Security Assertion Markup Language (SAML) est une norme ouverte qui permet un échange en toute sécurité des données d’authentification et d’autorisation entre le fournisseur d’identités spécifique d’une organisation et un fournisseur de services (en l’occurrence, Portal for ArcGIS). C’est ce que l’on appelle l’authentification unique Web SAML.
Le portail est conforme à SAML 2.0 et s’intègre avec les fournisseurs d’identités qui prennent en charge l’authentification unique Web SAML 2. Grâce à la configuration de SAML, vous n’avez pas besoin de créer d’identifiants de connexion supplémentaires pour que les utilisateurs accèdent à votre portail ArcGIS Enterprise. Ils utilisent à la place l’identifiant de connexion qui est déjà configuré dans un magasin d’identités. Ce processus est décrit dans la documentation comme la définition d’identifiants de connexion d’organisation.
Vous pouvez également transmettre au portail des métadonnées concernant les groupes d'entreprise de votre magasin d'identités. Cela vous permet de créer des groupes sur le portail qui utilisent les groupes d’entreprise de votre magasin d’identités.
Lorsque les membres se connectent au portail, l’accès au contenu, aux éléments et aux données est déterminé par les règles d’appartenance définies dans le groupe d’entreprise. Si vous ne communiquez pas les métadonnées requises concernant les groupes d'entreprise, vous pourrez toutefois créer des groupes. Toutefois, les règles d’appartenances sont déterminées par le portail ArcGIS Enterprise et non par le magasin d’identités.
Apparier les noms d’utilisateurs ArcGIS Online dans le portail ArcGIS Enterprise
Si le même fournisseur d’identités compatibles avec SAML est utilisé dans votre organisation ArcGIS Online et sur votre portail, vous pouvez configurer les noms des utilisateurs spécifiques de l’organisation pour les apparier. Le nom court de l’organisation est ajouté à la fin de tous les noms d’utilisateur de l’organisation dans ArcGIS Online. Les mêmes noms d’utilisateur de l’organisation peuvent être utilisés dans votre portail en définissant la propriété defaultIDPUsernameSuffix au sein de la configuration de sécurité du portail ArcGIS Enterprise et en la configurant de façon à être appariée avec le nom court de l’organisation. Ceci est nécessaire si le suivi de l’éditeur est activé sur un service d’entités qui est mis à jour par les utilisateurs de l’organisation à la fois depuis ArcGIS Online et votre portail.
Connexion SAML
Portal for ArcGIS prend en charge les identifiants de connexion de l’organisation initiés par les fournisseurs de services et les identifiants de connexion de l’organisation initiés par les fournisseurs d’identités. Chaque type de connexion est différent.
Identifiants de connexion initiés par les fournisseurs de services
Avec les identifiants de connexion initiés par les fournisseurs de services, les utilisateurs accèdent directement au portail et peuvent utiliser des options leur permettant de se connecter via des comptes intégrés (gérés par le portail) ou des comptes gérés par un fournisseur d’identités compatible avec SAML. Si l’utilisateur sélectionne l’option du fournisseur d’identités SAML, il est redirigé vers une page Web (nommée gestionnaire d’identifiants de connexion) où il est invité à fournir son nom d’utilisateur SAML et le mot de passe associé. Au terme de la vérification des identifiants de connexion de l’utilisateur, le fournisseur d’identités SAML signale à Portal for ArcGIS l’identité vérifiée de l’utilisateur qui se connecte, et l’utilisateur est redirigé vers le site Web du portail.
Si l’utilisateur choisit l’option du compte intégré, la page de connexion au site Web du portail ArcGIS Enterprise s’ouvre. L’utilisateur saisit alors son nom d’utilisateur et son mot de passe de compte intégré pour accéder au site Web. L’option du compte intégré peut être utilisée en cas d’indisponibilité du fournisseur d’identités compatible avec SAML, à condition que l’option permettant de se connecter avec un compte ArcGIS n’ait pas été désactivée.
