Votre organisation peut utiliser SAML (Security Assertion Markup Language) pour authentifier ses utilisateurs informatiques et autoriser l’accès à ses ressources web. Pour ce faire, un fournisseur d’identités unique compatible avec SAML est configuré pour traiter l’authentification des utilisateurs. Les ressources web de l’organisation sont hébergées sur un ou plusieurs fournisseurs de services qui gère l’autorisation de l’accès aux ressources web. L’organisation dispose d’un contrôle de gestion total sur son fournisseurs d’identités et ses fournisseurs de services. Pour pouvoir prendre en charge l’authentification et l’autorisation basées sur SAML, chaque fournisseur de services de l’organisation doit être inscrit pour pouvoir fonctionner auprès de son fournisseur d’identités. Chaque fournisseur de services ne peut être inscrit qu’auprès d’un seul fournisseur d’identités.
Vous pouvez également utiliser SAML pour partager des ressources entre plusieurs organisations régies de manière indépendante. Cela est rendu possible par les entités de gestion de la fédération qui activent le partage SAML des ressources entre leurs organisations membres. Une organisation membre qui souhaite partager ses ressources web avec la fédération réserve un ou plusieurs fournisseurs de services de manière à le faire travailler exclusivement au sein de la fédération. Pour accéder à une ressource sécurisée partagée dans la fédération, un utilisateurs authentifie son identité auprès du fournisseur d’identité de son organisation d’accueil. Une fois authentifiée, cette identité validée est présentée au fournisseur de services hébergeant la ressource sécurisée. Le fournisseur de services accorde alors l’accès à la ressource après avoir vérifié les privilèges d’accès de l’utilisateur.
Votre portail ArcGIS Enterprise peut être configuré avec une fédération SAML de fournisseurs d’identités. Le portail accède au service de découverte hébergé par la fédération, qui fournit une liste des fournisseurs d’identités et des fournisseurs de services participant à la fédération.
Voici quelques fédérations de fournisseurs d’identités SAML courantes : InCommon, eduGAIN, SWITCHaai, DFN-AAI et UK Access Management Federation.
Configurer la fédération avec votre portail
Procédez comme suit pour configurer une fédération SAML de fournisseurs d’identités avec votre portail :
- Connectez-vous au portail en tant qu’administrateur et cliquez sur Organization (Organisation) > Settings (Paramètres) > Security (Sécurité).
- Dans la section Logins (Connexions), cliquez sur le bouton New SAML login (Nouvelle connexion SAML) et sélectionnez l’option A federation of identity providers (Une fédération de fournisseurs d’identités). Sur la page Specify properties (Spécifier les propriétés), saisissez le nom de votre fédération.
La description est présentée aux utilisateurs accédant au portail dans le cadre de l’option de connexion SAML.
- Choisissez comment vos utilisateurs peuvent rejoindre l’organisation du portail :
- Automatically (Automatiquement) : permet aux utilisateurs de se connecter à l’organisation avec leur identifiant de connexion d’organisation sans nécessiter d’autorisation de la part d’un administrateur, car leur compte est automatiquement inscrit auprès du portail lors de leur première connexion.
- Upon invitation from an administrator (À l’invitation d’un administrateur) : nécessite que l’administrateur de l’organisation inscrive les comptes nécessaires auprès de l’organisation à l’aide d’un utilitaire de ligne de commande ou d’un script Python.
Remarque :
Esri vous recommande de désigner au moins un compte SAML comme administrateur de votre portail et de désactiver le bouton Create an account (Créer un compte) sur le portail afin que les utilisateurs ne puissent pas créer leurs propres comptes. Pour plus d’informations, reportez-vous à la section Désigner un compte SAML comme administrateur ci-dessous.
- Fournissez l’URL vers le service de découverte de fournisseur d’identités centralisé hébergé par la fédération (par exemple, https://wayf.samplefederation.com/WAYF).
- Fournissez l’URL vers les métadonnées de la fédération, qui sont une agrégation des métadonnées de tous les fournisseurs d’identités et fournisseurs de services participant à la fédération.
- Copiez et collez le certificat, codé dans le format Base64, qui permet au portail de vérifier la validité des métadonnées de la fédération.
