Votre organisation peut utiliser SAML (Security Assertion Markup Language) pour authentifier ses utilisateurs informatiques et autoriser l’accès à ses ressources web. Pour ce faire, un fournisseur d’identités unique compatible avec SAML est configuré pour traiter l’authentification des utilisateurs. Les ressources web de l’organisation sont hébergées sur un ou plusieurs fournisseurs de services qui gère l’autorisation de l’accès aux ressources web. L’organisation dispose d’un contrôle de gestion total sur son fournisseurs d’identités et ses fournisseurs de services. Pour pouvoir prendre en charge l’authentification et l’autorisation basées sur SAML, chaque fournisseur de services de l’organisation doit être inscrit pour pouvoir fonctionner auprès de son fournisseur d’identités. Chaque fournisseur de services ne peut être inscrit qu’auprès d’un seul fournisseur d’identités.
Vous pouvez également utiliser SAML pour partager des ressources entre plusieurs organisations régies de manière indépendante. Cela est rendu possible par les entités de gestion de la fédération qui activent le partage SAML des ressources entre leurs organisations membres. Une organisation membre qui souhaite partager ses ressources web avec la fédération réserve un ou plusieurs fournisseurs de services de manière à le faire travailler exclusivement au sein de la fédération. Pour accéder à une ressource sécurisée partagée dans la fédération, un utilisateurs authentifie son identité auprès du fournisseur d’identité de son organisation d’accueil. Une fois authentifiée, cette identité validée est présentée au fournisseur de services hébergeant la ressource sécurisée. Le fournisseur de services accorde alors l’accès à la ressource après avoir vérifié les privilèges d’accès de l’utilisateur.
Dans la version 10.6.1, votre portail ArcGIS Enterprise peut être configuré avec une fédération SAML de fournisseurs d’identités. Le portail accède au service de découverte hébergé par la fédération, qui fournit une liste des fournisseurs d’identités et des fournisseurs de services participant à la fédération.
Voici quelques fédérations de fournisseurs d’identités SAML courantes : InCommon, eduGAIN, SWITCHaai, DFN-AAI et UK Access Management Federation.
Configurer la fédération avec votre portail
Procédez comme suit pour configurer une fédération SAML de fournisseurs d’identités avec votre portail :
- Connectez-vous au site web du portail en tant qu’administrateur et cliquez sur Organization (Organisation) > Settings (Paramètres) > Security (Sécurité).
- Dans la section Logins (Connexions), sous Enterprise (Entreprise), cliquez sur le bouton Set enterprise login (Configurer un identifiant de connexion d’entreprise) et sélectionnez l’option A federation of identity providers (Une fédération de fournisseurs d’identité). Sur la page Specify properties (Spécifier les propriétés), saisissez le nom de votre fédération. La description est présentée aux utilisateurs accédant au site web du portail dans le cadre de l’option de connexion SAML.
- Choisissez comment vos utilisateurs peuvent rejoindre l’organisation du portail :
- Automatically (Automatiquement) : permet aux utilisateurs de se connecter à l’organisation avec leur connexion d’entreprise sans nécessiter d’autorisation de la part d’un administrateur, car leur compte est automatiquement inscrit auprès du portail lors de leur première connexion.
- Upon invitation from an administrator (À l’invitation d’un administrateur) : nécessite que l’administrateur du portail enregistre les comptes nécessaires auprès de l’organisation à l’aide d’un utilitaire de ligne de commande ou d’un script Python.
Remarque :
Esri vous recommande de désigner au moins un compte d’entreprise comme administrateur de votre portail et de désactiver le bouton Create an account (Créer un compte) sur le site web du portail afin que les utilisateurs ne puissent pas créer leurs propres comptes. Pour plus d’informations, reportez-vous à la section Désigner un compte d’entreprise comme administrateur ci-dessous.
- Fournissez l’URL vers le service de découverte de fournisseur d’identités centralisé hébergé par la fédération (par exemple, https://wayf.samplefederation.com/WAYF).
- Fournissez l’URL vers les métadonnées de la fédération, qui sont une agrégation des métadonnées de tous les fournisseurs d’identités et fournisseurs de services participant à la fédération.
- Copiez et collez le certificat, codé dans le format Base64, qui permet au portail de vérifier la validité des métadonnées de la fédération.
