Vous pouvez configurer le correctif cumulatif 3 d'Active Directory Federation Services (AD FS) 2.0 et AD FS 3.0 sur le système d'exploitation Microsoft Windows Server en tant que fournisseur d'identités pour les identifiants de connexion d'entreprise dans Portal for ArcGIS. Le processus de configuration se compose de deux étapes principales : l'enregistrement du fournisseur d'identités d'entreprise auprès de Portal for ArcGIS et l'enregistrement de Portal for ArcGIS auprès du fournisseur d'identités d'entreprise.
Vous pouvez également transmettre au portail des métadonnées concernant les groupes d'entreprise dans Windows Active Directory. Cela vous permet de créer des groupes sur le portail qui se basent sur les groupes d'entreprise de votre magasin d'identités. Lorsque les membres se connectent au portail, l'accès au contenu, aux éléments et aux données est déterminé par les règles d'appartenance définies dans le groupe d'entreprise. Si vous ne communiquez pas les métadonnées requises concernant les groupes d'entreprise, vous pourrez toutefois créer des groupes. Cependant, les règles d'appartenance seront contrôlées par Portal for ArcGIS et non Windows Active Directory.
Informations requises
Portal for ArcGIS doit recevoir certaines informations attributaires de la part du fournisseur d'identités lorsqu'un utilisateur se connecte à l'aide d'identifiants de connexion d'entreprise. NameID est un attribut obligatoire qui doit être envoyé par votre fournisseur d'identités dans la réponse SAML, afin que la fédération avec Portal for ArcGIS fonctionne. Lorsqu'un utilisateur IDP se connecte, un nouvel utilisateur nommé NameID est créé par Portal for ArcGIS dans son magasin d'utilisateurs. Les caractères autorisés pour la valeur envoyée par l'attribut NameID sont les caractères alphanumériques et le trait de soulignement (_). (le point) et @ (le symbole arobase). Tous les autres caractères seront désactivés pour contenir des traits de soulignement dans le nom d'utilisateur créé par Portal for ArcGIS.
Portal for ArcGIS prend en charge le flux des attributs givenName et email address de l'identifiant de connexion d'entreprise provenant du fournisseur d'identités d'entreprise. Lorsqu'un utilisateur se connecte à l'aide d'un identifiant de connexion d'entreprise, et si Portal for ArcGIS reçoit des attributs avec les noms givenname et email ou mail (quelle que soit la casse), Portal for ArcGIS indique le nom complet et l'adresse électronique du compte de l'utilisateur avec les valeurs reçues par le fournisseur d'identités. Il est conseillé de transmettre l'adresse électronique (email address) reçue du fournisseur d'identités d'entreprise afin que l'utilisateur puisse recevoir les notifications.
Enregistrer AD FS en tant que fournisseur d'identités d'entreprise auprès de Portal for ArcGIS
- Connectez-vous au site Web du portail en tant qu'administrateur de votre organisation et cliquez sur Mon organisation > Modifier les paramètres > Sécurité.
- Dans la section Connexions d'entreprise, cliquez sur le bouton Définir le fournisseur d'identités et saisissez le nom de votre organisation dans la fenêtre qui apparaît (par exemple, City of Redlands). Lorsque les utilisateurs accèdent au site Web du portail, ce texte est intégré dans le nom de l'option de connexion SAML (par exemple, Utilisation de votre compte Ville de Redlands).
Remarque :
Vous pouvez enregistrer un seul fournisseur d'identités pour votre portail.
- Indiquez si vos utilisateurs peuvent rejoindre l'organisation automatiquement ou après l'ajout des comptes au portail. Sélectionnez la première option pour permettre aux utilisateurs de se connecter à l'organisation avec leur identifiant de connexion d'entreprise sans intervention de l'administrateur. Leur compte est automatiquement enregistré auprès de l'organisation lors de leur première connexion. La seconde option suppose que l'administrateur enregistre les comptes nécessaires auprès de l'organisation à l'aide d'un utilitaire de ligne de commande ou d'un exemple de script Python. Une fois les comptes enregistrés, les utilisateurs peuvent se connecter à l'organisation.