- Configurez les paramètres avancés comme il convient :
- Encrypt Assertion (Chiffrer l’assertion) : activez cette option pour indiquer au fournisseur d’identités SAML que votre portail prend en charge les réponses d’assertion SAML chiffrées. Lorsque cette option est sélectionnée, le fournisseur d’identités chiffre la section d’assertion des réponses SAML. Tout le trafic SAML en direction et en provenance du portail est déjà chiffré à l’aide du protocole HTTPS, mais cette option ajoute une couche de chiffrement.
- Enable signed request (Activer la demande signée) : activez cette option pour que le portail signe la demande d’authentification SAML envoyée au fournisseur d’identités. La signature de la demande de connexion initiale envoyée par le portail autorise le fournisseur d’identités à vérifier que toutes les demandes de connexion proviennent d’un fournisseur de services approuvé.
- Propagate logout to Identity Provider (Propager la déconnexion au fournisseur d’identités) : activez cette option afin que le portail utilise une URL de déconnexion pour déconnecter l’utilisateur du fournisseur d’identités. Si vous sélectionnez cette option, entrez l’URL à utiliser dans le paramètre Logout URL (URL de déconnexion). Si le fournisseur d’identités exige que l’URL de déconnexion soit signée, il convient de cocher également l’option Enable Signed Request (Activer la demande signée). Si cette option n’est pas activée, cliquer sur Sign Out (Se déconnecter) sur le portail aura pour effet de déconnecter l’utilisateur du portail mais pas du fournisseur d’identités. Si le cache du navigateur web de l’utilisateur n’est pas vidé, une tentative visant à se reconnecter immédiatement au portail en utilisant les identifiants de connexion d’organisation aura pour effet de connecter l’utilisateur immédiatement sans qu’il soit nécessaire de fournir les identifiants de connexion au fournisseur d’identités. Il s’agit d’une faille de sécurité susceptible d’être exploitée lors de l’utilisation d’un ordinateur facilement accessible à des utilisateurs non autorisés ou au grand public.
- Update profiles on sign in (Mettre à jour les profils lors de la connexion) : activez cette option afin que le portail mette à jour les attributs givenName et email address des utilisateurs si ces Activation ont changé depuis la dernière fois que les utilisateurs se sont connectés. Cette propriété est sélectionnée par défaut.
- Entity ID (ID d’entité) : mettez à jour cette valeur pour utiliser un nouvel ID d’entité qui identifie de manière unique l’organisation de votre portail auprès de la fédération SAML.
Inscrire le portail auprès de la fédération SAML en tant que fournisseur de services approuvé
Pour terminer le processus de configuration, établissez une relation de confiance avec le service de découverte de la fédération et le fournisseur d’identités de votre organisation en enregistrant les métadonnées du fournisseur de services du portail auprès de lui. Vous pouvez obtenir ces métadonnées de deux manières :
- Dans la section Security (Sécurité) de la page Settings (Paramètres) de votre organisation, cliquez sur le bouton Download service provider metadata (Télécharger les métadonnées du fournisseur de services) pour télécharger le fichier de métadonnées de votre organisation.
- Ouvrez l'URL des métadonnées et enregistrez-les en tant que fichier XML sur votre ordinateur. L’URL est https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, par exemple, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Vous pouvez générer un jeton avec https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Lorsque vous saisissez l’URL sur la page Generate Token (Générer un jeton), indiquez le nom de domaine complet du serveur du fournisseur d’identités dans le champ Webapp URL (URL de l’application Web). Sélectionnez une autre option, telle que IP Address (Adresse IP) ou Address of this request's origin (Adresse IP de l'origine de cette requête), au risque de générer un jeton incorrect.
Une fois les métadonnées du fournisseur de services téléchargées, contactez les administrateurs de la fédération SAML pour savoir comment intégrer vos métadonnées dans le fichier de métadonnées agrégé de la fédération. Vous aurez également besoin d’instructions concernant l’inscription de votre IDP auprès de la fédération.
Désigner un compte SAML comme administrateur
La façon dont vous désignez un compte SAML comme administrateur du portail varie selon que les utilisateurs seront en mesure de rejoindre l’organisation Automatically (Automatiquement) ou Upon invitation from an administrator (Sur invitation d’un administrateur).
Rejoindre l'organisation automatiquement
Si vous sélectionnez l’option autorisant les utilisateurs à rejoindre l’organisation Automatically (Automatiquement), ouvrez le portail alors que vous être connecté avec le compte SAML que vous souhaitez utiliser comme administrateur de l’organisation.
