Vous pouvez configurer Okta en tant que fournisseur d'identités (IDP) pour les identifiants de connexion d'entreprise dans Portal for ArcGIS. Le processus de configuration se compose de deux étapes principales : l'enregistrement du fournisseur d'identités d'entreprise auprès de Portal for ArcGIS et l'enregistrement de Portal for ArcGIS auprès du fournisseur d'identités d'entreprise.
Vous pouvez également transmettre au portail des métadonnées concernant les groupes d'entreprise de votre magasin d'identités. Cela vous permet de créer des groupes sur le portail qui se basent sur les groupes d'entreprise de votre magasin d'identités. Lorsque les membres se connectent au portail, l'accès au contenu, aux éléments et aux données est déterminé par les règles d'appartenance définies dans le groupe d'entreprise. Si vous ne communiquez pas les métadonnées requises concernant les groupes d'entreprise, vous pourrez toutefois créer des groupes. Cependant, les règles d'appartenance seront contrôlées par Portal for ArcGIS et non par le magasin d'identités.
Informations requises
Portal for ArcGIS requiert la réception de certaines informations attributaires de la part du fournisseur d'identités lorsqu'un utilisateur se connecte à l'aide d'identifiants d'entreprise. L'attribut NameID est obligatoire. Il doit être envoyé par votre fournisseur d'identités dans la réponse SAML afin que la fédération fonctionne avec Portal for ArcGIS. Lorsqu'un utilisateur IDP se connecte, un nouvel utilisateur nommé NameID est créé par Portal for ArcGIS dans son magasin d'utilisateurs. Les caractères autorisés pour la valeur envoyée par l'attribut NameID sont les caractères alphanumériques et le trait de soulignement (_). (le point) et @ (le symbole arobase). Tous les autres caractères seront désactivés pour contenir des traits de soulignement dans le nom d'utilisateur créé par Portal for ArcGIS.
Portal for ArcGIS prend en charge le flux des attributs givenName et email address de l'identifiant de connexion d'entreprise provenant du fournisseur d'identités d'entreprise. Lorsqu'un utilisateur se connecte à l'aide des informations de connexion d'entreprise et si Portal for ArcGIS reçoit des attributs avec les noms givenname et email ou mail (quelle que soit la casse), Portal for ArcGIS renseigne le nom complet et l'adresse électronique du compte de l'utilisateur avec les valeurs reçues de la part du fournisseur d'identités. Il est conseillé de transmettre l'adresse électronique (email address) reçue du fournisseur d'identités d'entreprise afin que l'utilisateur puisse recevoir les notifications.
Enregistrez Okta comme fournisseur d’identités d’entreprise auprès d'Portal for ArcGIS
- Connectez-vous au site web du portail en tant qu'administrateur de votre organisation et cliquez sur Mon organisation > Modifier les paramètres > Sécurité.
- Dans la section Connexions d'entreprise via SAML, cliquez sur le bouton Définir le fournisseur d'identités et saisissez le nom de votre organisation dans la fenêtre qui s’affiche (par exemple, City of Redlands). Lorsque les utilisateurs accèdent au site web du portail, ce texte est intégré dans le nom de l'option de connexion SAML (par exemple, Utilisation de votre compte Ville de Redlands).
Remarque :
Vous pouvez enregistrer un seul fournisseur d'identités d'entreprise pour votre portail.
- Indiquez si vos utilisateurs peuvent rejoindre l'organisation automatiquement ou après l'ajout des comptes au portail. Sélectionnez la première option pour permettre aux utilisateurs de se connecter à l'organisation avec leur identifiant de connexion d'entreprise sans intervention de l'administrateur. Leur compte est automatiquement enregistré auprès de l'organisation lors de leur première connexion. La seconde option suppose que l'administrateur enregistre les comptes nécessaires auprès de l'organisation à l'aide d'un utilitaire de ligne de commande ou d'un exemple de script Python. Une fois les comptes enregistrés, les utilisateurs peuvent se connecter à l'organisation.
Astuce:
Nous vous recommandons de désigner au moins un compte d'entreprise pour administrer votre portail et de rétrograder ou de supprimer le compte d'administrateur initial. Nous vous conseillons également de désactiver le bouton Créer un compte et la page de connexion (signup.html) sur le site web du portail pour empêcher les utilisateurs de créer leurs propres comptes. Pour obtenir des instructions complètes, reportez-vous à la rubrique Configuration d'un fournisseur d'identités compatible avec SAML avec votre portail.
- Indiquez des informations de métadonnées concernant le fournisseur d'identités à l'aide d'une des options ci-dessous :
- Fichier : téléchargez et obtenez une copie du fichier de métadonnées de la fédération auprès d'Okta et chargez le fichier dans Portal for ArcGIS à l'aide de l'option Fichier.
Remarque :
Si c’est la première fois que vous enregistrez un fournisseur de service auprès d’Okta, vous devrez obtenir le fichier de métadonnées après l’enregistrement de Portal for ArcGIS auprès d’Okta. - Paramètres : sélectionnez cette option si le fichier de métadonnées de la fédération n'est pas accessible. Entrez les valeurs manuellement et fournissez les paramètres demandés : URL de connexion et certificat. Contactez votre administrateur Okta pour les connaître.
- Fichier : téléchargez et obtenez une copie du fichier de métadonnées de la fédération auprès d'Okta et chargez le fichier dans Portal for ArcGIS à l'aide de l'option Fichier.
- Configurez les paramètres avancés comme il convient :
- Chiffrer l'assertion : sélectionnez cette option pour chiffrer les réponses d'assertion SAML d'Okta.
- Activer la demande signée : sélectionnez cette option pour que Portal for ArcGIS signe la demande d'authentification SAML envoyée à Okta.