Identifiants de connexion initiés par les fournisseurs d'identités
Avec les identifiants de connexion initiés par les fournisseurs de services, les utilisateurs accèdent directement au gestionnaire d’identifiants et se connectent avec leur compte. Lorsque le membre envoie ses informations de compte, le fournisseur d’identités envoie la réponse SAML directement à Portal for ArcGIS. L’utilisateur est ensuite connecté et redirigé vers le site Web du portail, où il peut immédiatement accéder aux ressources sans avoir à se reconnecter à l’organisation.
L’option de connexion avec un compte intégré n’est pas disponible à partir du gestionnaire d’identifiants de connexion. Pour se connecter à l’organisation avec un compte intégré, les membres doivent accéder directement au site Web du portail.
Remarque :
Si les identifiants SAML ne fonctionnent pas en raison de problèmes avec le fournisseur d’identités et que l’option de compte intégré est désactivée, vous ne pourrez pas accéder à votre portail ArcGIS Enterprise tant que vous n’avez pas réactivé cette option. Consultez cette question dans Problèmes courants et solutions pour en savoir plus.
Fournisseurs d'identités SAML
Portal for ArcGIS prend en charge tous les fournisseurs d’identités compatibles avec SAML. Vous trouverez des instructions détaillées pour la configuration de certains fournisseurs d’identités courants compatibles avec SAML dans le référentiel ArcGIS/idp GitHub.
La procédure de configuration des fournisseurs d’identités avec ArcGIS Enterprise est décrite ci-dessous. Avant de continuer, il est conseillé de contacter l’administrateur du fournisseur d’identités de votre SAML pour obtenir les paramètres nécessaires à la configuration.
Informations requises
Portal for ArcGIS requiert la réception de certaines informations attributaires de la part du fournisseur d’identités lorsqu’un utilisateur se connecte à l’aide d’identifiants SAML. L’attribut NameID est obligatoire. Il doit être envoyé par votre fournisseur d’identités dans la réponse SAML afin que la fédération avec Portal for ArcGIS fonctionne. Puisqu’Portal for ArcGIS utilise la valeur de NameID pour identifier de manière unique un utilisateur nommé, il est recommandé d’utiliser une valeur constante qui identifie l’utilisateur de manière unique. Lorsqu’un utilisateur du fournisseur d’identités se connecte, un nouvel utilisateur doté du nom d’utilisateur NameID est créé par Portal for ArcGIS dans son magasin d’utilisateurs. Les caractères autorisés pour la valeur envoyée par NameID sont les caractères alphanumériques, _ (trait de soulignement), . (point) et @ (symbole arobase). Tous les autres caractères sont désactivés pour contenir des traits de soulignement dans le nom d’utilisateur créé par Portal for ArcGIS.
Portal for ArcGIS prend en charge le flux de l’adresse électronique, de l’adhésion à des groupes, du nom donné et du prénom d’un utilisateur provenant du fournisseur d’identités SAML.
Configurer le portail avec un fournisseur d’identités SAML
Vous pouvez configurer votre portail de sorte que les utilisateurs puissent se connecter en utilisant les mêmes nom d’utilisateur et mot de passe qu’ils utilisent pour vos systèmes existants sur site. Avant de définir des identifiants de connexion d’organisation, vous devez configurer un type d’utilisateur par défaut pour votre organisation.
- Connectez-vous au site web du portail avec le rôle Administration de votre organisation et cliquez sur Organization (Organisation) > Settings (Paramètres) > Security (Sécurité).
- Dans la section Logins (Connexions), cliquez sur le bouton New SAML login (Nouvelle connexion SAML) et sélectionnez l’option One identity provider (Un fournisseur d’identités). Sur la page Specify properties (Spécifier les propriétés), saisissez le nom de votre organisation (par exemple Ville de Redlands).
Lorsque les utilisateurs accèdent au site Web du portail, ce texte est intégré dans le nom de l’option de connexion SAML (par exemple, Utilisation de votre compte Ville de Redlands).
