Skip To Content

Configurer OpenAM

Vous pouvez configurer OpenAM 10.1.0 et les versions ultérieures en tant que fournisseur d’identités (IDP) pour les identifiants de connexion d’entreprise dans Portal for ArcGIS. Le processus de configuration comporte deux étapes principales : l'enregistrement du fournisseur d'identités d'entreprise auprès de Portal for ArcGIS et l'enregistrement de Portal for ArcGIS auprès du fournisseur d'identités d'entreprise.

Informations requises

Portal for ArcGIS requiert la réception de certaines informations attributaires de la part du fournisseur d'identités lorsqu'un utilisateur se connecte à l'aide d'identifiants d'entreprise. L'attribut NameID est obligatoire. Il doit être envoyé par votre fournisseur d'identités dans la réponse SAML afin que la fédération fonctionne avec Portal for ArcGIS. Puisqu’Portal for ArcGIS utilise la valeur de NameID pour identifier de manière unique un utilisateur nommé, il est recommandé d’utiliser une valeur constante qui identifie l’utilisateur de manière unique. Lorsqu'un utilisateur IDP se connecte, un nouvel utilisateur nommé NameID est créé par Portal for ArcGIS dans son magasin d'utilisateurs. Les caractères autorisés pour la valeur envoyée par l’attribut NameID sont les caractères alphanumériques, le trait de soulignement (_), (le point) et @ (le symbole arobase). Tous les autres caractères seront désactivés pour contenir des traits de soulignement dans le nom d'utilisateur créé par Portal for ArcGIS.

Portal for ArcGIS prend en charge le flux des attributs givenName et email address de l'identifiant de connexion d'entreprise provenant du fournisseur d'identités d'entreprise. Lorsqu'un utilisateur se connecte à l'aide des informations de connexion d'entreprise et si Portal for ArcGIS reçoit des attributs avec les noms givenname et email ou mail (quelle que soit la casse), Portal for ArcGIS renseigne le nom complet et l'adresse électronique du compte de l'utilisateur avec les valeurs reçues de la part du fournisseur d'identités. Il est conseillé de transmettre l'adresse électronique (email address) reçue du fournisseur d'identités d'entreprise afin que l'utilisateur puisse recevoir les notifications.

Enregistrez-vous OpenAM en tant que fournisseur d’identité de l’entreprise avec Portal for ArcGIS

  1. Vérifiez que vous êtes connecté en tant qu'administrateur de votre organisation.
  2. En haut du site, cliquez sur Organization (Organisation), puis sur l’onglet Settings (Paramètres).
  3. Cliquez sur Sécurité dans la partie gauche de la page.
  4. Dans la section Enterprise Logins (Identifiants de connexion d’entreprise), sélectionnez l’option One Identity Provider (Un fournisseur d’identités), cliquez sur le bouton Set Enterprise Login (Définir les identifiants de connexion d’entreprise), puis entrez le nom de votre organisation dans la fenêtre qui s’affiche (par exemple, Ville de Redlands). Lorsque les utilisateurs accèdent au site web du portail, ce texte est intégré dans le nom de l'option de connexion SAML (par exemple, Utilisation de votre compte Ville de Redlands).
    Remarque :

    Vous ne pouvez enregistrer qu’un seul fournisseur d’identités d’entreprise, ou une fédération de fournisseurs d’identités, pour votre portail.

  5. Sélectionnez Automatically (Automatiquement) ou After you add the accounts to the portal (Après ajout des comptes au portail) pour préciser comment les utilisateurs sont en mesure de rejoindre l’organisation. Sélectionnez la première option pour permettre aux utilisateurs de se connecter à l'organisation avec leur identifiant de connexion d'entreprise sans intervention de l'administrateur. Leur compte est automatiquement enregistré auprès de l'organisation lors de leur première connexion. La seconde option suppose que l'administrateur enregistre les comptes nécessaires auprès de l'organisation à l'aide d'un utilitaire de ligne de commande ou d'un exemple de script Python. Une fois les comptes enregistrés, les utilisateurs peuvent se connecter à l'organisation.
    Astuce:

    Nous vous recommandons de désigner au moins un compte d'entreprise pour administrer votre portail et de rétrograder ou de supprimer le compte d'administrateur initial. Nous vous conseillons également de désactiver le bouton Créer un compte et la page de connexion (signup.html) sur le site web du portail pour empêcher les utilisateurs de créer leurs propres comptes. Pour obtenir des instructions complètes, reportez-vous à la rubrique Configuration d'un fournisseur d'identités compatible avec SAML avec votre portail.