Astuce:
Nous vous recommandons de désigner au moins un compte d'entreprise pour administrer votre portail et de rétrograder ou de supprimer le compte d'administrateur initial. Nous vous conseillons également de désactiver le bouton Créer un compte et la page de connexion (signup.html) sur le site web du portail pour empêcher les utilisateurs de créer leurs propres comptes. Pour obtenir des instructions complètes, reportez-vous à la rubrique Configuration d'un fournisseur d'identités compatible avec SAML avec votre portail.
- Indiquez des informations de métadonnées concernant le fournisseur d'identités à l'aide d'une des options ci-dessous :
- URL : si l'URL des métadonnées de la fédération AD FS est accessible, sélectionnez cette option et entrez l'URL (par exemple, https://<adfs-server>/federationmetadata/2007-06/federationmetadata.xml).
Remarque :
Si votre fournisseur d'identités d'entreprise inclut un certificat auto-signé, vous pouvez rencontrer une erreur en essayant de spécifier l'URL HTTPS des métadonnées. Cela se produit parce que Portal for ArcGIS ne peut pas vérifier le certificat auto-signé du fournisseur d'identités. Vous pouvez également utiliser HTTP dans l'URL, une des autres options ci-dessous ou configurer votre fournisseur d'identités avec un certificat approuvé.
- Fichier : sélectionnez cette option si l'URL n'est pas accessible. Téléchargez ou obtenez une copie du fichier de métadonnées de la fédération auprès d'AD FS et téléchargez le fichier vers Portal for ArcGIS via l'option Fichier.
- Paramètres : sélectionnez cette option si l'URL ou le fichier de métadonnées de la fédération n'est pas accessible. Entrez les valeurs manuellement et fournissez les paramètres demandés : URL de connexion et certificat. Contactez votre administrateur AD FS pour les connaître.
- URL : si l'URL des métadonnées de la fédération AD FS est accessible, sélectionnez cette option et entrez l'URL (par exemple, https://<adfs-server>/federationmetadata/2007-06/federationmetadata.xml).
- Configurez les paramètres avancés comme il convient :
- Chiffrer l'assertion : sélectionnez cette option pour chiffrer les réponses d'assertion SAML d'AD FS.
- Activer la demande signée : sélectionnez cette option pour que Portal for ArcGIS signe la demande d'authentification SAML envoyée à AD FS.
- Propager la déconnexion au fournisseur d'identités : sélectionnez cette option pour qu'Portal for ArcGIS utilise une URL de déconnexion pour déconnecter l'utilisateur d'AD FS. Indiquez l'URL à utiliser dans le paramètre URL de déconnexion. Si le fournisseur d'identités exige que l'URL de déconnexion soit signée, vous devez sélectionner l'option Activer la demande signée.
Remarque :
Puisque, par défaut, AD FS exige que les demandes de déconnexion soient signées avec la fonction de hachage SHA-256, vous devez sélectionner les options Activer la demande signée et Ouvrir une session avec SHA256.
- URL de déconnexion : l'URL du fournisseur d'identités à utiliser pour déconnecter l'utilisateur actuellement connecté.
- ID d'entité : mettez cette valeur à jour pour utiliser un nouvel ID d'entité qui identifie de manière unique votre portail auprès d'AD FS.
Les paramètres Chiffrer l'assertion et Activer la demande signée utilisent le certificat samlcert dans le KeyStore du portail. Pour utiliser un nouveau certificat, supprimez le certificat samlcert, créez un nouveau certificat avec le même alias (samlcert) en suivant la procédure indiquée dans la rubrique Importer un certificat dans le portail, puis redémarrez le portail.
- Vous pouvez également transmettre au portail des métadonnées concernant les groupes d'entreprise dans Windows Active Directory :
- Connectez-vous au répertoire Portal for ArcGIS en tant qu'administrateur de votre organisation. L'URL est au format suivant : https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Cliquez sur Sécurité > Config > Mettre à jour le magasin d'identités.
- Indiquez la configuration de groupe JSON dans la zone de texte Configuration du magasin de groupes (au format JSON).
