Vous pouvez sécuriser l’accès à votre organisation à l’aide du protocole LDAP (Lightweight Directory Access Protocol). Lorsque vous utilisez LDAP, les identifiants sont gérés via le serveur LDAP de votre organisation.
Pour utiliser LDAP, vous pouvez configurer l’authentification au niveau du portail ou l’authentification au niveau du Web à l’aide de ArcGIS Web Adaptor (Java Platform) déployé sur un serveur d’applications Java. Vous ne pouvez pas utiliser ArcGIS Web Adaptor (IIS) pour effectuer l’authentification au niveau du Web avec LDAP. Si tel n'est pas encore le cas, installez et configurez ArcGIS Web Adaptor (Java Platform) avec votre portail.
Configurer votre portail avec LDAP
Par défaut, Portal for ArcGIS applique le chiffrement HTTPS pour toutes les communications. Si vous avez déjà changé cette option de façon à autoriser à la fois la communication HTTP et HTTPS, vous devez reconfigurer le portail pour utiliser uniquement les communications HTTPS en procédant comme suit :
Configurer l’organisation de façon à utiliser le protocole HTTPS pour toutes les communications
Pour configurer l’organisation de façon à utiliser le protocole HTTPS, procédez comme suit :
- Connectez-vous au site Web de l’organisation en tant qu’administrateur.
Le format de l’URL est https://webadaptorhost.domain.com/webadaptorname/home.
- Cliquez sur Organization (Organisation), cliquez ensuite sur l’onglet Settings (Paramètres), puis sur Security (Sécurité) dans la partie gauche de la page.
- Activez Allow access to the portal through HTTPS only (Autoriser l’accès au portail via HTTPS uniquement).
Mettre à jour le magasin d'identifiants de votre portail
Ensuite, mettez à jour le magasin d’identités de votre portail pour qu’il utilise des utilisateurs et groupes LDAP.
- Connectez-vous au Répertoire administrateur du portail en tant qu’administrateur de votre organisation. L’URL est au format suivant : https://webadaptorhost.domain.com/webadaptorname/portaladmin.
- Cliquez sur Sécurité > Config > Mettre à jour le magasin d'identités.
- Dans la zone de texte Configuration du magasin d'utilisateurs (au format JSON), collez les informations de configuration des utilisateurs LDAP de votre organisation (au format JSON). Vous pouvez également actualiser l'exemple suivant avec les informations d'utilisateur propres à votre organisation.
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "userFullnameAttribute": "cn", "userGivenNameAttribute": "givenName", "userSurnameAttribute": "sn", "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com", "userEmailAttribute": "mail", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "uid" } }
Dans la plupart des cas, vous ne devrez modifier que les valeurs des paramètres user, userPassword et ldapURLForUsers . L'URL de votre annuaire LDAP doit être fournie par votre administrateur LDAP.
Dans l'exemple ci-dessus, l'URL LDAP fait référence aux utilisateurs au sein d'un OU spécifique (ou=utilisateurs). Si des utilisateurs sont présents dans plusieurs OU, l’URL LDAP peut pointer vers un OU de niveau supérieur ou même vers le niveau racine si cela est nécessaire. Dans ce cas, l’URL ressemble à ce qui suit :
"ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",
Le compte que vous utilisez pour le paramètre utilisateur doit disposer d’autorisations pour rechercher les adresses électroniques et les noms d’utilisateur correspondant aux utilisateurs dans votre organisation. Même si vous entrez le mot de passe en texte clair, il est chiffré lorsque vous cliquez sur Mettre à jour la configuration (ci-dessous).
Si votre LDAP est configuré pour respecter la casse, définissez le paramètre caseSensitive sur true.
- Pour créer des groupes sur le portail qui exploitent les groupes LDAP existants de votre magasin d’identités, collez les informations de configuration du groupe LDAP de votre organisation (au format JSON) dans la zone de texte Group store configuration (in JSON format) (Configuration du magasin de groupes (au format JSON)) comme indiqué ci-dessous. Vous pouvez également actualiser l'exemple suivant avec les informations de groupe propres à votre organisation. Si vous souhaitez uniquement utiliser les groupes intégrés dans le portail, supprimez les informations figurant dans la zone de texte et ignorez cette étape.