- Sélectionnez Automatically (Automatiquement) ou Upon invitation from an administrator (Sur invitation d’un administrateur) pour préciser siles utilisateurs peuvent rejoindre l’organisation automatiquement ou sur invitation.La première option permet aux utilisateurs de se connecter à l’organisation avec leurs identifiants de connexion d’organisation sans intervention de l’administrateur. Leur compte est automatiquement enregistré auprès de l'organisation lors de leur première connexion. La seconde option suppose que l’administrateur inscrive les comptes nécessaires auprès de l’organisation à l’aide d’un utilitaire de ligne de commande ou d’un exemple de script Python. Une fois les comptes enregistrés, les utilisateurs peuvent se connecter à l’organisation.
Conseil :
Nous vous recommandons de désigner au moins un compte SAML pour administrer votre portail et de rétrograder ou supprimer le compte d’administrateur initial. Nous vous conseillons également de désactiver le bouton Create an account (Créer un compte) sur le site Web du portail pour empêcher les utilisateurs de créer leurs propres comptes. Pour plus d’informations, consultez la section Désigner un compte d’organisation comme administrateur ci-dessous.
- Spécifiez la source à laquelle le portail accédera pour obtenir les informations de métadonnées. Cela permet d’indiquer les informations de métadonnées nécessaires concernant le fournisseur d’identités compatible avec SAML. Vous trouverez des instructions pour l’obtention des métadonnées auprès des fournisseurs certifiés dans le référentiel ArcGIS/idp GitHub. Trois sources sont possibles pour obtenir des informations sur les métadonnées :
- Une URL : fournissez une URL qui renvoie des informations de métadonnées concernant le fournisseur d'identités.
Remarque :
Si votre fournisseur d’identités inclut un certificat auto-signé, il se peut qu’une erreur ait lieu lorsque vous spécifiez l’URL HTTPS des métadonnées. Cela se produit parce que Portal for ArcGIS ne peut pas vérifier le certificat auto-signé du fournisseur d’identités. Vous pouvez également utiliser HTTP dans l’URL, une des autres options ci-dessous ou configurer votre fournisseur d’identités avec un certificat approuvé.
- Un fichier : chargez un fichier contenant des informations de métadonnées concernant le fournisseur d'identités.
- arameters specified here (Paramètres spécifiés ici) : entrez directement les informations de métadonnées concernant le fournisseur d’identités en fournissant les paramètres suivants :
- Login URL (Redirect) (URL de connexion [Redirection]) : fournissez l’URL du fournisseur d’identités (qui prend en charge la liaison de redirection HTTP) que Portal for ArcGIS va utiliser pour autoriser un membre à se connecter.
- Login URL (POST) (URL de connexion [POST]) : fournissez l’URL du fournisseur d’identités (qui prend en charge la liaison HTTP POST) que Portal for ArcGIS va utiliser pour autoriser un membre à se connecter.
- Certificate (Certificat) : indiquez le certificat du fournisseur d’identités, encodé en base 64. Il s’agit du certificat qui permet à Portal for ArcGIS de vérifier la signature numérique dans les réponses SAML qui lui sont envoyées par le fournisseur d’identités.
Remarque :
Contactez l'administrateur du fournisseur d'identités pour obtenir de l'aide sur l'identification de la source des informations de métadonnées que vous devez communiquer.
- Une URL : fournissez une URL qui renvoie des informations de métadonnées concernant le fournisseur d'identités.
- Inscrivez les métadonnées du fournisseur de services du portail auprès de votre fournisseur d’identités pour terminer le processus de configuration et établir une relation de confiance avec le fournisseur d’identités. Pour obtenir les métadonnées du portail, procédez comme suit :
- Dans la section Security (Sécurité) de l’onglet Settings (Paramètres) de votre organisation, cliquez sur le bouton Download service provider metadata (Télécharger les métadonnées du fournisseur de services) pour télécharger le fichier de métadonnées de votre organisation.
- Ouvrez l’URL des métadonnées et enregistrez-les en tant que fichier .xml sur votre ordinateur. L’URL est https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, par exemple, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Vous pouvez générer un jeton avec https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Lorsque vous saisissez l’URL sur la page Generate Token (Générer un jeton), indiquez le nom de domaine complet du serveur du fournisseur d’identités dans la zone de texte Webapp URL (URL de l’application Web). Aucune autre option, telle que IP Address (Adresse IP) ou Address of this request’s origin (Adresse IP de l’origine de cette requête), n’est prise en charge et ne risque de générer un jeton invalide
Vous trouverez des instructions pour l’enregistrement des métadonnées du fournisseur de services du portail auprès des fournisseurs certifiés dans le référentiel ArcGIS/idp GitHub.