- Configurez les paramètres avancés comme il convient :
- Encrypt Assertion (Chiffrer l’assertion) : activez cette option pour indiquer au fournisseur d’identités SAML que votre portail prend en charge les réponses d’assertion SAML chiffrées. Lorsque cette option est sélectionnée, le fournisseur d’identités chiffre la section d’assertion des réponses SAML. Tout le trafic SAML en direction et en provenance du portail est déjà chiffré à l’aide du protocole HTTPS, mais cette option ajoute une couche de chiffrement.
- Enable signed request (Activer la demande signée) : activez cette option pour que le portail signe la demande d’authentification SAML envoyée au fournisseur d’identités. La signature de la demande de connexion initiale envoyée par le portail autorise le fournisseur d’identités à vérifier que toutes les demandes de connexion proviennent d’un fournisseur de services approuvé.
- Propagate logout to Identity Provider (Propager la déconnexion au fournisseur d’identités) : activez cette option afin que le portail utilise une URL de déconnexion pour déconnecter l’utilisateur du fournisseur d’identités. Si vous sélectionnez cette option, entrez l’URL à utiliser dans le paramètre Logout URL (URL de déconnexion). Si le fournisseur d’identités exige que l’URL de déconnexion soit signée, il convient de cocher également l’option Enable Signed Request (Activer la demande signée). Si cette option n’est pas sélectionnée, cliquer sur Sign Out (Se déconnecter) sur le site web du portail aura pour effet de déconnecter l’utilisateur du portail mais pas du fournisseur d’identités. Si le cache du navigateur web de l’utilisateur n’est pas vidé, une tentative visant à se reconnecter immédiatement au portail en utilisant l’option de connexion d’entreprise aura pour effet de connecter l’utilisateur immédiatement sans qu’il soit nécessaire de fournir les identifiants de connexion au fournisseur d’identités. Il s’agit d’une faille de sécurité susceptible d’être exploitée lors de l’utilisation d’un ordinateur facilement accessible à des utilisateurs non autorisés ou au grand public.
- Update profiles on sign in (Mettre à jour les profils lors de la connexion) : activez cette option afin que le portail mette à jour les attributs givenName et email address des utilisateurs si ces Activation ont changé depuis la dernière fois que les utilisateurs se sont connectés. Cette propriété est sélectionnée par défaut.
- Entity ID (ID d’entité) : mettez à jour cette valeur pour utiliser un nouvel ID d’entité qui identifie de manière unique l’organisation de votre portail auprès de la fédération SAML.
Inscrire le portail auprès de la fédération SAML en tant que fournisseur de services approuvé
Pour terminer le processus de configuration, établissez une relation de confiance avec le service de découverte de la fédération et le fournisseur d’identités de votre organisation en enregistrant les métadonnées du fournisseur de services du portail auprès de lui. Vous pouvez obtenir ces métadonnées de deux manières :
- Dans la section Security (Sécurité) de la page Settings (Paramètres) de votre organisation, cliquez sur le bouton Download service provider metadata (Télécharger les métadonnées du fournisseur de services) pour télécharger le fichier de métadonnées de votre organisation.
- Ouvrez l'URL des métadonnées et enregistrez-les en tant que fichier XML sur votre ordinateur. L'URL est https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, par exemple, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Vous pouvez générer un jeton avec https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Lorsque vous saisissez l'URL sur la page Générer un jeton, indiquez le nom de domaine complet du serveur du fournisseur d'identités dans le champ URL de l'application Web. Sélectionnez une autre option, telle que IP Address (Adresse IP) ou Address of this request's origin (Adresse IP de l'origine de cette requête), au risque de générer un jeton incorrect.
Une fois les métadonnées du fournisseur de services téléchargées, contactez les administrateurs de la fédération SAML pour savoir comment intégrer vos métadonnées dans le fichier de métadonnées agrégé de la fédération. Vous aurez également besoin d’instructions concernant l’inscription de votre IDP auprès de la fédération.
Désigner un compte d'entreprise comme administrateur
La façon dont vous désignez un compte d’entreprise comme administrateur du portail varie selon que les utilisateurs seront en mesure de rejoindre l’organisation Automatically (Automatiquement) ou Upon invitation from an administrator (Sur invitation d’un administrateur).
Rejoindre l'organisation automatiquement
Si vous sélectionnez l'option autorisant les utilisateurs à rejoindre l'organisation automatiquement, ouvrez la page d'accueil du site Web du portail alors que vous être connecté avec le compte d'entreprise que vous souhaitez utiliser comme administrateur du portail.