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin,ou=system", "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com", "ldapURLForRoles": "ldaps://myLdapServer:10636/dc=example,dc=com", "usernameAttribute": "uid", "caseSensitive": "false", "userSearchAttribute": "uid", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
Dans la plupart des cas, vous n’aurez pas besoin de modifier les valeurs des paramètres user, userPassword, ldapURLForUsers et ldapURLForUsers. L'URL de votre annuaire LDAP doit être fournie par votre administrateur LDAP.
Dans l'exemple ci-dessus, l'URL LDAP fait référence aux utilisateurs au sein d'un OU spécifique (ou=utilisateurs). Si des utilisateurs sont présents dans plusieurs OU, l’URL LDAP peut pointer vers un OU de niveau supérieur ou même vers le niveau racine si cela est nécessaire. Dans ce cas, l’URL ressemble à ce qui suit :
"ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",
Le compte que vous utilisez pour le paramètre user doit disposer d'autorisations pour rechercher les noms des groupes dans votre organisation. Même si vous entrez le mot de passe en texte clair, il est chiffré lorsque vous cliquez sur Mettre à jour la configuration (ci-dessous).
Si votre LDAP est configuré pour respecter la casse, définissez le paramètre caseSensitive sur true.
- Cliquez sur Mettre à jour la configuration pour enregistrer vos modifications.
- Si vous avez configuré un portail hautement disponible, redémarrez chaque machine du portail. Pour obtenir des instructions complètes, reportez-vous à la rubrique Arrêt et démarrage du portail.
Ajouter des comptes spécifiques de l’organisation
Par défaut, les utilisateurs spécifiques d’une organisation peuvent accéder à l’organisation ArcGIS Enterprise. Toutefois, ils peuvent uniquement afficher les éléments qui ont été partagés avec tout le monde dans l'organisation. En effet, les comptes d’organisation n’ont pas été ajoutés et ils ne disposent pas des privilèges d’accès.
Ajoutez des comptes à votre organisation selon l’une des méthodes suivantes :
- Individuellement ou par lots (un par un, par lots à partir d’un fichier .csv ou de groupes Active Directory existants)
- Utilitaire de ligne de commande
- Automatiquement
Nous vous recommandons de désigner au moins un compte d’organisation pour administrer votre portail. Pour ce faire, sélectionnez le rôle Administrateur lorsque vous ajoutez le compte. Lorsque vous disposez d'un autre compte d'administrateur sur le portail, vous pouvez attribuer le compte d'administrateur initial au rôle Utilisateur ou supprimer ce compte. Pour plus d'informations, reportez-vous à la rubrique A propos du compte d'administrateur initial.
Une fois les comptes ajoutés et les étapes ci-dessous terminées, les utilisateurs peuvent se connecter à l’organisation et accéder au contenu.
Configurer ArcGIS Web Adaptor pour utiliser l’authentification au niveau du Web
Une fois que vous avez installé et configuré ArcGIS Web Adaptor (Java Platform) avec votre organisation en suivant le guide d’installation approprié, vous devez configurer votre serveur d’applications Java par deux tâches principales :
- Intégrer avec votre magasin d’identifiants LDAP. Cela permettra à votre serveur d’application Java d’authentifier les utilisateurs gérés dans ce magasin LDAP.
- Activer un mécanisme d’authentification basé sur le navigateur, tel que l’authentification basée sur un formulaire ou un dialogue, pour le contexte ArcGIS Web Adaptor de l’organisation.
Pour obtenir des instructions, consultez votre administrateur système, la documentation produit du serveur d'applications Java ou les services professionnels Esri.
Vérifier que vous pouvez accéder au portail à l'aide de LDAP
- Ouvrez le portail.
Le format de l’URL est https://webadaptorhost.domain.com/webadaptorname/home.
- Vérifiez que vous êtes invité à saisir vos informations d’identification de compte LDAP. Si vous ne constatez pas ce comportement, vérifiez que le compte LDAP que vous avez utilisé pour vous connecter à la machine a été ajouté au portail.
Empêcher les utilisateurs de créer leurs propres comptes intégrés
Vous pouvez empêcher les utilisateurs de créer leurs propres comptes intégrés en désactivant la possibilité pour les utilisateurs de créer des comptes intégrés dans les paramètres de l’organisation.
Vous avez un commentaire à formuler concernant cette rubrique ?