- Configurez les paramètres avancés comme il convient :
- Encrypt Assertion (Chiffrer l’assertion) : permet d’indiquer au fournisseur d’identités SAML que Portal for ArcGIS prend en charge les réponses d’assertion SAML chiffrées. Lorsque cette option est sélectionnée, le fournisseur d'identités chiffre la section d'assertion des réponses SAML. Tout le trafic SAML en direction et en provenance de Portal for ArcGIS est déjà chiffré à l’aide du protocole HTTPS, mais cette option ajoute une couche de chiffrement.
- Enable signed request (Activer la demande signée) : permet à Portal for ArcGIS de signer la demande d’authentification SAML envoyée au fournisseur d’identités. La signature de la demande de connexion initiale envoyée par Portal for ArcGIS autorise le fournisseur d’identités à vérifier que toutes les demandes de connexion proviennent d’un fournisseur de services approuvé.
Conseil :
Activez ce paramètre pour vérifier l’intégrité des demandes SAML. Vous pouvez activer cette option à tout moment dans les paramètres avancés, même si vous l’avez ignorée au cours de la configuration initiale du portail.
- Propagate logout to Identity Provider (Propager la déconnexion au fournisseur d’identités) : permet d’indiquer à Portal for ArcGIS d’utiliser une URL de déconnexion pour déconnecter l’utilisateur du fournisseur d’identités. Indiquez l'URL à utiliser dans le paramètre URL de déconnexion. Si le fournisseur d’identités exige que l’URL de déconnexion soit signée, le paramètre Activer la demande signée doit également être sélectionné. Lorsque ce paramètre n’est pas disponible, cliquer sur Sign Out (Se déconnecter) dans Portal for ArcGIS déconnecte l’utilisateur de Portal for ArcGIS mais pas du fournisseur d’identités. Si le cache du navigateur Web de l’utilisateur n’est pas vidé, une reconnexion immédiate à Portal for ArcGIS en utilisant l’option de connexion spécifique d’une organisation entraînera une connexion sans fournir les identifiants de connexion de l’utilisateur au fournisseur d’identités SAML. Ceci est une faille de sécurité susceptible d’être exploitée lors de l’utilisation d’un ordinateur accessible à des utilisateurs non autorisés ou au grand public.
- Update profiles on sign in (Mettre à jour les profils lors de la connexion) : permet d’indiquer à Portal for ArcGIS de mettre à jour les attributs givenName et email address des utilisateurs s’ils ont changé depuis leur dernière connexion. Cette propriété est activée par défaut.
- Enable SAML based group membership (Activer l’adhésion au groupe SAML) : permet d’autoriser les administrateurs du portail à relier des groupes dans le fournisseur d’identités SAML aux groupes créés dans votre portail ArcGIS Enterprise. Lorsque ce paramètre est sélectionné, Portal for ArcGIS analyse la réponse d’assertion SAML pour identifier les groupes auxquels un membre appartient. Vous pouvez alors spécifier un ou plusieurs groupes d’entreprise fournis par le fournisseur d’identités sous Who can join this group? (Qui peut rejoindre ce groupe ?) lorsque vous créez un groupe dans votre portail. Cette fonction est désactivée par défaut.
- URL de déconnexion : entrez l’URL du fournisseur d’identités à utiliser pour déconnecter l’utilisateur actuellement connecté. Si cette propriété est spécifiée dans le fichier de métadonnées du fournisseur d'identités, elle est définie automatiquement.
- Entity ID (ID d’entité) : mettez à jour cette valeur pour utiliser un nouvel ID d’entité qui identifie de manière unique votre organisation Portal for ArcGIS auprès du fournisseur d’identités SAML.