Lorsqu'un compte est automatiquement ajouté pour la première fois au portail, le rôle Utilisateur lui est attribué. Seul un administrateur de l'organisation peut changer le rôle d'un compte. Par conséquent, vous devez vous connecter au portail à l'aide du compte d'administrateur initial et affecter un compte d'entreprise au rôle d'administrateur.
- Ouvrez le site Web du portail, cliquez sur l'option permettant de se connecter à l'aide d'un fournisseur d'identités SAML et saisissez les informations d'identification du compte d'entreprise que vous souhaitez utiliser comme administrateur. Si ce compte appartient à un autre utilisateur, demandez-lui de se connecter au portail pour que le compte soit enregistré auprès du portail.
- Vérifiez que le compte a été ajouté au portail et cliquez sur Déconnexion. Effacez le cache et les cookies du navigateur.
- Dans le navigateur, ouvrez le site Web du portail, cliquez sur l'option permettant de se connecter à l'aide d'un compte de portail intégré et fournissez les informations d'identification du compte de l'administrateur initial que vous avez créé lors de la configuration de Portal for ArcGIS.
- Recherchez le compte d'entreprise que vous allez utiliser pour administrer votre portail, puis changez le rôle en Administrateur. Cliquez sur Sign Out (Déconnexion).
Le compte d'entreprise que vous sélectionnez est maintenant administrateur du portail.
Ajoutez manuellement des comptes d'entreprise au portail
Si vous sélectionnez l’option permettant uniquement aux utilisateurs de rejoindre l’organisation Upon invitation from an administrator (Sur invitation d’un administrateur), vous devez enregistrer les comptes nécessaires auprès de l’organisation à l’aide d’un utilitaire de ligne de commande ou d’un exemple de script Python. Veillez à attribuer le rôle Administrateur au compte d'entreprise qui sera utilisé pour administrer le portail.
Rétrogradation ou suppression du compte d'administrateur initial
Maintenant que vous disposez d'un autre compte d'administrateur sur le portail, vous pouvez attribuer le compte d'administrateur initial au rôle Utilisateur ou supprimer ce compte. Pour plus d'informations, reportez-vous à la rubrique A propos du compte d'administrateur initial.
Empêcher les utilisateurs de créer leurs propres comptes
Vous pouvez empêcher les utilisateurs de créer leurs propres comptes intégrés en désactivant la possibilité pour les utilisateurs de créer de nouveaux comptes intégrés dans les paramètres de l’organisation.
Désactiver la connexion avec des comptes ArcGIS
Pour empêcher des utilisateurs de se connecter au portail via un compte ArcGIS, vous pouvez désactiver le bouton Using Your ArcGIS Account (Utilisation de votre compte ArcGIS) sur la page de connexion en procédant comme suit.
- Connectez-vous au site web du portail avec le rôle Administration de votre organisation et cliquez sur Organization (Organisation) > Settings (Paramètres) > Security (Sécurité).
- Dans la section Logins (Connexions), sous Sign in options (Options de connexion), désactivez le bouton bascule pour <Organization name> logins (Connexions <nom de l’organisation>).
La page de connexion affichera le bouton permettant de se connecter au portail via un compte de fournisseur d'identités, et le bouton de connexion identifié dans la section Utilisation de votre compte ArcGIS ne sera pas disponible. Vous pouvez réactiver les connexions des membres avec des comptes ArcGIS en activant le bouton bascule <Organization name> logins (Connexions <nom de l’organisation>) sous Logins (Connexions) > Sign in options (Options de connexion).
Modifier ou supprimer le fournisseur d’identités SAML
Lorsque vous avez mis en place une fédération, vous pouvez mettre à jour ses paramètres en cliquant sur le bouton Plus d’options en regard de celle-ci et en cliquant sur Edit (Mettre à jour). Mettez à jour les paramètres dans la fenêtre Edit enterprise login (Mettre à jour l’identifiant de connexion d’entreprise). Ces boutons apparaissent une fois que vous avez configuré la fédération avec votre portail.
Pour retirer la fédération de votre portail, cliquez sur le bouton Plus d’options en regard de celle-ci et cliquez sur Delete (Supprimer). Une fois que vous avez supprimé la fédération, vous pouvez configurer un nouveau fournisseur d’identités ou une nouvelle fédération de fournisseurs d’identités si vous le souhaitez.
Vous avez un commentaire à formuler concernant cette rubrique ?