JSON).
Copiez le texte suivant et modifiez-le pour l'adapter à votre site :
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin\,ou=system", "ldapURLForUsers": "ldap://bar2:10389/ou=users\,ou=ags\,dc=example\,dc=com", "ldapURLForRoles": "ldap://bar2:10389/dc=example,dc=com", "usernameAttribute": "cn", "caseSensitive": "false", "userSearchAttribute": "cn", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
Dans la plupart des cas, vous ne devez modifier que les valeurs des paramètres user, userPassword, ldapURLForUsers et ldapURLForUsers. L'URL de votre annuaire LDAP doit être fournie par votre administrateur LDAP. Le compte que vous utilisez pour le paramètre user doit disposer d'autorisations pour rechercher les noms des groupes dans votre organisation. Même si vous entrez le mot de passe en texte clair, il sera chiffré lorsqu'il sera affiché ou stocké dans le répertoire de configuration du portail.
Si votre annuaire LDAP est configuré pour ne pas respecter la casse, définissez le paramètre caseSensitive sur false.
- Lorsque vous avez entré, au format JSON, les informations concernant la configuration du magasin d'utilisateurs, cliquez sur Mettre à jour la configuration pour enregistrer vos modifications et redémarrer le portail.
Désigner un compte d'entreprise comme administrateur
La façon dont vous désignez un compte d'entreprise comme administrateur du portail varie selon que les utilisateurs seront en mesure de rejoindre l'organisation automatiquement ou après l'ajout des comptes au portail.
Rejoindre l'organisation automatiquement
Si vous sélectionnez l'option autorisant les utilisateurs à rejoindre l'organisation automatiquement, ouvrez la page d'accueil du site Web du portail alors que vous être connecté avec le compte d'entreprise que vous souhaitez utiliser comme administrateur du portail.
Lorsqu'un compte est automatiquement ajouté pour la première fois au portail, le rôle Utilisateur lui est attribué. Seul un administrateur de l'organisation peut changer le rôle d'un compte. Par conséquent, vous devez vous connecter au portail à l'aide du compte d'administrateur initial et affecter un compte d'entreprise au rôle Administrateur.
- Ouvrez le site Web du portail, cliquez sur l'option permettant de se connecter à l'aide d'un fournisseur d'identités SAML et saisissez les informations d'identification du compte d'entreprise que vous souhaitez utiliser comme administrateur. Si ce compte appartient à un autre utilisateur, demandez-lui de se connecter au portail pour que le compte soit enregistré auprès du portail.
- Vérifiez que le compte a été ajouté au portail et cliquez sur Déconnexion. Effacez le cache et les cookies du navigateur.
- Dans le navigateur, ouvrez le site Web du portail, cliquez sur l'option permettant de se connecter à l'aide d'un compte de portail intégré et fournissez les informations d'identification du compte de l'administrateur initial que vous avez créé lors de la configuration de Portal for ArcGIS.
- Recherchez le compte d'entreprise que vous allez utiliser pour administrer votre portail, puis changez le rôle en Administrateur. Cliquez sur Déconnexion.
Le compte d'entreprise que vous sélectionnez est maintenant administrateur du portail.
Ajoutez manuellement des comptes d'entreprise au portail
Si vous sélectionnez l'option permettant uniquement aux utilisateurs de rejoindre l'organisation après l'ajout des comptes au portail, vous devez enregistrer les comptes nécessaires auprès de l'organisation à l'aide d'un utilitaire de ligne de commande ou d'un exemple de script Python. Veillez à attribuer le rôle Administrateur au compte d'entreprise qui sera utilisé pour administrer le portail.
Rétrogradation ou suppression du compte d'administrateur initial
Maintenant que vous disposez d'un autre compte d'administrateur sur le portail, vous pouvez attribuer le compte d'administrateur initial au rôle Utilisateur ou supprimer ce compte. Pour plus d'informations, reportez-vous à la rubrique A propos du compte d'administrateur initial.
Empêcher les utilisateurs de créer leurs propres comptes
Après avoir sécurisé l'accès à votre portail, il est recommandé de désactiver le bouton Créer un compte et la page de connexion (signup.html) sur le site Web du portail de façon à empêcher les utilisateurs de créer leurs propres comptes. Cela permet à tous les membres de se connecter au portail avec leur compte d'entreprise et leurs informations d'identification, et d'empêcher la création de comptes intégrés inutiles. Pour plus d'informations, reportez-vous à la rubrique Désactivation de la fonction de création des comptes de portail intégrés pour les utilisateurs.
Désactiver la connexion avec des comptes ArcGIS
Pour empêcher des utilisateurs de se connecter au portail via un compte ArcGIS, vous pouvez désactiver le bouton Utilisation de votre compte ArcGIS sur la page de connexion. Pour ce faire, procédez comme suit.
- Ouvrez l'emplacement de partage du répertoire Portal for ArcGIS et connectez-vous en tant que membre doté de privilèges administratifs. L'URL est au format suivant : https://webadaptor.domain.com/arcgis/sharing.
- Accédez à Accueil > Portails > Auto et faites défiler la page vers le bas. Cliquez sur Mettre à jour.
- Accédez à l'option Connexion via ArcGIS. Définissez la propriété sur Faux.
- Cliquez sur Mettre à jour l'organisation.
La page de connexion affichera le bouton permettant de se connecter au portail via un compte de fournisseur d'identités, et le bouton de connexion identifié dans la section Utilisation de votre compte ArcGIS ne sera pas disponible.
Modification du fournisseur d'identités SAML
Vous pouvez supprimer le fournisseur d'identités actuellement inscrit à l'aide du bouton Supprimer le fournisseur d'identités. Ce bouton est activé uniquement lorsque vous avez configuré un fournisseur d'identités compatible avec SAML. Une fois le fournisseur d'identités supprimé, vous pouvez en configurer un nouveau, si vous le souhaitez.
Vous avez un commentaire à formuler concernant cette rubrique ?