Utiliser votre portail avec LDAP ou Active Directory et l’authentification au niveau du portail—Portal for ArcGIS

Vous pouvez sécuriser l’accès à votre portail à l’aide du protocole LDAP (Lightweight Directory Access Protocol) ou de Windows Active Directory. Lorsque vous utilisez LDAP, les identifiants sont gérés via le serveur LDAP de votre organisation. Lorsque vous utilisez Windows Active Directory, les identifiants sont gérés via le service Microsoft Windows Active Directory. Une fois le magasin d’identités de votre portail mis à jour pour LDAP ou Active Directory, vous pouvez configurer l’authentification au niveau du portail.

Configurer le portail de façon à utiliser le protocole HTTPS pour toutes les communications

Par défaut, Portal for ArcGIS applique le chiffrement HTTPS pour toutes les communications. Si vous avez déjà changé cette option de façon à autoriser à la fois la communication HTTP et HTTPS, vous devez reconfigurer le portail pour utiliser uniquement les communications HTTPS en procédant comme suit :

Connectez-vous au site web du portail en tant qu'administrateur de votre organisation. L'URL est au format suivant : https://webadaptorhost.domain.com/webadaptorname/home.
Sur la page Organization (Organisation), cliquez sur l’onglet Settings (Paramètres) puis sur Security (Sécurité).
Sélectionnez Autoriser l'accès au portail via HTTPS uniquement.
Cliquez sur Enregistrer pour appliquer les modifications.

Mettre à jour le magasin d'identifiants de votre portail

Ensuite, mettez à jour le magasin d'identités de votre portail pour qu'il utilise des utilisateurs et groupes Active Directory ou LDAP.

Mettre à jour le magasin d'identités de votre portail avec LDAP

Connectez-vous au répertoire Portal for ArcGIS en tant qu’administrateur de votre organisation. L'URL est au format suivant : https://webadaptorhost.domain.com/webadaptorname/portaladmin.
Cliquez sur Sécurité > Config > Mettre à jour le magasin d'identités.
Dans la zone de texte Configuration du magasin d'utilisateurs (au format JSON), collez les informations de configuration des utilisateurs LDAP de votre organisation (au format JSON). Vous pouvez également actualiser l'exemple suivant avec les informations d'utilisateur propres à votre organisation.
```
{
  "type": "LDAP",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "uid=admin,ou=system",
    "userFullnameAttribute": "cn",
    "userGivenNameAttribute": "givenName",
    "userSurnameAttribute": "sn",
    "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
    "userEmailAttribute": "mail",
    "usernameAttribute": "uid",
    "caseSensitive": "false",
    "userSearchAttribute": "uid"
  }
}
```
Dans la plupart des cas, vous ne devrez modifier que les valeurs des paramètres user, userPassword et ldapURLForUsers . L'URL de votre annuaire LDAP doit être fournie par votre administrateur LDAP.
Dans l'exemple ci-dessus, l'URL LDAP fait référence aux utilisateurs au sein d'un OU spécifique (ou=utilisateurs). Si des utilisateurs sont présents dans plusieurs OU, l’URL LDAP peut pointer vers un OU de niveau supérieur ou même vers le niveau racine si cela est nécessaire. Dans ce cas, l'URL ressemble à ce qui suit :
"ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",
Le compte que vous utilisez pour le paramètre user doit disposer d'autorisations pour rechercher l'adresse électronique et les noms d'utilisateur correspondant aux utilisateurs dans votre organisation. Même si vous entrez le mot de passe en texte clair, il est chiffré lorsque vous cliquez sur Mettre à jour la configuration (ci-dessous).
Si votre LDAP est configuré pour respecter la casse, définissez le paramètre caseSensitive sur true.
Pour créer des groupes sur le portail qui exploitent les groupes d’entreprise existants de votre magasin d’identités, collez les informations de configuration du groupe LDAP de votre organisation (au format JSON) dans la zone de texte Group store configuration (in JSON format) [Configuration du magasin de groupes (au format JSON)] comme indiqué ci-dessous. Vous pouvez également actualiser l'exemple suivant avec les informations de groupe propres à votre organisation. Si vous souhaitez uniquement utiliser les groupes intégrés dans le portail, supprimez les informations figurant dans la zone de texte et ignorez cette étape.
```
{
  "type": "LDAP",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "uid=admin,ou=system",
    "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
    "ldapURLForRoles": "ldaps://myLdapServer:10636/dc=example,dc=com",
    "usernameAttribute": "uid",
    "caseSensitive": "false",
    "userSearchAttribute": "uid",
    "memberAttributeInRoles": "member",
    "rolenameAttribute":"cn"
  }
}
```
Dans la plupart des cas, vous ne devrez modifier que les valeurs des paramètres user, userPassword et ldapURLForUsers . L'URL de votre annuaire LDAP doit être fournie par votre administrateur LDAP.
Dans l'exemple ci-dessus, l'URL LDAP fait référence aux utilisateurs au sein d'un OU spécifique (ou=utilisateurs). Si des utilisateurs sont présents dans plusieurs OU, l’URL LDAP peut pointer vers un OU de niveau supérieur ou même vers le niveau racine si cela est nécessaire. Dans ce cas, l'URL ressemble à ce qui suit :
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
Le compte que vous utilisez pour le paramètre user doit disposer d'autorisations pour rechercher l'adresse électronique et les noms d'utilisateur correspondant aux utilisateurs dans votre organisation. Même si vous entrez le mot de passe en texte clair, il est chiffré lorsque vous cliquez sur Mettre à jour la configuration (ci-dessous).
Si votre LDAP est configuré pour respecter la casse, définissez le paramètre caseSensitive sur true.
Cliquez sur Mettre à jour la configuration pour enregistrer vos modifications.