- Propager la déconnexion au fournisseur d'identité : sélectionnez cette option pour que Portal for ArcGIS utilise une URL de déconnexion pour déconnecter l'utilisateur d’Okta. Indiquez l'URL à utiliser dans le paramètre URL de déconnexion. Si le fournisseur d'identités exige que l'URL de déconnexion soit signée, vous devez sélectionner l'option Activer la demande signée.
- URL de déconnexion : l'URL du fournisseur d'identités à utiliser pour déconnecter l'utilisateur actuellement connecté.
- ID d'entité : mettez cette valeur à jour pour utiliser un nouvel ID d'entité qui identifie de manière unique votre portail auprès d’Okta.
Les paramètres Chiffrer l'assertion et Activer la demande signée utilisent le certificat samlcert dans le KeyStore du portail. Pour utiliser un nouveau certificat, supprimez le certificat samlcert, créez un nouveau certificat avec le même alias (samlcert) en suivant la procédure indiquée dans la rubrique Importer un certificat dans le portail, puis redémarrez le portail.
- Lorsque vous avez terminé, cliquez sur Mettre à jour le fournisseur d’identités.
- Cliquez sur Obtenir un fournisseur de services pour télécharger le fichier de métadonnées du portail. Les informations de ce fichier sont utilisés pour enregistrer le portail comme le fournisseur de services approuvé auprès d’Okta.
- Vous pouvez également transmettre au portail les métadonnées concernant les groupes d'entreprise du magasin d'identités :
- Connectez-vous au répertoire Portal for ArcGIS en tant qu'administrateur de votre organisation. L'URL est au format suivant : https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Cliquez sur Sécurité > Config > Mettre à jour le magasin d'identités.
- Indiquez la configuration de groupe JSON dans la zone de texte Configuration du magasin de groupes (au format JSON).
Si votre magasin d'identités est de type Windows Active Directory, copiez le texte suivant et modifiez-le pour l'adapter à votre site :
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }Dans la plupart des cas, vous ne devez modifier que les valeurs des paramètres user et userPassword. Même si vous entrez le mot de passe en texte clair, il sera chiffré lorsqu'il sera affiché ou stocké dans le répertoire de configuration du portail. Le compte que vous utilisez pour le paramètre user doit disposer d'autorisations uniquement pour consulter les noms des groupes Windows sur le réseau. Si cela est possible, utilisez un compte dont le mot de passe n'expire pas.
Si votre magasin d'identités est de type LDAP, copiez le texte suivant et modifiez-le pour l'adapter à votre site :
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com", "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com", "usernameAttribute": "cn", "caseSensitive": "false", "userSearchAttribute": "cn", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }Dans la plupart des cas, vous ne devez modifier que les valeurs des paramètres user, userPassword, ldapURLForUsers et ldapURLForRoles. L'URL de votre annuaire LDAP doit être fournie par votre administrateur LDAP.
Dans l'exemple ci-dessus, l'URL LDAP fait référence aux utilisateurs au sein d'un OU spécifique (ou=utilisateurs). Si des utilisateurs sont présents dans plusieurs OU, l'URL LDAP peut pointer vers un OU de niveau supérieur ou même vers le niveau racine si cela est nécessaire. Dans ce cas, l'URL ressemble à ce qui suit :
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
Le compte que vous utilisez pour le paramètre user doit disposer d'autorisations pour rechercher les noms des groupes dans votre organisation. Même si vous entrez le mot de passe en texte clair, il sera chiffré lorsqu'il sera affiché ou stocké dans le répertoire de configuration du portail.
Si votre LDAP est configuré pour ne pas respecter la casse, définissez le paramètre caseSensitive sur false.
- Lorsque vous avez entré, au format JSON, les informations concernant la configuration du magasin d'utilisateurs, cliquez sur Mettre à jour la configuration pour enregistrer vos modifications et redémarrer le portail.
Enregistrez Portal for ArcGIS en tant que fournisseur de services approuvé auprès d'Okta
- Connectez-vous à votre organisation Okta en tant que membre doté de privilèges administratifs.
- Dans l’onglet Applications, cliquez sur le bouton Ajouter une application.
- Cliquez sur Créer une nouvelle application et sélectionnez l’option SAML 2.0. Cliquez sur Créer.
- Dans Paramètres généraux, entrez un Nom d’application pour votre déploiement de portail et cliquez sur Suivant.
- Dans l’onglet Configurer SAML, procédez comme suit :
- Entrez la valeur pour Single sign on URL, par exemple, https://portalhostname.domain.com/portalcontext/sharing/rest/oauth2/saml/signin. Cette valeur peut être copiée à partir du fichier de métadonnées du fournisseur de services téléchargé depuis votre portail.
- Entrez la valeur pour URI d’audience. La valeur par défaut est définie sur portalhostname.domain.com.portalcontext. Cette valeur peut être copiée à partir du fichier de métadonnées du fournisseur de services téléchargé depuis votre portail.
- Laissez Format de l’ID de nom défini sur Non spécifié.
- Sous Paramètres avancés, remplacez l’option Signature d’assertions définie sur Non signé.
- Dans la section Instructions d’attributs, ajoutez ces instructions d’attributs :
givenName défini sur user.firstName + " " + user.lastName
email défini sur user.email
- Cliquez sur Suivant et sur Terminer.
- Vous verrez maintenant à la section Sign On de votre nouvelle application SAML créée. Pour obtenir les métadonnées IDP d’Okta, cliquez sur l’onglet Connexion, puis sur le lien Métadonnées concernant le fournisseur d'identités.
- Cliquez avec le bouton droit sur l’onglet Personnes et configurez les utilisateurs authentifiés Okta qui auront accès à votre portail.
Vous avez un commentaire à formuler concernant cette rubrique ?