Configurer un fournisseur d’identités compatible SAML pour un portail haute disponibilité
Portal for ArcGIS utilise un certificat avec l’alias samlcert lors de l’envoi de demandes signées (pour les connexions et les déconnexions) au fournisseur d’identités et lors du déchiffrement des réponses chiffrées reçues de la part du fournisseur d’identités. Si vous configurez un portail ArcGIS Enterprise haute disponibilité et que vous utilisez un fournisseur d’identités compatible SAML, vous devez vous assurer que chaque instance de Portal for ArcGIS utilise le même certificat lorsqu’elle communique avec le fournisseur d’identités.
La meilleure manière de vérifier que toutes les instances utilisent un certificat identique pour SAML consiste à générer un nouveau certificat avec l’alias samlcert et à l’importer dans chaque instance de Portal for ArcGIS dans votre déploiement haute disponibilité.
- Connectez-vous au répertoire administrateur de Portal à l’adresse https://example.domain.com:7443/arcgis/portaladmin.
- Accédez à Security (Sécurité) > sslcertificates et cliquez sur le certificat samlcert existant.
- Cliquez sur delete (supprimer).
- Répétez les étapes 1 à 3 pour supprimer les certificats samlcert existants dans toutes les instances du portail haute disponibilité.
- Générez un nouveau certificat auto-signé à partir du répertoire administrateur d’ArcGIS Portal.
- Lorsque vous configurez le certificat, spécifiez samlcert pour l’alias, et indiquez le nom d’hôte de l’équilibreur de charge de votre déploiement pour le nom Common Name (Nom courant) et l’alias DNS dans le champ Subject Alternative Name (Autre nom de l’objet).
- Une fois certificat généré, exportez-le dans un fichier .pfx :
- Démarrez une session de terminal et authentifiez-vous en tant qu’utilisateur ayant installé Portal for ArcGIS.
- À partir de la ligne de commande, accédez au répertoire <Portal installation location>/etc/ssl.
- Entrez la commande suivante pour exporter samlcert au format de fichier .pfx :
..../framework/runtime/jre/bin/keytool.exe -importkeystore -srckeystore portal.ks -destkeystore samlcert.pfx -srcstoretype JKS -deststoretype PKCS12 -srcstorepass portal.secret -deststorepass password -srcalias samlcert -destalias samlcert -destkeypass password
- Importez le nouveau certificat dans chaque instance de Portal for ArcGIS à partir de la page Security (Sécurité) > sslcertificates > Import Existing Server Certificate (Importer le certificat du serveur).
- Redémarrez Portal for ArcGIS sur chaque instance de votre portail haute disponibilité.
Vous pouvez utiliser le fichier de métadonnées du fournisseur de services dans votre portail ArcGIS Enterprise pour vous assurer que les certificats employés pour communiquer avec le fournisseur d’identités sont identiques dans le déploiement haute disponibilité.
- Sur l’onglet Organization (Organisation), accédez à Edit Settings (Modifier les paramètres) > Security (Sécurité).
- Dans la section Enterprise Logins via SAML (Connexions d’entreprise via SAML) sur la page Security (Sécurité), cliquez sur Edit Identity Provider (Mettre à jour le fournisseur d’identités). Ouvrez le menu Show advanced settings (Afficher les paramètres avancés) et vérifiez que l’option Encrypt Assertion (Chiffrer l’assertion) est sélectionnée. Si tel n’est pas le cas, sélectionnez-la et cliquez sur Update Identity Provider (Mettre à jour le fournisseur d’identités) pour enregistrer la modification.
- Revenez à la section Enterprise Logins via SAML (Connexions d’entreprise via SAML) et sélectionnez Get Service Provider (Obtenir un fournisseur de services). Les métadonnées du fournisseur de services sont alors exportées en tant que fichier .xml sur votre machine.
- Ouvrez le fichier .xml téléchargé. Assurez-vous que l’expression suivante est présente : <md:KeyDescriptor use="encryption">. Cela confirme la présence du certificat de chiffrement.
- Notez les valeurs de la sous-section <ds:KeyInfo>.