Mettre à jour le magasin d'identités de votre portail avec Active Directory

Connectez-vous au répertoire Portal for ArcGIS en tant qu’administrateur de votre organisation. L'URL est au format suivant : https://webadaptorhost.domain.com/webadaptorname/portaladmin.
Cliquez sur Sécurité > Config > Mettre à jour le magasin d'identités.
Dans la zone de texte User store configuration (in JSON format) (Configuration du magasin d’utilisateurs [au format JSON]), collez les informations de configuration des utilisateurs Windows Active Directory de votre organisation (au format JSON). Vous pouvez également actualiser l'exemple suivant avec les informations d'utilisateur propres à votre organisation.
```
{
  "type": "WINDOWS",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "mydomain\\winaccount",
    "userFullnameAttribute": "cn",
    "userEmailAttribute": "mail",
    "userGivenNameAttribute": "givenName",
    "userSurnameAttribute": "sn",
    "caseSensitive": "false"
  }
}
```
Dans la plupart des cas, seules les valeurs des paramètres userPassword et user doivent être modifiées. Même si vous entrez le mot de passe en texte clair, il est chiffré lorsque vous cliquez sur Mettre à jour la configuration (ci-dessous). Le compte que vous spécifiez pour le paramètre utilisateur n’a besoin que des autorisations permettant de consulter l’adresse électronique et le nom complet correspondant à des comptes Windows sur le réseau. Si cela est possible, indiquez un compte dont le mot de passe n'expire pas.
Dans les rares cas où votre instance Windows Active Directory est configurée pour respecter la casse, définissez le paramètre caseSensitive sur true.
Pour créer des groupes sur le portail qui utilisent les groupes d’entreprise existants de votre magasin d’identités, collez les informations de configuration du groupe Windows Active Directory de votre organisation (au format JSON) dans la zone de texte Group store configuration (in JSON format) [Configuration du magasin de groupes (au format JSON)] comme indiqué ci-dessous. Vous pouvez également actualiser l'exemple suivant avec les informations de groupe propres à votre organisation. Si vous souhaitez uniquement utiliser les groupes intégrés dans le portail, supprimez les informations figurant dans la zone de texte et ignorez cette étape.
```
{
  "type": "WINDOWS",
  "properties": {
    "isPasswordEncrypted": "false",
    "userPassword": "secret",
    "user": "mydomain\\winaccount"
  }
}
```
Dans la plupart des cas, seules les valeurs des paramètres userPassword et user doivent être modifiées. Même si vous entrez le mot de passe en texte clair, il est chiffré lorsque vous cliquez sur Mettre à jour la configuration (ci-dessous). Le compte que vous spécifiez pour le paramètre utilisateur n’a besoin que des autorisations permettant de consulter les noms des groupes Windows sur le réseau. Si cela est possible, indiquez un compte dont le mot de passe n'expire pas.
Cliquez sur Mettre à jour la configuration pour enregistrer vos modifications.

