Le principal facteur qui doit déterminer la méthode de configuration de la sécurité de votre déploiement ArcGIS Enterprise est la source des utilisateurs et, en option, les groupes de votre portail. Cette source d'utilisateurs et les groupes constituent votre magasin d'identifiants. Les utilisateurs et les groupes internes ou externes à votre organisation sont gérés via le magasin d'identifiants.
- Présentation des magasins d'identifiants
- Configuration d'utilisateurs intégrés à l'aide du magasin d'identifiants du portail
- Configuration d'identifiants de connexion d'entreprise à l'aide de l'authentification au niveau du Web.
- Configuration d'identifiants de connexion d'entreprise à l'aide de SAML
Présentation des magasins d'identifiants
Le magasin d'identifiants de votre portail définit l'emplacement de stockage des informations d'identification des comptes de votre portail, le processus d'authentification et le mode de gestion de l'appartenance à un groupe. Le portail ArcGIS Enterprise prend en charge deux types de magasins d’identités : intégrés et d’entreprise.
Magasin d'identifiants intégré
Le portail ArcGIS Enterprise peut être configuré afin de permettre aux membres de créer facilement des comptes et des groupes sur votre portail. Lorsqu’il est activé, vous pouvez utiliser le lien Create an account (Créer un compte) sur la page Sign In (Se connecter) du site web du portail pour ajouter un compte intégré à votre portail et commencer à ajouter du contenu dans l’organisation ou accéder aux ressources créées par d’autres membres. Vous pouvez également cliquer sur l'onglet Groupes de la page d'accueil du site Web du portail et créer un groupe destiné à gérer des éléments. Lorsque vous créez ainsi des comptes et des groupes sur votre portail, vous optimisez le magasin d’identifiants intégré, qui exécute l’authentification et enregistre les noms d’utilisateur, les mots de passe, les rôles et l’adhésion au groupe de l’utilisateur du compte de portail.
Vous devez utiliser le magasin d'identifiants intégré pour créer le compte d'administrateur initial de votre portail, mais vous pouvez ensuite utiliser un magasin d'identifiants d'entreprise. Le magasin d'identifiants intégré est utile pour mettre portail en service, ainsi qu'à des fins de développement et de test. Cependant, les environnements de production utilisent généralement un magasin d'identifiants d'entreprise.
Magasin d'identifiants d'entreprise
Le portail ArcGIS Enterprise est conçu pour vous permettre d’utiliser des groupes et des comptes d’entreprise afin de contrôler l’accès à votre organisation ArcGIS. Par exemple, vous pouvez contrôler l'accès accéder au portail en utilisant des informations d'identification provenant de votre serveur Lightweight Directory Access Protocol (LDAP) et de fournisseurs d'identités qui prennent en charge l'authentification unique Web SAML 2.0 (Security Assertion Markup Language). Ce processus est décrit dans la documentation sous forme de configuration d'identifiants de connexion d'entreprise.
L'avantage de cette approche est que vous ne devez pas créer de comptes supplémentaires sur le portail. Les membres utilisent l'identifiant déjà configuré dans le magasin d'identifiants de l'entreprise. Les identifiants de connexion au compte sont entièrement gérés en dehors du portail. Cela permet aux utilisateurs de s'authentifier une seule fois en leur évitant d'avoir à saisir de nouveau leurs informations d'identification.
De la même façon, vous pouvez également créer des groupes sur le portail qui tirent parti des groupes d'entreprise de votre magasin d'identifiants. De plus, plusieurs comptes d'entreprise peuvent être ajoutés à la fois à partir de groupes d'entreprise de votre organisation. Lorsque les membres se connectent au portail, l'accès au contenu, aux éléments et aux données est déterminé par les règles d'appartenance définies dans le groupe d'entreprise. L’appartenance aux groupes est entièrement gérée en dehors du portail.
Par exemple, il est recommandé de désactiver l'accès anonyme à votre portail, de connecter votre portail aux groupes d'entreprise souhaités dans votre organisation et d'ajouter les comptes d'entreprise en fonction de ces groupes. Ainsi, vous limitez l'accès au portail en fonction de groupes d'entreprise spécifiques au sein de votre organisation.
Utilisez un magasin d’identifiants d’entreprise si votre organisation souhaite définir des stratégies pour l’expiration et la complexité des mots de passe, pour contrôler l’accès aux données à l’aide de groupes d’entreprise existants ou utiliser l’authentification via LDAP ou l’infrastructure à clé publique (PKI). Vous pouvez gérer l'authentification au niveau du Web (utilisation de l'authentification au niveau du Web), au niveau du portail (utilisation de l'authentification au niveau du portail) ou via un fournisseur d'identifiants externe (utilisation de SAML).
Prise en charge de plusieurs magasins d'identifiants
Avec SAML 2.0, vous pouvez autoriser l'accès à votre portail à l'aide de plusieurs magasins d'identifiants. Les utilisateurs peuvent se connecter avec des comptes intégrés et des comptes gérés par plusieurs fournisseurs d'identités compatibles avec SAML configurés pour se faire confiance. Cette méthode est conseillée pour gérer les utilisateurs qui peuvent se trouver au sein ou en dehors de votre organisation. Pour obtenir des instructions complètes, reportez-vous à la rubrique Configuration d'un fournisseur d'identités compatible avec SAML avec votre portail.
