Skip To Content

Configurer une fédération de fournisseurs d’identités avec votre portail

Votre organisation peut utiliser SAML (Security Assertion Markup Language) pour authentifier ses utilisateurs informatiques et autoriser l’accès à ses ressources web. Pour ce faire, un fournisseur d’identités unique compatible avec SAML est configuré pour traiter l’authentification des utilisateurs. Les ressources web de l’organisation sont hébergées sur un ou plusieurs fournisseurs de services qui gère l’autorisation de l’accès aux ressources web. L’organisation dispose d’un contrôle de gestion total sur son fournisseurs d’identités et ses fournisseurs de services. Pour pouvoir prendre en charge l’authentification et l’autorisation basées sur SAML, chaque fournisseur de services de l’organisation doit être inscrit pour pouvoir fonctionner auprès de son fournisseur d’identités. Chaque fournisseur de services ne peut être inscrit qu’auprès d’un seul fournisseur d’identités.

Vous pouvez également utiliser SAML pour partager des ressources entre plusieurs organisations régies de manière indépendante. Cela est rendu possible par les entités de gestion de la fédération qui activent le partage SAML des ressources entre leurs organisations membres. Une organisation membre qui souhaite partager ses ressources web avec la fédération réserve un ou plusieurs fournisseurs de services de manière à le faire travailler exclusivement au sein de la fédération. Pour accéder à une ressource sécurisée partagée dans la fédération, un utilisateurs authentifie son identité auprès du fournisseur d’identité de son organisation d’accueil. Une fois authentifiée, cette identité validée est présentée au fournisseur de services hébergeant la ressource sécurisée. Le fournisseur de services accorde alors l’accès à la ressource après avoir vérifié les privilèges d’accès de l’utilisateur.

Dans la version 10.6.1, votre portail ArcGIS Enterprise peut être configuré avec une fédération SAML de fournisseurs d’identités. Le portail accède au service de découverte hébergé par la fédération, qui fournit une liste des fournisseurs d’identités et des fournisseurs de services participant à la fédération.

Voici quelques fédérations de fournisseurs d’identités SAML courantes : InCommon, eduGAIN, SWITCHaai, DFN-AAI et UK Access Management Federation.

Configurer la fédération avec votre portail

Procédez comme suit pour configurer une fédération SAML de fournisseurs d’identités avec votre portail :

  1. Connectez-vous au site web du portail en tant qu’administrateur et cliquez sur Organization (Organisation) > Settings (Paramètres) > Security (Sécurité).
  2. Dans la section Enterprise Logins (Identifiants de connexion d'entreprise), sélectionnez l’option A federation of identity providers (Une fédération de fournisseurs d’identité), cliquez sur le bouton Set Enterprise Login (Définir les identifiants de connexion d'entreprise), puis entrez la description de votre fédération dans la fenêtre qui apparaît. Cette description est présentée aux utilisateurs accédant au site web du portail dans le cadre de l’option de connexion SAML.
  3. Choisissez comment vos utilisateurs peuvent rejoindre l’organisation du portail :
    • Automatically (Automatiquement) : permet aux utilisateurs de se connecter à l’organisation avec leur connexion d’entreprise sans nécessiter d’autorisation de la part d’un administrateur, car leur compte est automatiquement inscrit auprès du portail lors de leur première connexion.
    • Upon invitation from an administrator (À l’invitation d’un administrateur) : nécessite que l’administrateur du portail enregistre les comptes nécessaires auprès de l’organisation à l’aide d’un utilitaire de ligne de commande ou d’un script Python.
    Remarque :

    Esri vous recommande de désigner au moins un compte d’entreprise comme administrateur de votre portail et de désactiver le bouton Create an account (Créer un compte) et la page d’inscription (signup.html) sur le site web du portail afin que les utilisateurs ne puissent pas créer leurs propres comptes. Pour plus d’informations, consultez la section Désigner un compte d’entreprise comme administrateur ci-dessous.