Vous pouvez également configurer les paramètres d'un magasin d'identités.

Vous pouvez modifier des paramètres de configuration d'un magasin d'identités à l'aide de l'API d'administration du répertoire Portal for ArcGIS. Ces paramètres permettent notamment permettent d’indiquer si des groupes sont actualisés automatiquement lorsqu’un utilisateur d’une organisation spécifique se connecte au portail, de définir l’intervalle d’actualisation des appartenances et de déterminer si plusieurs formats de noms d’utilisateurs doivent être recherchés. Reportez-vous à la rubrique Mettre à jour le magasin d'identités pour en savoir plus.

Configurer l'authentification au niveau du portail

Après avoir configuré le portail avec votre magasin d'identités Active Directory ou LDAP, vous devez activer l'accès anonyme via l'adaptateur Web dans IIS ou votre serveur d'applications Java. Lorsqu’un utilisateur accède à la page de connexion au portail, il est en mesure de se connecter en utilisant les identifiants de connexion intégrés ou les identifiants de connexion de l’organisation. Les utilisateurs spécifiques de l’organisation devront indiquer les identifiants de connexion de leur compte chaque fois qu’ils se connectent au portail. Aucune connexion unique ou automatique n’est possible. Ce type d'authentification permet également aux utilisateurs anonymes d'accéder aux cartes ou aux autres ressources du portail qui sont partagées avec tout le monde.

Vérifier que vous pouvez accéder au portail à l’aide des identifiants de connexion

Ouvrez le site Web du portail. L’URL est au format suivant : https://webadaptorhost.domain.com/webadaptorname/home.
Connectez-vous à l’aide des identifiants de connexion de votre compte spécifique à une organisation (exemple de syntaxe ci-dessous).

Lorsque vous utilisez l’authentification au niveau du portail, les membres se connectent avec la syntaxe suivante :

Si vous utilisez le portail avec votre déploiement d’Active Directory, la syntaxe peut être domain\username ou username@domain. Quelle que soit la façon dont le membre se connecte, le nom d’utilisateur apparaît toujours ainsi, username@domain, sur le site Web du portail.
Si vous utilisez le portail avec LDAP, la syntaxe est toujours username. Le site Web du portail affiche également le compte sous ce format.

Ajouter des comptes d’organisation à votre portail

Par défaut, les utilisateurs spécifiques d’une organisation peuvent accéder au site Web du portail. Toutefois, ils peuvent uniquement afficher les éléments qui ont été partagés avec tout le monde dans l'organisation. En effet, les comptes d’organisation n’ont pas été ajoutés dans le portail et ils ne disposent pas des privilèges d’accès.

Ajoutez des comptes sur votre portail en utilisant l'une des méthodes suivantes :

Site Web Portal for ArcGIS (un par un, par lots à partir d'un fichier CSV ou depuis des groupes d'entreprise existants)
script Python
Utilitaire de ligne de commande
Automatiquement

Nous vous recommandons de désigner au moins un compte d’organisation pour administrer votre portail. Pour ce faire, sélectionnez le rôle Administrateur lorsque vous ajoutez le compte. Lorsque vous disposez d'un autre compte d'administrateur sur le portail, vous pouvez attribuer le compte d'administrateur initial au rôle Utilisateur ou supprimer ce compte. Pour plus d'informations, reportez-vous à la rubrique A propos du compte d'administrateur initial.

Une fois les comptes ajoutés, les utilisateurs peuvent se connecter à l’organisation et accéder au contenu.

Vous avez un commentaire à formuler concernant cette rubrique ?