Skip To Content

Utiliser l’authentification Windows intégrée

Vous pouvez sécuriser l’accès à votre organisation à l’aide de l’authentification Windows intégrée (IWA). Lorsque vous utilisez IWA, les identifiants sont gérés via Microsoft Windows Active Directory. Les utilisateurs ne se connectent et ne se déconnectent pas de l’organisation. En revanche, lorsqu’ils ouvrent le site Web, ils sont connectés par les mêmes comptes que ceux qu’ils ont utilisés pour se connecter à Windows.

Pour utiliser l’authentification Windows intégrée, vous devez utiliser ArcGIS Web Adaptor (IIS) déployé sur le serveur Web IIS de Microsoft. Vous ne pouvez pas utiliser ArcGIS Web Adaptor (Java Platform) pour procéder à l’authentification Windows intégrée. Si vous ne l’avez pas déjà fait, installez et configurez ArcGIS Web Adaptor (IIS) avec votre portail.

Configurer votre organisation pour utiliser Windows Active Directory

Par défaut, ArcGIS Enterprise applique le chiffrement HTTPS pour toutes les communications. Si vous avez déjà changé cette option de façon à autoriser à la fois la communication HTTP et HTTPS, vous devez reconfigurer le portail pour utiliser uniquement les communications HTTPS en procédant comme suit :

Remarque :

Grâce au magasin d’identités Active Directory, ArcGIS Enterprise prend en charge l’authentification à partir de plusieurs domaines avec une seule forêt, mais ne fournit pas l’authentification entre plusieurs forêts. Pour que les utilisateurs propres à l’organisation provenant de plusieurs forêts puissent être pris en charge, un fournisseur d’identités SAML est requis.

Configurer l’organisation de façon à utiliser le protocole HTTPS pour toutes les communications

Pour configurer l’organisation de façon à utiliser le protocole HTTPS, procédez comme suit :

  1. Connectez-vous au site Web de l’organisation en tant qu’administrateur.

    Le format de l’URL est https://webadaptorhost.domain.com/webadaptorname/home.

  2. Cliquez sur Organization (Organisation), cliquez ensuite sur l’onglet Settings (Paramètres), puis sur Security (Sécurité) dans la partie gauche de la page.
  3. Activez Allow access to the portal through HTTPS only (Autoriser l’accès au portail via HTTPS uniquement).

Mettre à jour le magasin d'identifiants de votre portail

Ensuite, mettez à jour le magasin d’identités de votre portail pour qu’il utilise des utilisateurs et groupes Active Directory.

  1. Connectez-vous au Répertoire administrateur du portail en tant qu’administrateur de votre organisation.

    L’URL est au format suivant : https://webadaptorhost.domain.com/webadaptorname/portaladmin.

  2. Cliquez sur Sécurité > Config > Mettre à jour le magasin d'identités.
  3. Dans la zone de texte User store configuration (in JSON format) (Configuration du magasin d’utilisateurs [au format JSON]), collez les informations de configuration des utilisateurs Windows Active Directory de votre organisation (au format JSON).

    Vous pouvez également actualiser l’exemple suivant avec les informations d’utilisateur propres à votre organisation :

    {
      "type": "WINDOWS",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "mydomain\\winaccount",
        "userFullnameAttribute": "cn",
        "userEmailAttribute": "mail",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "caseSensitive": "false"
      }
    }

    Dans la plupart des cas, seules les valeurs des paramètres userPassword et user doivent être modifiées. Même si vous entrez le mot de passe en texte clair, il est chiffré lorsque vous cliquez sur Mettre à jour la configuration (ci-dessous). Le compte que vous spécifiez pour le paramètre utilisateur n’a besoin que des autorisations permettant de consulter l’adresse électronique et le nom complet correspondant à des comptes Windows sur le réseau. Si cela est possible, indiquez un compte dont le mot de passe n'expire pas.

    Dans les rares cas où votre instance Windows Active Directory est configurée pour être sensible à la casse, définissez le paramètre caseSensitive sur true.

  4. Pour créer des groupes sur le portail qui exploitent les groupes Active Directory existants de votre magasin d’identités, collez les informations de configuration du groupe Windows Active Directory de votre organisation (au format JSON) dans la zone de texte Group store configuration (in JSON format) [Configuration du magasin de groupes (au format JSON)] comme indiqué ci-dessous. Pour utiliser les groupes intégrés du portail, supprimez les informations figurant dans la zone de texte et ignorez cette étape.