Lorsqu'un compte est automatiquement ajouté pour la première fois au portail, le rôle Utilisateur lui est attribué. Seul un administrateur de l’organisation peut changer le rôle d’un compte. Par conséquent, vous devez vous connecter au portail à l’aide du compte d’administrateur initial et affecter un compte SAML au rôle Administration.
- Ouvrez le portail, cliquez sur l’option permettant de se connecter à l’aide d’un fournisseur d’identités SAML et saisissez les identifiants de connexion du compte SAML que vous souhaitez utiliser comme administrateur. Si ce compte appartient à un autre utilisateur, demandez-lui de se connecter au portail pour que le compte soit enregistré auprès du portail.
- Vérifiez que le compte a été ajouté au portail et cliquez sur Déconnexion. Effacez le cache et les cookies du navigateur.
- Dans le navigateur, ouvrez le portail, cliquez sur l’option permettant de se connecter à l’aide d’un compte de portail intégré et fournissez les identifiants de connexion du compte de l’administrateur initial que vous avez créé lors de la configuration de ArcGIS Enterprise.
- Recherchez le compte SAML que vous allez utiliser pour administrer votre portail, puis changez le rôle en Administrator (Administration). Cliquez sur Sign Out (Déconnexion).
Le compte SAML que vous avez sélectionné est maintenant administrateur du portail.
Ajouter manuellement des comptes SAML au portail
Si vous sélectionnez l’option permettant uniquement aux utilisateurs de rejoindre l’organisation Upon invitation from an administrator (Sur invitation d’un administrateur), vous devez inscrire les comptes nécessaires auprès de l’organisation à l’aide d’un utilitaire de ligne de commande. Veillez à attribuer le rôle Administrator (Administration) au compte SAML qui sera utilisé pour administrer le portail.
Rétrogradation ou suppression du compte d'administrateur initial
Maintenant que vous disposez d’un autre compte d’administrateur dans l’organisation, vous pouvez attribuer le compte d’administrateur initial au rôle User (Utilisation) ou le supprimer. Pour plus d'informations, reportez-vous à la rubrique A propos du compte d'administrateur initial.
Empêcher les utilisateurs de créer leurs propres comptes
Vous pouvez empêcher les utilisateurs de créer leurs propres comptes intégrés en désactivant la possibilité pour les utilisateurs de créer de nouveaux comptes intégrés dans les paramètres de l’organisation.
Désactiver la connexion avec des comptes ArcGIS
Pour empêcher des utilisateurs de se connecter au portail via un compte ArcGIS, vous pouvez désactiver le bouton ArcGIS login (Identifiant ArcGIS) sur la page de connexion en procédant comme suit :
- Connectez-vous au portail avec le rôle Administration de votre organisation et cliquez sur Organization (Organisation) > Settings (Paramètres) > Security (Sécurité).
- Dans la section Logins (identifiants de connexion), désactivez le bouton de bascule en regard de ArcGIS login (Identifiant ArcGIS).
La page de connexion affichera le bouton permettant de se connecter au portail via un compte de fournisseur d’identités, et le bouton permettant de se connecter avec ArcGIS login (Identifiant ArcGIS) ne sera pas disponible. Vous pouvez réactiver les connexions des membres avec des comptes ArcGIS en activant l’option ArcGIS login (Identifiant ArcGIS) sous Logins (Identifiants de connexion).
Modifier ou supprimer le fournisseur d’identités SAML
Une fois que vous avez configuré une fédération, vous pouvez mettre à jour les paramètres qui la concernent en cliquant sur le bouton Edit (Mettre à jour) en regard de celle-ci. Mettez à jour les paramètres dans la fenêtre Edit SAML login (Modifier un identifiant de connexion SAML).
Pour supprimer la fédération de votre portail, cliquez sur le bouton Edit (Mettre à jour) en regard de celle-ci, puis cliquez sur Delete login (Supprimer la connexion) dans la fenêtre Edit SAML login (Modifier la connexion SAML). Une fois que vous avez supprimé la fédération, vous pouvez choisir de configurer un nouveau fournisseur d’identités ou une nouvelle fédération de fournisseurs d’identités si vous le souhaitez.
Vous avez un commentaire à formuler concernant cette rubrique ?