- Répétez ces étapes pour chaque instance Portal for ArcGIS de votre déploiement afin d’obtenir le fichier de métadonnées du fournisseur de services pour chacune d’entre elles.
Les fichiers de métadonnées exportés doivent tous comporter les mêmes informations dans la sous-section <ds:KeyInfo>, indiquant que le même certificat est utilisé par chaque instance Portal for ArcGIS lorsqu’elle communique avec votre fournisseur d’identités compatible SAML.
Désigner un compte d’organisation comme administrateur
La façon dont vous désignez un compte d’organisation comme administrateur du portail varie selon que la façon dont les utilisateurs peuvent rejoindre l’organisation, à savoir automatiquement ou sur l’invitation d’un administrateur.
Rejoindre l'organisation automatiquement
Si vous choisissez l’option Automatically (Automatiquement) qui permet aux utilisateurs de rejoindre l’organisation de façon automatique, ouvrez la page d’accueil du site Web du portail tout en étant connecté au compte d’organisation à utiliser pour administrer le portail.
Lorsqu’un compte est automatiquement ajouté pour la première fois au portail, le rôle par défaut configuré pour les nouveaux membres lui est attribué. Seul un administrateur de l’organisation peut changer le rôle d’un compte. Vous devez vous connecter au portail à l’aide du compte d’administration initial et affecter un compte d’organisation au rôle Administration.
- Ouvrez le site Web du portail, cliquez sur l’option permettant de se connecter à l’aide d’un fournisseur d’identités SAML et saisissez les identifiants de connexion du compte SAML que vous souhaitez utiliser pour l’administration. Si ce compte appartient à un autre utilisateur, demandez-lui de se connecter au portail pour que le compte soit enregistré auprès du portail.
- Vérifiez que le compte a été ajouté au portail et cliquez sur Déconnexion. Effacez le cache et les cookies du navigateur.
- Dans le navigateur, ouvrez le site Web du portail, cliquez sur l’option permettant de se connecter à l’aide d’un compte de portail intégré et fournissez les identifiants de connexion du compte d’administration initial que vous avez créé lors de la configuration de Portal for ArcGIS.
- Recherchez le compte SAML à utiliser pour administrer le portail, puis changez le rôle en Administrator (Administration). Cliquez sur Sign Out (Déconnexion).
Le compte SAML que vous avez sélectionné est maintenant administrateur du portail.
Ajouter manuellement des comptes d’organisation au portail
Si vous sélectionnez l’option Upon invitation from an administrator (Sur invitation d’un administrateur), vous devez inscrire les comptes nécessaires auprès de l’organisation à l’aide d’un utilitaire de ligne de commande ou d’un exemple de script Python. Sélectionnez le rôle Administrator (Administration) pour le compte SAML utilisé pour administrer le portail.
Rétrogradation ou suppression du compte d'administrateur initial
Maintenant que vous disposez d’un autre compte d’administrateur sur le portail, vous pouvez attribuer le compte d’administrateur initial à un autre rôle ou supprimer ce compte. Pour plus d'informations, reportez-vous à la rubrique A propos du compte d'administrateur initial.
Empêcher les utilisateurs de créer leurs propres comptes
Vous pouvez empêcher les utilisateurs de créer leurs propres comptes intégrés en désactivant la possibilité pour les utilisateurs de créer de nouveaux comptes intégrés dans les paramètres de l’organisation.
Empêcher les utilisateurs à se connecter avec un compte ArcGIS
Pour empêcher les utilisateurs de se connecter au portail à l’aide d’un compte ArcGIS, désactivez le bouton bascule ArcGIS login (Identifiant ArcGIS) dans la page de connexion.
- Connectez-vous au site Web du portail avec le rôle Administration de l’organisation et cliquez sur Organization (Organisation) > Settings (Paramètres) > Security (Sécurité).
- Dans la section Logins (Connexions), désactivez le bouton bascule ArcGIS login (Identifiant ArcGIS).
La page de connexion affiche le bouton permettant de s’identifier sur le portail via un compte de fournisseur d’identités, et le bouton ArcGIS login (Identifiant ArcGIS) n’est pas disponible. Pour réactiver l’identification des membres via les comptes ArcGIS, activez le bouton bascule ArcGIS login (Identifiant ArcGIS) dans la section Logins (Connexions).