Configuration des utilisateurs et des groupes intégrés à l'aide du magasin d’identifiants du portail
Aucune configuration n'est nécessaire pour que le portail soit utilisé par des groupes et des utilisateurs intégrés. En effet, il est prêt pour ceux-ci immédiatement après l'installation du logiciel. Si vous utilisez des utilisateurs d'entreprise, reportez-vous aux sections suivantes et cliquez sur les liens associés pour obtenir plus d'informations.
Configuration des connexions d'entreprise
Les fournisseurs d'identités d'entreprise suivants peuvent être configurés avec le portail. L'authentification peut être gérée au niveau du Web (avec ArcGIS Web Adaptor) ou au niveau du portail.
Authentification au niveau du Web
Si vous possédez un répertoire LDAP, vous pouvez l’utiliser avec le portail ArcGIS Enterprise. Pour plus d'informations, reportez-vous à la rubrique Utilisation de votre portail avec LDAP et l'authentification au niveau du Web. Si vous souhaitez faire appel à LDAP, déployez votre adaptateur Web sur un serveur d'applications Java tel qu'Apache Tomcat, IBM WebSphere ou Oracle WebLogic.
Si votre organisation possède une PKI, vous pouvez faire appel aux certificats pour authentifier les communications avec votre portail à l'aide du protocole HTTPS. Il est impossible d'activer l'accès anonyme à votre portail si vous utilisez PKI. Pour plus d'informations, reportez-vous à la rubrique Utilisation du protocole LDAP et d'une infrastructure à clé publique (PKI) pour sécuriser l'accès à votre portail.
Authentification au niveau du portail
Si vous voulez autoriser l'accès à votre portail avec à la fois des magasins d'identifiants d'entreprise et intégrés sans utiliser SAML, vous pouvez utiliser l'authentification au niveau du portail. Pour ce faire, configurez le portail avec votre magasin d'identifiants LDAP, puis activez l'accès anonyme dans votre serveur d'applications Java. Lorsqu'un utilisateur accède à la page de connexion au portail, il est en mesure de se connecter avec les informations d'identification d'entreprise ou intégrées. Les utilisateurs d'entreprise devront indiquer leurs informations d'identification de compte chaque fois qu'ils se connectent au portail. Aucune connexion unique ou automatique n'est possible. Ce type d'authentification permet également aux utilisateurs anonymes d'accéder aux cartes ou aux autres ressources du portail qui sont partagées avec tout le monde.
Lorsque vous utilisez l'authentification au niveau du portail, les membres de votre entreprise se connectent avec la syntaxe suivante :
- Si vous utilisez le portail avec votre déploiement d'Active Directory, la syntaxe peut être domain\username ou username@domain. Quelle que soit la façon dont le membre se connecte, le nom d'utilisateur apparaît toujours ainsi, username@domain, sur le site Web du portail.
- Si vous utilisez le portail avec LDAP, la syntaxe est toujours username. Le site Web du portail affiche également le compte sous ce format.
Configuration d'identifiants de connexion d'entreprise à l'aide de SAML
Le portail ArcGIS Enterprise prend en charge tous les fournisseurs d’identités compatibles avec SAML. Les didacticiels suivants indiquent comment configurer avec le portail certains fournisseurs d’identités courants compatibles avec SAML. Pour plus d'informations, reportez-vous à la rubrique Configuration d'un fournisseur d'identités compatible avec SAML avec votre portail.
Stratégie de verrouillage de compte
Les logiciels appliquent souvent une stratégie de verrouillage de compte pour protéger les utilisateurs face aux nombreuses tentatives automatiques effectuées pour deviner leurs mots de passe. Si, durant un intervalle donné, un utilisateur essaie plusieurs fois de se connecter sans y parvenir, l'accès lui sera refusé pendant un laps de temps défini. Ces stratégies tiennent compte du fait que les utilisateurs n'arrivent pas toujours à se connecter s'ils ont oublié leur nom de connexion et leur mot de passe.
La stratégie de verrouillage appliquée par Portal for ArcGIS dépend du type de magasin d'identifiants que vous utilisez.
Magasin d'identifiants intégré
Le magasin d’identifiants intégré verrouille l’accès d’un utilisateur s’il essaie de se connecter plus de cinq fois, sans y parvenir. Le verrouillage dure 15 minutes. Cette stratégie s'applique à tous les comptes du magasin d'identifiants, y compris le compte d'administrateur initial. Elle ne peut pas être modifiée ni remplacée.
Magasin d'identifiants d'entreprise
Lorsque vous utilisez un magasin d'identifiants d'entreprise, la stratégie de verrouillage des comptes appliquée est celle du magasin. Vous pourrez sans doute modifier la stratégie de verrouillage de compte du magasin. Consultez la documentation propre au type de magasin pour savoir comment modifier la stratégie de verrouillage de compte.
Contrôler les tentatives de connexion infructueuses
Vous pouvez contrôler les tentatives de connexion infructueuses en consultant les journaux du portail dans le répertoire du portail. Toute tentative infructueuse se traduit par l'affichage d'un message d'avertissement indiquant que l'utilisateur n'a pas réussi à se connecter en raison d'une combinaison nom d'utilisateur/mot de passe incorrecte. Si l’utilisateur dépasse le nombre maximal autorisé de tentatives de connexion, un message grave indiquant que le compte a été verrouillé est consigné. Les journaux du portail permettent de consigner les tentatives de connexion infructueuses et vous aident à déterminer si votre système peut être victime d'une attaque de mot de passe.
Pour plus d'informations, reportez-vous à la rubrique Utiliser les journaux du portail.
Vous avez un commentaire à formuler concernant cette rubrique ?