Vous pouvez sécuriser l'accès à votre portail à l'aide du protocole LDAP (Lightweight Directory Access Protocol). Lorsque vous utilisez LDAP, les identifiants sont gérés via le serveur LDAP de votre organisation. Une fois le magasin d’identités de votre portail mis à jour pour LDAP, vous pouvez configurer l’authentification au niveau du portail.
Configurer l’organisation de façon à utiliser le protocole HTTPS pour toutes les communications
Par défaut, ArcGIS Enterprise applique le chiffrement HTTPS pour toutes les communications. Si vous avez déjà changé cette option de façon à autoriser à la fois la communication HTTP et HTTPS, vous devez reconfigurer l’organisation pour utiliser uniquement les communications HTTPS en procédant comme suit :
- Connectez-vous au site web du portail en tant qu'administrateur de votre organisation. Le format de l’URL est https://webadaptorhost.domain.com/webadaptorname/home.
- Sur la page Organization (Organisation), cliquez sur l’onglet Settings (Paramètres) puis sur Security (Sécurité).
- Sélectionnez Autoriser l'accès au portail via HTTPS uniquement.
- Cliquez sur Enregistrer pour appliquer les modifications.
Mettre à jour le magasin d’identités de votre organisation
Ensuite, mettez à jour le magasin d’identités de votre portail pour qu’il utilise des utilisateurs et groupes LDAP.
Mettre à jour le magasin d’identités avec LDAP
- Connectez-vous au Répertoire administrateur du portail en tant qu’administrateur de votre organisation. L’URL est au format suivant : https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Cliquez sur Security (Sécurité) > Configuration > Update Identity Store (Mettre à jour le magasin d’identités).
- Dans la zone de texte Configuration du magasin d'utilisateurs (au format JSON), collez les informations de configuration des utilisateurs LDAP de votre organisation (au format JSON). Vous pouvez également actualiser l'exemple suivant avec les informations d'utilisateur propres à votre organisation.
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "userFullnameAttribute": "cn", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com", "userEmailAttribute": "mail", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "uid" } }
Dans la plupart des cas, vous ne devrez modifier que les valeurs des paramètres user, userPassword et ldapURLForUsers . L'URL de votre annuaire LDAP doit être fournie par votre administrateur LDAP.
Dans l'exemple ci-dessus, l'URL LDAP fait référence aux utilisateurs au sein d'un OU spécifique (ou=utilisateurs). Si des utilisateurs sont présents dans plusieurs OU, l’URL LDAP peut pointer vers un OU de niveau supérieur ou même vers le niveau racine si cela est nécessaire. Dans ce cas, l’URL ressemble à ce qui suit :
"ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",
Le compte que vous utilisez pour le paramètre user doit disposer d'autorisations pour rechercher l'adresse électronique et les noms d'utilisateur correspondant aux utilisateurs dans votre organisation. Même si vous saisissez le mot de passe en texte clair, il est chiffré lorsque vous cliquez sur Update Identity Store (Mettre à jour le magasin d’identités) (ci-dessous).
Si votre LDAP est configuré pour respecter la casse, définissez le paramètre caseSensitive sur true.
- Pour créer des groupes sur le portail qui exploitent les groupes LDAP existants de votre magasin d’identités, collez les informations de configuration du groupe LDAP de votre organisation (au format JSON) dans la zone de texte Group store configuration (in JSON format) (Configuration du magasin de groupes (au format JSON)) comme indiqué ci-dessous. Vous pouvez également actualiser l'exemple suivant avec les informations de groupe propres à votre organisation. Si vous souhaitez uniquement utiliser les groupes intégrés dans le portail, supprimez les informations figurant dans la zone de texte et ignorez cette étape.
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com", "ldapURLForRoles": "ldaps://myLdapServer:10636/dc=example,dc=com", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "uid", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
Dans la plupart des cas, vous ne devrez modifier que les valeurs des paramètres user, userPassword et ldapURLForUsers . L'URL de votre annuaire LDAP doit être fournie par votre administrateur LDAP.