  4. Fournissez l’URL vers le service de découverte de fournisseur d’identités centralisé hébergé par la fédération (par exemple, https://wayf.samplefederation.com/WAYF).
  5. Fournissez l’URL vers les métadonnées de la fédération, qui sont une agrégation des métadonnées de tous les fournisseurs d’identités et fournisseurs de services participant à la fédération.
  6. Copiez et collez le certificat, codé dans le format Base64, qui permet au portail de vérifier la validité des métadonnées de la fédération.
  7. Configurez les paramètres avancés comme il convient :
    1. Encrypt Assertion (Chiffrer l’assertion) : sélectionnez cette option pour indiquer au fournisseur d’identités SAML que votre portail prend en charge les réponses d’assertion SAML chiffrées. Lorsque cette option est sélectionnée, le fournisseur d’identités chiffre la section d’assertion des réponses SAML. Tout le trafic SAML en direction et en provenance du portail est déjà chiffré à l’aide du protocole HTTPS, mais cette option ajoute une couche de chiffrement.
    2. Enable Signed Request (Activer la demande signée) : choisissez cette option pour que le portail signe la demande d’authentification SAML envoyée au fournisseur d’identités. La signature de la demande de connexion initiale envoyée par le portail autorise le fournisseur d’identités à vérifier que toutes les demandes de connexion proviennent d’un fournisseur de services approuvé.
    3. Propagate logout to Identity Provider (Propager la déconnexion au fournisseur d’identités) : sélectionnez cette option afin que le portail utilise une URL de déconnexion pour déconnecter l’utilisateur du fournisseur d’identités. Si vous sélectionnez cette option, entrez l’URL à utiliser dans le paramètre Logout URL (URL de déconnexion). Si le fournisseur d’identités exige que l’URL de déconnexion soit signée, il convient de cocher également l’option Enable Signed Request (Activer la demande signée). Si cette option n’est pas sélectionnée, cliquer sur Sign Out (Se déconnecter) sur le site web du portail aura pour effet de déconnecter l’utilisateur du portail mais pas du fournisseur d’identités. Si le cache du navigateur web de l’utilisateur n’est pas vidé, une tentative visant à se reconnecter immédiatement au portail en utilisant l’option de connexion d’entreprise aura pour effet de connecter l’utilisateur immédiatement sans qu’il soit nécessaire de fournir les identifiants de connexion au fournisseur d’identités. Il s’agit d’une faille de sécurité susceptible d’être exploitée lors de l’utilisation d’un ordinateur facilement accessible à des utilisateurs non autorisés ou au grand public.
    4. Update profiles on sign in (Mettre à jour les profils lors de la connexion) : sélectionnez cette option afin que le portail mette à jour les attributs givenName et email address des utilisateurs si ces attributs ont changé depuis la dernière fois que les utilisateurs se sont connectés. Cette propriété est sélectionnée par défaut.
    5. Entity ID (ID d’entité) : mettez à jour cette valeur pour utiliser un nouvel ID d’entité qui identifie de manière unique l’organisation de votre portail auprès de la fédération SAML.

Inscrire le portail auprès de la fédération SAML en tant que fournisseur de services approuvé

Pour terminer le processus de configuration, établissez une relation de confiance avec le service de découverte de la fédération et le fournisseur d’identités de votre organisation en enregistrant les métadonnées du fournisseur de services du portail auprès de lui. Vous pouvez obtenir ces métadonnées de deux manières :

  • Dans la section Sécurité de la page Modifier les paramètres de votre organisation, cliquez sur le bouton Obtenir un fournisseur de services. Les métadonnées de votre organisation s'affichent, que vous pouvez enregistrer au format XML sur votre ordinateur.
  • Ouvrez l'URL des métadonnées et enregistrez-les en tant que fichier XML sur votre ordinateur. L'URL est https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, par exemple, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Vous pouvez générer un jeton avec https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Lorsque vous saisissez l'URL sur la page Générer un jeton, indiquez le nom de domaine complet du serveur du fournisseur d'identités dans le champ URL de l'application Web. Sélectionnez une autre option, telle que IP Address (Adresse IP) ou Address of this request's origin (Adresse IP de l'origine de cette requête), au risque de générer un jeton incorrect.

Une fois les métadonnées du fournisseur de services téléchargées, contactez les administrateurs de la fédération SAML pour savoir comment intégrer vos métadonnées dans le fichier de métadonnées agrégé de la fédération. Vous aurez également besoin d’instructions concernant l’inscription de votre IDP auprès de la fédération.

Désigner un compte d'entreprise comme administrateur

La façon dont vous désignez un compte d'entreprise comme administrateur du portail varie selon que les utilisateurs seront en mesure de rejoindre l'organisation automatiquement ou après l'ajout des comptes au portail.

Rejoindre l'organisation automatiquement

Si vous sélectionnez l'option autorisant les utilisateurs à rejoindre l'organisation automatiquement, ouvrez la page d'accueil du site Web du portail alors que vous être connecté avec le compte d'entreprise que vous souhaitez utiliser comme administrateur du portail.

