Utilisation de Windows Active Directory et d'une infrastructure PKI pour sécuriser l'accès à votre portail—Portal for ArcGIS

Lorsque vous utilisez Windows Active Directory pour authentifier les utilisateurs, vous pouvez faire appel à une infrastructure à clé publique (PKI) pour un accès sécurisé à votre portail.

Pour utiliser l'authentification Windows intégrée et PKI, vous devez utiliser ArcGIS Web Adaptor (IIS) déployé sur le serveur Web IIS de Microsoft. Vous ne pouvez pas utiliser ArcGIS Web Adaptor (Java Platform) pour effectuer l'authentification Windows intégrée. Si tel n'est pas encore le cas, installez et configurez ArcGIS Web Adaptor (IIS) avec votre portail.

Remarque :

Si vous envisagez d'ajouter un site ArcGIS Server dans votre portail et souhaitez utiliser Windows Active Directory et PKI avec le serveur, vous devez désactiver l'authentification de certificat client basée sur une PKI sur votre site ArcGIS Server et activer l'accès anonyme avant de l'ajouter au portail. Même si elle ne semble pas intuitive, cette démarche est nécessaire pour que votre site puisse être fédéré librement avec le portail et puisse lire les utilisateurs et rôles du portail. Si votre site ArcGIS Server n'utilise pas encore l'authentification de certificat client basée sur PKI, aucune action n'est requise de votre part. Pour savoir comment ajouter un serveur sur votre portail, reportez-vous à la rubrique Fédération d'un site ArcGIS Server avec votre portail.

Configurer votre portail avec Windows Active Directory

Commencez par configurer le portail de façon à utiliser le protocole SSL pour toutes les communications. Ensuite, mettez à jour le magasin d'identités de votre portail pour qu'il utilise des utilisateurs et groupes Windows Active Directory.

Configurer le portail de façon à utiliser le protocole HTTPS pour toutes les communications

Connectez-vous au site Web du portail en tant qu'administrateur de votre organisation. L’URL est au format https://webadaptorhost.domain.com/webadaptorname/home.
Cliquez sur Organization (Organisation), cliquez ensuite sur l’onglet Settings (Paramètres), puis sur Security (Sécurité) dans la partie gauche de la page.
Sélectionnez Autoriser l'accès au portail via HTTPS uniquement.
Cliquez sur Enregistrer pour appliquer les modifications.

Mettre à jour le magasin d'identifiants de votre portail

Ensuite, mettez à jour le magasin d’identités de votre portail pour qu’il utilise des utilisateurs et groupes Active Directory.

Connectez-vous au répertoire de Portal for ArcGIS en tant qu'administrateur de votre organisation. L’URL est au format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
Cliquez sur Sécurité > Config > Mettre à jour le magasin d'identités.
Dans la zone de texte Configuration du magasin d'utilisateurs (au format JSON), collez les informations de configuration des utilisateurs Windows Active Directory de votre organisation (au format JSON). Vous pouvez également actualiser l'exemple suivant avec les informations d'utilisateur propres à votre organisation.
```
{
  "type": "WINDOWS",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "mydomain\\winaccount",
    "userFullnameAttribute": "cn",
    "userEmailAttribute": "mail",
    "caseSensitive": "false"
  }
}
```
Dans la plupart des cas, vous ne devez modifier que les valeurs des paramètres userPassword et user. Même si vous entrez le mot de passe en texte clair, il est chiffré lorsque vous cliquez sur Mettre à jour la configuration (ci-dessous). Le compte que vous spécifiez pour le paramètre user doit disposer d'autorisations uniquement pour consulter l'adresse électronique et le nom complet correspondant à des comptes Windows sur le réseau. Si cela est possible, indiquez un compte dont le mot de passe n'expire pas.
Dans les rares cas où votre instance Windows Active Directory est configurée pour respecter la casse, définissez le paramètre caseSensitive sur true.
Pour créer des groupes sur le portail qui exploitent les groupes d'entreprise existants de votre magasin d'identités, collez les informations de configuration du groupe Windows Active Directory de votre organisation (au format JSON) dans la zone de texte Configuration du magasin de groupes (au format JSON) comme indiqué ci-dessous. Vous pouvez également actualiser l'exemple suivant avec les informations de groupe propres à votre organisation. Si vous souhaitez uniquement utiliser des groupes intégrés du portail, supprimez les informations figurant dans la zone de texte et ignorez cette étape.
```
{
  "type": "WINDOWS",  "properties": {
    "isPasswordEncrypted": "false",    "userPassword": "secret",    "user": "mydomain\\winaccount"
  }
}
```
Dans la plupart des cas, vous ne devez modifier que les valeurs des paramètres userPassword et user. Même si vous entrez le mot de passe en texte clair, il est chiffré lorsque vous cliquez sur Mettre à jour la configuration (ci-dessous). Le compte que vous spécifiez pour le paramètre user doit disposer d'autorisations uniquement pour consulter les noms des groupes Windows sur le réseau. Si cela est possible, indiquez un compte dont le mot de passe n'expire pas.
Cliquez sur Mettre à jour la configuration pour enregistrer vos modifications.
Si vous avez configuré un portail hautement disponible, redémarrez chaque machine du portail. Pour obtenir des instructions complètes, reportez-vous à la rubrique Arrêt et démarrage du portail.