Modifier ou supprimer le fournisseur d’identités SAML
Une fois que vous avez configuré un fournisseur d’identités SAML, vous pouvez mettre à jour les paramètres qui le concernent en cliquant sur le bouton Edit (Mettre à jour) en regard du fournisseur d’identités SAML actuellement inscrit. Mettez à jour les paramètres dans la fenêtre Edit SAML login (Mettre à jour un identifiant de connexion SAML).
Pour supprimer le fournisseur d’identités actuellement inscrit, cliquez sur le bouton Edit (Mettre à jour) en regard du fournisseur d’identités, puis cliquez sur Delete login (Supprimer un identifiant de connexion) dans la fenêtre Edit SAML login (Modifier un identifiant de connexion SAML). Une fois que vous avez supprimé un fournisseur d’identités, vous pouvez en configurer un nouveau ou une nouvelle fédération de fournisseurs d’identités.
Pratiques conseillées en matière de sécurité SAML
Pour activer les identifiants de connexion SAML, vous pouvez configurer ArcGIS Enterprise comme fournisseur de services pour votre fournisseur d’identités SAML. Pour une sécurité fiable, étudiez les meilleures pratiques ci-dessous.
Signer numériquement les demandes de connexion et de déconnexion SAML et signer la réponse d’assertion SAML
Les signatures servent à garantir l’intégrité des messages SAML et agissent comme une mesure de protection contre les attaques d’intercepteur. La signature numérique de la demande SAML garantit également que la demande est envoyée par un fournisseur de services approuvé, ce qui permet au fournisseur d’identités de mieux faire face aux attaques de déni de service. Activez l’option Enable signed request (Activer la demande signée) dans les paramètres avancés lors de la configuration des identifiants de connexion SAML.
Remarque :
L’activation des demandes signées nécessite la mise à jour du fournisseur d’identités chaque fois que le certificat de signature utilisé par le fournisseur de services est renouvelé ou remplacé.
Configurez le fournisseur d’identités SAML pour qu’il signe la réponse SAML afin d’empêcher la modification en transit de la réponse d’assertion SAML.
Remarque :
L’activation des demandes signées nécessite la mise à jour du fournisseur de services (ArcGIS Enterprise) chaque fois que le certificat de signature utilisé par le fournisseur d’identités est renouvelé ou remplacé.
Utiliser l’extrémité HTTPS du fournisseur d’identités d’entreprise
Toute communication entre le fournisseur de services, le fournisseur d’identités d’entreprise et le navigateur de l’utilisateur envoyée via un réseau interne ou Internet dans un format non chiffré peut être interceptée par un tiers malveillant. Si votre fournisseur d’identités SAML prend en charge le protocole HTTPS, il est recommandé d’utiliser l’extrémité HTTPS pour garantir la confidentialité des données transmises lors des connexions SAML.
Chiffrer la réponse d’assertion SAML
L’utilisation du protocole HTTPS pour les communications SAML sécurise les messages SAML envoyés entre le fournisseur d’identités et le fournisseur de services. Toutefois, les utilisateurs connectés peuvent tout de même décoder et afficher les messages SAML par l’intermédiaire du navigateur Web. L’activation du chiffrement de la réponse d’assertion empêche les utilisateurs d’afficher les informations confidentielles ou sensibles communiquées entre le fournisseur d’identités d’entreprise et le fournisseur de services.
Remarque :
L’activation des assertions chiffrées nécessite la mise à jour du fournisseur d’identités chaque fois que le certificat de chiffrement utilisé par le fournisseur de services (ArcGIS Enterprise) est renouvelé ou remplacé.
Gérer de manière sécurisée les certificats de signature et de chiffrement
Utilisez des certificats possédant des clés cryptographiques fortes pour signer ou chiffrer numériquement les messages SAML et renouvelez ou remplacez les certificats tous les trois à cinq ans.
Vous avez un commentaire à formuler concernant cette rubrique ?