Vous pouvez copier le texte suivant et le modifier pour l'adapter à votre site :
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "cn=aduser,ou=users,ou=ags,dc=example,dc=com", "ldapURLForUsers": "ldap://bar2:10389/ou=users\,ou=ags\,dc=example\,dc=com", "ldapURLForRoles": "ldap://bar2:10389/dc=example,dc=com", "usernameAttribute": "sAMAccountName", "caseSensitive": "false", "userSearchAttribute": "sAMAccountName", "memberAttributeInRoles": "member", "rolenameAttribute":"sAMAccountName" } }
Dans la plupart des cas, vous ne devrez modifier que les valeurs des paramètres user, userPassword, ldapURLForUsers et ldapURLForRoles. L'URL de votre serveur LDAP doit être fournie par votre administrateur Active Directory. Le compte que vous utilisez pour le paramètre user doit disposer d'autorisations pour rechercher les noms des groupes dans votre organisation. Même si vous entrez le mot de passe en texte clair, il sera chiffré lorsqu'il sera affiché ou stocké dans le répertoire de configuration du portail.
- Lorsque vous avez entré, au format JSON, les informations concernant la configuration du magasin d'utilisateurs, cliquez sur Mettre à jour la configuration pour enregistrer vos modifications et redémarrer le portail.
Enregistrer Portal for ArcGIS en tant que fournisseur de services approuvé auprès d'AD FS
- Ouvrez la Console de gestion AD FS.
- Choisissez Relying Party Trusts (approbations des parties de confiance) > Add Relying Party Trust (ajouter une approbation de la partie de confiance).
- Dans l'Assistant Add Relying Party Trust (ajout d'une approbation de la partie de confiance), cliquez sur le bouton Start (démarrer).
- Dans Select Data Source (sélectionner la source de données), choisissez une option d'obtention des données concernant la partie de confiance : importation à partir d'une URL, importation à partir d'un fichier ou saisie manuelle. Les options d'URL et de fichier nécessitent que vous obteniez les métadonnées auprès de votre organisation. Si vous n'avez pas accès à l'URL ou au fichier de métadonnées, vous pouvez saisir ces informations manuellement. Dans certains cas, la saisie manuelle de données peut être l'option la plus facile.
- Importer des données concernant la partie de confiance publiées en ligne ou sur un réseau local
Cette option utilise les métadonnées de l'URL de votre organisation Portal for ArcGIS. L'URL est https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, par exemple, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Vous pouvez générer un jeton avec https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Lorsque vous saisissez l'URL sur la page Générer un jeton, indiquez le nom de domaine complet du serveur AD FS dans le champ URL de l'application web. Ne sélectionnez pas d'autre option, telle que Adresse IP ou Adresse IP de l'origine de cette requête, au risque de générer un jeton incorrect.
Remarque :
La partie arcgis de l'URL d'exemple ci-dessus est le nom par défaut de l'adaptateur Web. Si le nom de votre adaptateur Web est différent de arcgis, remplacez cette partie de l'URL par le nom de votre adaptateur Web.
- Importer des données concernant la partie de confiance à partir d'un fichier
Cette option utilise un fichier metadata.xml provenant de votre organisation Portal for ArcGIS. Vous pouvez obtenir un fichier XML de métadonnées de deux manières :
- Dans la section Sécurité de la page Modifier les paramètres de votre organisation, cliquez sur le bouton Obtenir un fournisseur de services. Vous obtenez ainsi les métadonnées de votre organisation, que vous pouvez enregistrer au format XML sur votre ordinateur.
- Ouvrez l'URL des métadonnées de votre organisation Portal for ArcGIS et enregistrez-la sous forme de fichier XML sur votre ordinateur. L'URL est https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, par exemple, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Vous pouvez générer un jeton avec https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Lorsque vous saisissez l'URL sur la page
Générer un jeton, indiquez le nom de domaine complet du serveur AD FS dans le champ URL de l'application web. Ne sélectionnez pas d'autre option, telle que Adresse IP ou Adresse IP de l'origine de cette requête, au risque de générer un jeton incorrect.
