Microsoft Azure Active Directory (AD) est un fournisseur d’identités compatible avec SAML (Security Assertion Markup Language). Vous pouvez le configurer en tant que fournisseur d’identités pour vos identifiants de connexion dans Portal for ArcGIS sur site et dans le cloud. Le processus de configuration comprend deux étapes principales : l’inscription d’Azure AD dans votre portail ArcGIS Enterprise et l’inscription de Portal for ArcGIS dans votre portail Azure AD.
Pour configurer Azure AD avec ArcGIS Enterprise, vous avez besoin d’un abonnement Azure AD premium.
Informations requises
Portal for ArcGIS requiert la réception de certaines informations attributaires de la part du fournisseur d’identités lorsqu’un utilisateur se connecte à l’aide d’identifiants d’entreprise. L’attribut NameID est obligatoire. Il doit être envoyé par votre fournisseur d’identités dans la réponse SAML afin que la fédération fonctionne avec Portal for ArcGIS. Puisqu’Portal for ArcGIS utilise la valeur de NameID pour identifier de manière unique un utilisateur nommé, il est recommandé d’utiliser une valeur constante qui identifie l’utilisateur de manière unique. Lorsqu’un utilisateur du fournisseur d’identités se connecte, un nouvel utilisateur appelé NameID est créé par Portal for ArcGIS dans son magasin d’utilisateurs. Les caractères autorisés pour la valeur envoyée par l’attribut NameID sont les caractères alphanumériques, le trait de soulignement (_), (le point) et @ (le symbole arobase). Tous les autres caractères sont modifiés en traits de soulignement dans le nom d’utilisateur créé par Portal for ArcGIS.
Portal for ArcGIS prend en charge le flux des attributs givenName et email address de l'identifiant de connexion d'entreprise provenant du fournisseur d'identités d'entreprise. Lorsqu'un utilisateur se connecte à l'aide des informations de connexion d'entreprise et si Portal for ArcGIS reçoit des attributs avec les noms givenname et email ou mail (quelle que soit la casse), Portal for ArcGIS renseigne le nom complet et l'adresse électronique du compte de l'utilisateur avec les valeurs reçues de la part du fournisseur d'identités. Il est conseillé de transmettre l'adresse électronique (email address) reçue du fournisseur d'identités d'entreprise afin que l'utilisateur puisse recevoir les notifications.
Inscrire Azure AD en tant que fournisseur d’identités d’entreprise pour votre portail
- Connectez-vous au site web du portail en tant que membre du rôle d’administrateur par défaut dans votre organisation et cliquez sur Organization (Organisation) > Edit Settings (Modifier les paramètres) > Security (Sécurité).
- Dans la section Enterprise Logins via SAML (Identifiants de connexion d’entreprise via SAML), sélectionnez l’option One Identity Provider (Un fournisseur d’identités), cliquez sur le bouton Set Enterprise Login (Définir les identifiants de connexion d’entreprise), puis entrez le nom de votre organisation dans la fenêtre qui s’affiche (par exemple, Ville de Redlands). Lorsque les utilisateurs accèdent au site web du portail, ce texte est intégré dans le nom de l'option de connexion SAML (par exemple, Utilisation de votre compte Ville de Redlands).
- Indiquez si vos utilisateurs peuvent rejoindre l’organisation automatiquement ou après l’ajout des comptes au portail. Le fait de sélectionner l’option automatiquement permet aux utilisateurs de se connecter à l’organisation avec leur identifiant de connexion d’entreprise sans intervention de l’administrateur. Leur compte est automatiquement enregistré auprès de l'organisation lors de leur première connexion. L’option Après l’ajout des comptes au portail suppose que l’administrateur enregistre les comptes nécessaires auprès de l’organisation à l’aide d’un utilitaire de ligne de commande ou d’un exemple de script Python. Une fois les comptes enregistrés, les utilisateurs peuvent se connecter à l'organisation.
Astuce:
Nous vous recommandons de désigner au moins un compte d'entreprise pour administrer votre portail et de rétrograder ou de supprimer le compte d'administrateur initial. Nous vous conseillons également de désactiver le bouton Create an account (Créer un compte) et la page de connexion (signup.html) sur le portail pour empêcher les utilisateurs de créer leurs propres comptes. Pour obtenir des instructions complètes, reportez-vous à la rubrique Configuration d'un fournisseur d'identités compatible avec SAML avec votre portail.