Dans l'exemple ci-dessus, l'URL LDAP fait référence aux utilisateurs au sein d'un OU spécifique (ou=utilisateurs). Si des utilisateurs sont présents dans plusieurs OU, l’URL LDAP peut pointer vers un OU de niveau supérieur ou même vers le niveau racine si cela est nécessaire. Dans ce cas, l’URL ressemble à ce qui suit :
"ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",
Le compte que vous utilisez pour le paramètre user doit disposer d'autorisations pour rechercher l'adresse électronique et les noms d'utilisateur correspondant aux utilisateurs dans votre organisation. Même si vous saisissez le mot de passe en texte clair, il est chiffré lorsque vous cliquez sur Update Identity Store (Mettre à jour le magasin d’identités) (ci-dessous).
Si votre LDAP est configuré pour respecter la casse, définissez le paramètre caseSensitive sur true.
- Cliquez sur Update Identity Store (Mettre à jour le magasin d’identités) pour enregistrer les modifications.
Vous pouvez également configurer les paramètres d'un magasin d'identités.
Vous pouvez modifier des paramètres de configuration d’un magasin d’identités supplémentaires à l’aide du répertoire administrateur du portail. Ces paramètres permettent notamment permettent d’indiquer si des groupes sont actualisés automatiquement lorsqu’un utilisateur d’une organisation spécifique se connecte au portail, de définir l’intervalle d’actualisation des appartenances et de déterminer si plusieurs formats de noms d’utilisateurs doivent être recherchés. Reportez-vous à la rubrique Mettre à jour le magasin d'identités pour en savoir plus.
Configurer l'authentification au niveau du portail
Après avoir configuré le portail avec votre magasin d'identités LDAP, vous devez activer l'accès anonyme via votre adaptateur Web dans votre serveur d'applications Java. Lorsqu’un utilisateur accède à la page de connexion de l’organisation, il est en mesure de se connecter en utilisant les identifiants de connexion intégrés ou les identifiants de connexion de l’organisation. Les utilisateurs spécifiques de l’organisation devront indiquer les identifiants de connexion de leur compte chaque fois qu’ils se connectent au portail. Aucune connexion unique ou automatique n’est possible. Ce type d’authentification permet également aux utilisateurs anonymes d’accéder aux cartes ou aux autres ressources de l’organisation qui sont partagées avec tout le monde.
Vérifier que vous pouvez accéder au portail à l’aide des identifiants de connexion
- Ouvrez le portail ArcGIS Enterprise. Le format de l’URL est : https://webadaptorhost.domain.com/webadaptorname/home.
- Connectez-vous à l’aide des identifiants de connexion de votre compte spécifique à une organisation (exemple de syntaxe ci-dessous).
Lorsque vous utilisez l’authentification au niveau du portail, les membres se connectent en utilisant une syntaxe qui dépend du usernameAtrribute spécifié dans la configuration de magasin de l’utilisateur. Le site Web du portail affiche également le compte sous ce format.
Ajouter des comptes d’organisation à votre portail
Par défaut, les utilisateurs spécifiques d’une organisation peuvent accéder au site Web du portail. Toutefois, ils peuvent uniquement afficher les éléments qui ont été partagés avec tout le monde dans l'organisation. En effet, les comptes d’organisation n’ont pas été ajoutés dans le portail et ils ne disposent pas des privilèges d’accès.
Ajoutez des comptes à votre organisation selon l’une des méthodes suivantes :
- Individuellement ou par lots (un par un, par lots à partir d’un fichier CSV ou de groupes LDAP existants)
- Utilitaire de ligne de commande
- Automatiquement
Nous vous recommandons de désigner au moins un compte d’organisation pour administrer votre portail. Pour ce faire, sélectionnez le rôle Administrator (Administrateur) lorsque vous ajoutez le compte. Lorsque vous disposez d'un autre compte d'administrateur sur le portail, vous pouvez attribuer le compte d'administrateur initial au rôle Utilisateur ou supprimer ce compte. Pour plus d'informations, reportez-vous à la rubrique A propos du compte d'administrateur initial.
Une fois les comptes ajoutés, les utilisateurs peuvent se connecter à l’organisation et accéder au contenu.
Vous avez un commentaire à formuler concernant cette rubrique ?