Remarque :
La partie arcgis des URL d'exemple ci-dessus est le nom par défaut de l'adaptateur Web. Si le nom de votre adaptateur Web est différent de arcgis, remplacez cette partie de l'URL par le nom de votre adaptateur Web.
- Entrer manuellement des données concernant la partie de confiance
Avec cette option, l'Assistant d'ajout d'une approbation de la partie de confiance présente des fenêtres supplémentaires dans lesquelles vous pouvez saisir manuellement les données. Ces fenêtres font l'objet d'une explication dans les étapes 6 à 8 ci-dessous.
- Importer des données concernant la partie de confiance publiées en ligne ou sur un réseau local
- Pour Specify Display Name (spécifier le nom complet), entrez le nom complet.
Le nom complet permet d'identifier la partie de confiance dans AD FS. Il n'a aucune signification en dehors de ce contexte. Il doit être défini sur ArcGIS ou sur le nom de l'organisation au sein d'ArcGIS, par exemple, ArcGIS—SamlTest.
Astuce:
l'image ci-dessus présente la fenêtre Specify Display Name avec les étapes d'importation de la source de données à partir d'une URL ou d'un fichier. Si vous avez opté pour la saisie manuelle des informations sur la source de données, des étapes supplémentaires apparaissent dans la partie gauche de l'assistant. Elles font l'objet d'une explication dans les étapes 6 à 8 ci-dessous. Si vous avez sélectionné une URL ou un fichier, vous pouvez passer à l'étape 9.
- (Source de données manuelle uniquement) Pour Choix d'un profil, sélectionnez Profil AD FS 2.0 (ou une version AD FS ultérieure si cela est approprié à votre environnement).
- (Source de données manuelle uniquement) Pour Configure URL (configurer l'URL), cochez la case en regard de Enable support for the SAML 2.0 WebSSO protocol (activer la prise en charge du protocole WebSSO SAML 2.0) et entrez l'URL du service SSO SAML 2.0 de la partie de confiance.
L'URL de la partie de confiance doit être l'URL à laquelle AD FS envoie la réponse SAML après l'authentification de l'utilisateur. Il doit s'agir d'une URL HTTPS : https://webadaptorhost.domain.com/webadaptorname/sharing/rest/oauth2/saml/signin.
Remarque :
La partie arcgis de l'URL d'exemple ci-dessus est le nom par défaut de l'adaptateur Web. Si le nom de votre adaptateur Web est différent de arcgis, remplacez cette partie de l'URL par le nom de votre adaptateur Web.
- (Source de données manuelle uniquement) Pour Configure Identifiers (configurer les identifiants), saisissez l'URL de l'identifiant de l'approbation de la partie de confiance.
Ce doit être portal.domain.com.arcgis.
- Pour Choose Issuance Authorization Rules (choisir les règles d'autorisation d'émission), sélectionnez Permit all users to access this relying party (autoriser tous les utilisateurs à accéder à cette partie de confiance).
Astuce:
l'image ci-dessus présente la fenêtre Choose Issuance Authorization Rules avec les étapes d'importation de la source de données à partir d'une URL ou d'un fichier. Si vous avez opté pour la saisie manuelle des informations sur la source de données, des étapes supplémentaires apparaissent sur la gauche de l'assistant.
- Dans la zone Ready to Add Trust (Prêt pour l'ajout d'une approbation), examinez tous les paramètres de la partie de confiance. L'URL des métadonnées est renseignée uniquement si vous avez choisi d'importer la source de données à partir d'une URL. L'image ci-dessous montre la fenêtre Ready to Add Trust si vous avez choisi de saisir manuellement les informations sur la source de données.
(Prêt pour l'ajout d'une approbation)
Cliquez sur Suivant.
Astuce:
Si l'option Monitor relying party (Surveiller la partie de confiance) est activée, AD FS vérifie régulièrement l'URL des métadonnées de fédération et la compare à l'état actuel de l'approbation de la partie de confiance. Cependant, la surveillance échoue lorsque le jeton dans l'URL des métadonnées de fédération expire. Les échecs sont consignés dans le journal des événements AD FS. Pour supprimer ces messages, il est conseillé de désactiver la surveillance ou de mettre à jour le jeton.