Ajouter des comptes d'entreprise à votre portail

Par défaut, les utilisateurs d'entreprise peuvent accéder au site Web du portail. Toutefois, ils peuvent uniquement afficher les éléments qui ont été partagés avec tout le monde dans l'organisation. En effet, les comptes d'entreprise n'ont pas été ajoutés dans le portail et ils ne disposent pas des privilèges d'accès.

Ajoutez des comptes sur votre portail en utilisant l'une des méthodes suivantes :

Site Web Portal for ArcGIS (un par un, par lots à partir d'un fichier CSV ou depuis des groupes d'entreprise existants)
script Python
Utilitaire de ligne de commande
Automatiquement

Nous vous recommandons de désigner au moins un compte d'entreprise pour administrer votre portail. Pour ce faire, sélectionnez le rôle Administrateur lorsque vous ajoutez le compte. Lorsque vous disposez d'un autre compte d'administrateur sur le portail, vous pouvez attribuer le compte d'administrateur initial au rôle Utilisateur ou supprimer ce compte. Pour plus d'informations, reportez-vous à la rubrique A propos du compte d'administrateur initial.

Une fois les comptes ajoutés et les étapes ci-dessous terminées, les utilisateurs peuvent se connecter à l'organisation et accéder au contenu.

Installer et activer l'authentification par mappage de certificat client Active Directory

Le mappage de certificat client Active Directory n'est pas disponible dans l'installation par défaut d'IIS. Vous devez installer et activer la fonctionnalité.

Installer l'authentification par mappage de certificat client

Les instructions d'installation de cette fonctionnalité varient selon votre système d'exploitation.

Windows Server 2016

Ouvrez Outils d'administration et cliquez sur Gestionnaire de serveur.
Dans le volet de l'arborescence du Gestionnaire de serveur, développez Rôles et cliquez sur Serveur Web (IIS).
Développez les rôles Web Server (Serveur web) et Security (Sécurité).
Dans la section du rôle Security (Sécurité), sélectionnez Client Certificate Mapping Authentication (Authentification par mappage de certificat client) et cliquez sur Next (Suivant).
Cliquez sur Next (Suivant) dans l’onglet Select Features (Sélectionner des entités) puis cliquez sur Install (Installer).

Windows Server 2008/R2 et 2012/R2

Ouvrez Outils d'administration et cliquez sur Gestionnaire de serveur.
Dans le volet de l'arborescence du Gestionnaire de serveur, développez Rôles et cliquez sur Serveur Web (IIS).
Faites défiler l'affichage jusqu'à la section Services de rôle et cliquez sur Ajouter des services de rôle.
Dans la page Sélectionner des services de rôle de l'Assistant Ajout de services de rôle, sélectionnez Authentification par mappage de certificat client et cliquez sur Suivant.
Cliquez sur Installer.

Windows 7, 8 et 8.1

Ouvrez le Panneau de configuration et cliquez sur Programmes et fonctionnalités > Activer ou désactiver des fonctionnalités Windows.
Développez Services Internet (IIS) > Services World Wide Web > Sécurité et sélectionnez Authentification par mappage de certificat client.
Cliquez sur OK.

Activer l'authentification par mappage de certificat client Active Directory

Une fois le mappage de certificat client Active Directory installé, activez la fonctionnalité en procédant comme suit.

Démarrez le Gestionnaire des services Internet (IIS).
Dans le nœud Connexions, cliquez sur le nom de votre serveur Web.
Double-cliquez sur Authentification dans la fenêtre Vue des fonctionnalités.
Vérifiez que l'option Authentification du certificat client Active Directory est affichée. Si la fonctionnalité n'est pas affichée ou disponible, vous pouvez être amené à redémarrer votre serveur Web pour terminer l'installation de la fonctionnalité Authentification du certificat client Active Directory.
Double-cliquez sur Authentification du certificat client Active Directory et sélectionnez Activer dans la fenêtre Actions.

Un message s'affiche, indiquant que l'authentification SSL doit être activée pour que vous puissiez utiliser l'authentification du certificat client Active Directory. Ceci fait l'objet de la section suivante.

Configurer ArcGIS Web Adaptor pour qu'il exige des certificats SSL et clients

Démarrez le Gestionnaire des services Internet (IIS).
Développez le nœud Connexions et sélectionnez le site de votre adaptateur Web.
Double-cliquez sur Authentification dans la fenêtre Vue des fonctionnalités.
Désactivez toutes les formes d'authentification.
Sélectionnez à nouveau votre ArcGIS Web Adaptor dans la liste Connexions.
Double-cliquez sur Paramètres SSL.
Activez l'option Exiger SSL et sélectionnez l'option Demander sous Certificats clients.
Cliquez sur Appliquer pour enregistrer les modifications.

Vérifiez que vous pouvez accéder au portail avec Windows Active Directory et PKI

Ouvrez le site Web du portail. L’URL est au format https://webadaptorhost.domain.com/webadaptorname/home.
Vérifiez que vous êtes invité à saisir vos informations d'identification de sécurité et pouvez accéder au site Web.

Empêcher les utilisateurs de créer leurs propres comptes intégrés

Pour empêcher les utilisateurs de créer leurs propres comptes intégrés, désactivez le bouton Créer un compte et la page de connexion (signup.html) sur le site Web du portail. Cela permet à tous les membres de se connecter au portail avec leurs informations d'identification d'entreprise et d'empêcher la création de comptes de membre inutiles. Pour plus d'informations, reportez-vous à la rubrique Désactivation de la fonction de création des comptes de portail intégrés pour les utilisateurs.

Vous avez un commentaire à formuler concernant cette rubrique ?