- Indiquez des informations de métadonnées concernant le fournisseur d'identités à l'aide d'une des options ci-dessous :
- File (Fichier) : téléchargez le fichier de métadonnées Azure AD et chargez-le dans Portal for ArcGIS à l’aide de l’option File (Fichier).
Remarque :
Si c’est la première fois que vous enregistrez un fournisseur de service auprès d’Azure AD, vous devrez obtenir le fichier de métadonnées après l’enregistrement de Portal for ArcGIS auprès d’Azure AD. - Paramètres : sélectionnez cette option si l'URL ou le fichier de métadonnées de la fédération n'est pas accessible. Entrez les valeurs manuellement et fournissez les paramètres demandés : l’URL de connexion et le certificat, chiffrés au format BASE 64. Contactez votre administrateur Azure AD pour les connaître.
- File (Fichier) : téléchargez le fichier de métadonnées Azure AD et chargez-le dans Portal for ArcGIS à l’aide de l’option File (Fichier).
- Configurez les paramètres avancés suivants comme il convient :
- Encrypt Assertion (Chiffrer l’assertion) : sélectionnez cette option pour chiffrer les réponses d’assertion SAML d’Azure AD.
- Enable Signed Request (Activer la demande signée) : sélectionnez cette option pour que Portal for ArcGIS signe la demande d’authentification SAML envoyée à Azure AD.
- Propagate logout to Identity Provider (Propager la déconnexion au fournisseur d’identités) : sélectionnez cette option pour que Portal for ArcGIS utilise une URL de déconnexion pour déconnecter l’utilisateur d’Azure AD. Indiquez l'URL à utiliser dans le paramètre URL de déconnexion. Si le fournisseur d’identités exige que l’URL de déconnexion soit signée, vous devez sélectionner l’option Enable Signed Request (Activer la demande signée).
- Update profiles on sign in (Mettre à jour les profils lors de la connexion) : sélectionnez cette option pour que Portal for ArcGIS mette à jour les attributs givenName et email address s’ils ont changé depuis la dernière connexion des utilisateurs.
- Logout URL (URL de déconnexion) : l’URL du fournisseur d’identités à utiliser pour déconnecter l’utilisateur actuellement connecté.
- Entity ID (ID d’entité) : mettez cette valeur à jour pour utiliser un nouvel ID d’entité qui identifie de manière unique votre portail auprès d’Azure AD.
Les paramètres Chiffrer l'assertion et Activer la demande signée utilisent le certificat samlcert dans le KeyStore du portail. Pour utiliser un nouveau certificat, supprimez le certificat samlcert, créez un nouveau certificat avec le même alias (samlcert) en suivant la procédure indiquée dans la rubrique Importer un certificat dans le portail, puis redémarrez le portail.
- Lorsque vous avez terminé, cliquez sur Mettre à jour le fournisseur d’identités.
- Cliquez sur Obtenir un fournisseur de services pour télécharger le fichier de métadonnées du portail. Les informations de ce fichier seront utilisées pour inscrire le portail comme fournisseur de services approuvé auprès d’Azure AD.
Inscrire Portal for ArcGIS en tant que fournisseur de services approuvé auprès d’Azure AD
- Connectez-vous à votre portail Azure en tant que membre doté de privilèges administratifs.
- En suivant la procédure présentée dans la documentation Azure, ajoutez Portal for ArcGIS en tant qu’application non-bibliothèque dans votre Azure AD et configurez Single sign-on (Connexion unique). Vous devrez indiquer le fichier Metadata.xml téléchargé depuis Portal for ArcGIS.
Portal for ArcGIS apparaît dans la liste Applications d’entreprise dans Azure AD.
- Ajoutez et affectez des utilisateurs à l’application si nécessaire.
- Si vous le souhaitez, configurez et personnalisez les revendications SAML transmises à ArcGIS Enterprise. Les attributs d’intérêt dans la réponse SAML sont givenName et emailaddress.
Vous avez un commentaire à formuler concernant cette rubrique ?