- Pour Finish (terminer), cochez la case afin d'ouvrir automatiquement la boîte de dialogue Edit Claim Rules (modifier les règles de revendication) après avoir cliqué sur le bouton Close (fermer).
Astuce:
l'image ci-dessus présente la fenêtre Finish avec les étapes d'importation de la source de données à partir d'une URL ou d'un fichier. Si vous avez opté pour la saisie manuelle des informations sur la source de données, des étapes supplémentaires apparaissent sur la gauche de l'assistant.
- Pour définir les règles de revendication, ouvrez l'assistant Edit Claim Rules (Modifier les règles de revendication) et cliquez sur Add Rule (ajouter une règle).
- Dans Select Rule Template (sélectionner un modèle de règle), sélectionnez le modèle Send LDAP Attributes as Claims (envoyer les attributs LDAP sous forme de revendications) pour la règle de revendication que vous voulez créer, puis cliquez sur Next (suivant). (choisir un type de règle)
- Dans Configure Claim Rule (Configurer la règle de revendication), donnez un nom à la règle, par exemple, DefaultClaims.
- Pour Attribute store (magasin d'attributs), sélectionnez Active Directory.
- Pour Mapping of LDAP attributes to outgoing claim types (mappage des attributs LDAP avec les types de revendications sortantes), sélectionnez l'attribut LDAP contenant les noms d'utilisateurs (par exemple, SAM-Account-Name) pour LDAP Attribute (attribut LDAP) et NameID pour Outgoing Claim Type (type de revendication sortante).
Remarque :
NameID est l'attribut qui doit être envoyé par AD FS dans la réponse SAML afin que la fédération fonctionne avec ArcGIS. Lorsqu'un utilisateur IDP se connecte, un nouvel utilisateur nommé NameID est créé par Portal for ArcGIS dans son magasin d'utilisateurs. Les caractères autorisés pour la valeur envoyée par l'attribut NameID sont les caractères alphanumériques et le trait de soulignement (_). (le point) et @ (le symbole arobase). Tous les autres caractères seront désactivés pour contenir des traits de soulignement dans le nom d'utilisateur créé par Portal for ArcGIS.
- Portal for ArcGIS prend en charge le flux des attributs givenName et email address de l'identifiant de connexion d'entreprise provenant du fournisseur d'identités d'entreprise. Lorsqu'un utilisateur se connecte à l'aide d'un identifiant de connexion d'entreprise, et si Portal for ArcGIS reçoit des attributs avec les noms givenname et email ou mail (quelle que soit la casse), Portal for ArcGIS indique le nom complet et l'adresse électronique du compte de l'utilisateur avec les valeurs reçues par le fournisseur d'identités.
Suivez les instructions ci-après pour modifier les règles de revendication.
- Dans la colonne Attribut LDAP, sélectionnez Nom complet (ou un attribut différent dans la liste sur la deuxième ligne) et faites-le correspondre au Nom donné dans la colonne Type de revendication sortante.
- Dans la colonne Attribut LDAP, sélectionnez l'option Adresses électroniques et faites-la correspondre à l'Adresse électronique dans la colonne Type de revendication sortante.
Avec cette revendication, AD FS envoie les attributs portant les noms givenname et email à Portal for ArcGIS après avoir authentifié l'utilisateur. Portal for ArcGIS utilise ensuite les valeurs reçues dans les attributs givenname et email pour indiquer le nom complet et l'adresse électronique du compte utilisateur.
Nous vous recommandons de transmettre l'adresse électronique communiquée par le fournisseur d'identités d'entreprise à Portal for ArcGIS. Cela peut s'avérer utile si l'utilisateur devient plus tard administrateur. Le fait d'avoir une adresse électronique dans le compte autorise l'utilisateur à recevoir des notifications concernant les activités administratives et à envoyer des invitations à d'autres utilisateurs pour rejoindre l'organisation.