Lorsqu'un compte est automatiquement ajouté pour la première fois au portail, le rôle Utilisateur lui est attribué. Seul un administrateur de l'organisation peut changer le rôle d'un compte. Par conséquent, vous devez vous connecter au portail à l'aide du compte d'administrateur initial et affecter un compte d'entreprise au rôle d'administrateur.

  1. Ouvrez le site Web du portail, cliquez sur l'option permettant de se connecter à l'aide d'un fournisseur d'identités SAML et saisissez les informations d'identification du compte d'entreprise que vous souhaitez utiliser comme administrateur. Si ce compte appartient à un autre utilisateur, demandez-lui de se connecter au portail pour que le compte soit enregistré auprès du portail.
  2. Vérifiez que le compte a été ajouté au portail et cliquez sur Déconnexion. Effacez le cache et les cookies du navigateur.
  3. Dans le navigateur, ouvrez le site Web du portail, cliquez sur l'option permettant de se connecter à l'aide d'un compte de portail intégré et fournissez les informations d'identification du compte de l'administrateur initial que vous avez créé lors de la configuration de Portal for ArcGIS.
  4. Recherchez le compte d'entreprise que vous allez utiliser pour administrer votre portail, puis changez le rôle en Administrateur. Cliquez sur Déconnexion.

Le compte d'entreprise que vous sélectionnez est maintenant administrateur du portail.

Ajoutez manuellement des comptes d'entreprise au portail

Si vous sélectionnez l'option permettant uniquement aux utilisateurs de rejoindre l'organisation après l'ajout des comptes au portail, vous devez enregistrer les comptes nécessaires auprès de l'organisation à l'aide d'un utilitaire de ligne de commande ou d'un exemple de script Python. Veillez à attribuer le rôle Administrateur au compte d'entreprise qui sera utilisé pour administrer le portail.

Rétrogradation ou suppression du compte d'administrateur initial

Maintenant que vous disposez d'un autre compte d'administrateur sur le portail, vous pouvez attribuer le compte d'administrateur initial au rôle Utilisateur ou supprimer ce compte. Pour plus d'informations, reportez-vous à la rubrique A propos du compte d'administrateur initial.

Empêcher les utilisateurs de créer leurs propres comptes

Après avoir sécurisé l'accès à votre portail, il est recommandé de désactiver le bouton Créer un compte et la page de connexion (signup.html) sur le site Web du portail de façon à empêcher les utilisateurs de créer leurs propres comptes. Cela permet à tous les membres de se connecter au portail avec leur compte d'entreprise et leurs informations d'identification, et d'empêcher la création de comptes intégrés inutiles. Pour plus d’informations, reportez-vous à la rubrique Désactivation de la fonction de création des comptes de portail intégrés pour les utilisateurs.

Désactiver la connexion avec des comptes ArcGIS

Pour empêcher des utilisateurs de se connecter au portail via un compte ArcGIS, vous pouvez désactiver le bouton Using Your ArcGIS Account (Utilisation de votre compte ArcGIS) sur la page de connexion en procédant comme suit.

  1. Connectez-vous au site web du portail en tant qu'administrateur de votre organisation et cliquez sur Organisation > Modifier les paramètres > Sécurité.
  2. Dans la section Sign In Options (Options de connexion), choisissez la case d'option Their SAML IDP account only (Leur compte IDP SAML uniquement), où l'IDP varie selon ce que vous avez configuré pour votre portail.
  3. Cliquez sur Save (Enregistrer).

La page de connexion affichera le bouton permettant de se connecter au portail via un compte de fournisseur d'identités, et le bouton de connexion identifié dans la section Utilisation de votre compte ArcGIS ne sera pas disponible. Vous pouvez réactiver les identifiants de connexion de membres avec des comptes ArcGIS en choisissant Their SAML IDP account or Portal for ArcGIS account (Leur compte IDP SAML ou Portal for ArcGIS) sous Sign In Options (Options de connexion), où le fournisseur d’identités et le nom de votre portail varient selon ce que vous avez configuré.

Modifier ou supprimer le fournisseur d’identités SAML

Vous pouvez mettre les paramètres de votre fédération à jour à l’aide du bouton Edit Enterprise Login (Mettre à jour l’identifiant de connexion d’entreprise) ou supprimer la fédération de votre portail à l’aide du bouton Remove Enterprise Login (Supprimer l’identifiant de connexion d’entreprise). Ces boutons apparaissent une fois que vous avez configuré la fédération avec votre portail. Une fois que vous avez supprimé la fédération, vous pouvez configurer un nouveau fournisseur d’identités ou une nouvelle fédération de fournisseurs d’identités si vous le souhaitez.