    Vous pouvez également actualiser l'exemple suivant avec les informations de groupe propres à votre organisation.

    {
      "type": "WINDOWS",
      "properties": {
        "isPasswordEncrypted": "false",
        "userPassword": "secret",
        "user": "mydomain\\winaccount"
      }
    }

    Dans la plupart des cas, seules les valeurs des paramètres userPassword et user doivent être modifiées. Même si vous entrez le mot de passe en texte clair, il est chiffré lorsque vous cliquez sur Mettre à jour la configuration (ci-dessous). Le compte que vous spécifiez pour le paramètre utilisateur n’a besoin que des autorisations permettant de consulter les noms des groupes Windows sur le réseau. Si cela est possible, indiquez un compte dont le mot de passe n'expire pas.

  5. Cliquez sur Mettre à jour la configuration pour enregistrer vos modifications.
  6. Si vous avez configuré un portail hautement disponible, redémarrez chaque machine du portail. Pour obtenir des instructions complètes, reportez-vous à la rubrique Arrêt et démarrage du portail.

Configurer des paramètres supplémentaire du magasin d’identités

Si vous le souhaitez, vous pouvez modifier des paramètres de configuration supplémentaires du magasin d’identités à l’aide du Répertoire administrateur du portail. Ces paramètres permettent notamment d’indiquer si des groupes sont actualisés automatiquement lorsqu’un utilisateur d’une organisation spécifique se connecte à l’organisation, de définir l’intervalle d’actualisation des appartenances et de déterminer si plusieurs formats de noms d’utilisateurs doivent être recherchés. Reportez-vous à la rubrique Mettre à jour le magasin d'identités pour en savoir plus.

Ajouter des comptes spécifiques de l’organisation

Par défaut, les utilisateurs spécifiques d’une organisation peuvent accéder à l’organisation ArcGIS Enterprise. Toutefois, ils peuvent uniquement afficher les éléments qui ont été partagés avec tout le monde dans l'organisation. En effet, les comptes d’organisation n’ont pas été ajoutés et ils ne disposent pas des privilèges d’accès.

Ajoutez des comptes à votre organisation selon l’une des méthodes suivantes :

Nous vous recommandons de désigner au moins un compte d’organisation pour administrer votre portail. Pour ce faire, sélectionnez le rôle Administrateur lorsque vous ajoutez le compte. Lorsque vous disposez d'un autre compte d'administrateur sur le portail, vous pouvez attribuer le compte d'administrateur initial au rôle Utilisateur ou supprimer ce compte. Pour plus d'informations, reportez-vous à la rubrique A propos du compte d'administrateur initial.

Une fois les comptes ajoutés et les étapes ci-dessous terminées, les utilisateurs peuvent se connecter à l’organisation et accéder au contenu.

Configurer ArcGIS Web Adaptor en vue de l’utilisation de l’authentification Windows intégrée

Pour configurer ArcGIS Web Adaptor pour qu’il utilise l’authentification Windows intégrée, procédez comme suit :

  1. Ouvrez le gestionnaire Internet Information Server (IIS).
  2. Dans le volet Connections (Connexions), recherchez et développez le site Web hébergeant ArcGIS Web Adaptor.
  3. Cliquez sur le nom de ArcGIS Web Adaptor.

    La valeur par défaut est arcgis.

  4. Dans le volet Accueil, double-cliquez sur Authentification.
  5. Sélectionnez Authentification anonyme, puis cliquez sur Désactiver.
  6. Sélectionnez Authentification Windows, puis cliquez sur Activer.
  7. Fermez le gestionnaire Internet Information Server (IIS).

Vérifier l’accès au portail avec l’authentification Windows intégrée

Pour vérifier que vous pouvez accéder au portail à l’aide de I’authentification Windows intégrée, procédez comme suit :

  1. Ouvrez le portail.

    L’URL est au format suivant : https://organization.example.com/<context>/home.

  2. Vérifiez si vous êtes invité à entrer les informations d’identification de votre compte d’organisation ou si vous êtes connecté automatiquement à l’aide de votre compte d’organisation. Si vous ne constatez pas ce comportement, vérifiez que le compte Windows que vous avez utilisé pour vous connecter à la machine a été ajouté au portail.

Empêcher les utilisateurs de créer leurs propres comptes intégrés

Vous pouvez empêcher les utilisateurs de créer leurs propres comptes intégrés en désactivant la possibilité pour les utilisateurs de créer des comptes intégrés dans les paramètres de l’organisation.