- Cliquez sur Terminer pour terminer la configuration du fournisseur d'identités AD FS et inclure Portal for ArcGIS comme partie de confiance.
Identifiants de connexion initiés par les fournisseurs d'identités (Identity Provider, IDP)
Après avoir configuré AD FS comme fournisseur d'identités pour votre organisation, vous avez la possibilité d'utiliser les identifiants de connexion d'entreprise initiés par les fournisseurs d'identités. Vous devez activer les identifiants IDP pour pouvoir utiliser des identifiants IDP dans AD FS et Portal for ArcGIS. Si tel n'est pas encore le cas, procédez comme suit pour activer les connexions IDP dans AD FS. Puisque Portal for ArcGIS prend en charge les identifiants IDP par défaut, aucune étape de configuration supplémentaire n'est nécessaire dans Portal for ArcGIS ; il suffit de procéder à la configuration dans AD FS.
- Activez AD FS pour envoyer le paramètre RelayState dans le fichier web.config. Le paramètre permet d'identifier la ressource spécifique à laquelle l'utilisateur accédera une fois connecté.
- Ouvrez le fichier web.config. Par défaut, le fichier se trouve sur C:\inetpub\adfs\ls\.
- Ajoutez l'entrée suivante à la section microsoft.identityServer.web du fichier web.config :
<microsoft.identityServer.web> ... <useRelayStateForIdpInitiatedSignOn enabled="true" /> </microsoft.identityServer.web>
- Générez le paramètre RelayState. AD FS a besoin de deux informations pour générer RelayState:
- Identifiant de la partie de confiance (Relying party identifier, RPID) : Il s'agit de l'identifiant de la partie de confiance de votre organisation Portal for ArcGIS configurée dans AD FS. Pour l'obtenir, ouvrez les propriétés de votre partie de confiance Portal for ArcGIS dans la console de gestion AD FS (par exemple, webadaptorhost.domain.com).
- RelayState : il s'agit de l'URL du portail vers laquelle l'utilisateur est redirigé une fois connecté au site AD FS (par exemple, https://webadaptorhost.domain.com/webadaptorname/).
- Identifiant de la partie de confiance (Relying party identifier, RPID) : Il s'agit de l'identifiant de la partie de confiance de votre organisation Portal for ArcGIS configurée dans AD FS. Pour l'obtenir, ouvrez les propriétés de votre partie de confiance Portal for ArcGIS dans la console de gestion AD FS (par exemple, webadaptorhost.domain.com).
- Générez le paramètre RelayState en définissant les valeurs de RPID et RelayState.
- Codez les valeurs RPID et RelayState, par exemple :
- RPID : webadaptorhost.domain.com.webadaptorname
- RelayState : https%3A%2F%2Fwebadaptorhost.domain.com%2Fwebadaptorname%2F
- Fusionnez les valeurs codées que vous avez créées à l'étape précédente en une seule chaîne (par exemple, RPID=webadaptorhost.domain.com.webadaptorname&RelayState=https%3A%2F%2Fwebadaptor.domain.com%2Farcgis%2F).
- Codez la chaîne fusionnée (par exemple, RPID%3Dwebadaptorhost.domain.com.webadaptorname%26RelayState%3D%20https%253A%252F%252Fwebadaptorhost.domain.com%252Fwebadaptorname%252F).
- Ajoutez le paramètre RelayState à la chaîne et complétez l'URL SSO initiée par le fournisseur d'identités d'AD FS (par exemple, https://idphost.test.com/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID%3Dwebadaptorhost.domain.com.webadaptorname%26RelayState%3D%20https%253A%252F%252Fwebadaptorhost.domain.com%252Fwebadaptorname%252F). Il s'agit de l'URL qui sera utilisée pour initier une connexion sur votre site AD FS.
Lorsque l'utilisateur se connecte et parvient à s'authentifier, AD FS génère une réponse SAML et transmet le paramètre RelayState, avec l'URL de votre organisation, à Portal for ArcGIS. Le portail valide la réponse SAML et redirige l'utilisateur vers son organisation et ses ressources.
Vous avez un commentaire à formuler concernant cette rubrique ?