  6. Indiquez des informations de métadonnées concernant le fournisseur d'identités à l'aide d'une des trois options ci-dessous :
    • URL : choisissez cette option si l’URL des métadonnées de la fédération OpenAM est accessible à Portal for ArcGIS. L'URL est généralement http(s)://<host>:<port>/openam/saml2/jsp/exportmetadata.jsp.
      Remarque :

      Si votre fournisseur d'identités d'entreprise inclut un certificat auto-signé, vous pouvez rencontrer une erreur en essayant de spécifier l'URL HTTPS des métadonnées. Cela se produit parce que Portal for ArcGIS ne peut pas vérifier le certificat auto-signé du fournisseur d'identités. Vous pouvez également utiliser HTTP dans l'URL, une des autres options ci-dessous ou configurer votre fournisseur d'identités avec un certificat approuvé.

    • File (Fichier) : sélectionnez cette option si l’URL n’est pas accessible via Portal for ArcGIS. Obtenez les métadonnées depuis l’URL ci-dessus, enregistrez-les comme fichier XML et téléchargez le fichier.
    • Paramètres : sélectionnez cette option si l'URL ou le fichier de métadonnées de la fédération n'est pas accessible. Entrez les valeurs manuellement et fournissez les paramètres demandés : l’URL de connexion et le certificat, chiffrés au format BASE 64. Contactez votre OpenAM administrateur pour obtenir ceci.
  7. Configurez les paramètres avancés comme il convient :
    • Encrypt Assertion (Chiffrer l’assertion) : sélectionnez cette option si OpenAM doit être configuré pour chiffrer les réponses d’assertion SAML.
    • Activer la demande signée : sélectionnez cette option pour que Portal for ArcGIS signe la demande d'authentification SAML envoyée à OpenAM.
    • ID d'entité : mettez cette valeur à jour pour utiliser un nouvel ID d'entité qui identifie de manière unique votre portail auprès d'OpenAM.
    • Update profiles on sign in (Mettre à jour les profils lors de la connexion) : sélectionnez cette option our que Portal for ArcGIS mette à jour les attributs givenName et email address si ces attributs ont changé depuis la dernière fois que les utilisateurs se sont connectés.
    • Enable SAML based group membership (Activer l’adhésion au groupe SAML) : sélectionnez cette option pour autoriser les membres de l’organisation à relier des groupes d’entreprises SAML spécifiés à des groupes Portal for ArcGIS pendant le processus de création de groupe.

    Les paramètres Chiffrer l'assertion et Activer la demande signée utilisent le certificat samlcert dans le KeyStore du portail. Pour utiliser un nouveau certificat, supprimez le certificat samlcert, créez un certificat avec le même alias (samlcert) en suivant la procédure indiquée dans la rubrique Importer un certificat dans le portail, puis redémarrez le portail.

    Remarque :

    Actuellement, les options Propager la déconnexion au fournisseur d'identités et URL de déconnexion ne sont pas prises en charge.

Enregistrez Portal for ArcGIS en tant que fournisseur de service de confiance avec OpenAM

  1. Configurez un fournisseur d’identités hébergé dans OpenAM.
    1. Inscrivez-vous dans la OpenAM console d’administration. Elle est généralement accessible sur https://servername:port/<deploy_uri>/console.
    2. Sous l'onglet Tâches courantes, cliquez sur Créer un fournisseur d'identités hébergé.
    3. Créez un fournisseur d'identités hébergé et ajoutez-le à un cercle d'approbation. Vous pouvez l'ajouter à un cercle d'approbation existant si vous en possédez déjà un ou vous pouvez en créer un nouveau.
    4. Par défaut, le fournisseur d’identités hébergé fonctionne avec OpenDJ, le magasin d’utilisateurs intégré fourni avec OpenAM. Si vous voulez connecter OpenAM à un autre magasin d’utilisateurs, tel qu’Active Directory, vous devez créer une nouvelle source de données sous l’onglet Access Control (Contrôle d’accès) de la console d’administration principale OpenAM.
  2. Configurez Portal for ArcGIS en tant que fournisseur de services approuvé auprès de OpenAM.
    1. Obtenez le fichier de métadonnées de votre portail et enregistrez-le en tant que fichier XML.

      Pour obtenir le fichier de métadonnées, connectez-vous en tant qu’administrateur de votre organisation et ouvrez la page de votre organisation.Cliquez sur le bouton Modifier les paramètres, puis sur l'onglet Sécurité puis, dans la section Identifiants de connexion d'entreprise, cliquez sur le bouton Obtenir un fournisseur de services.

    2. Dans la console d’administration OpenAM, sous Common Tasks (Tâches courantes), cliquez sur Register Remote Service Provider (Enregistrer le fournisseur de services distant).
    3. Sélectionnez l'option Fichier pour les métadonnées et chargez le fichier XML des métadonnées enregistré à l'étape précédente.
    4. Ajoutez ce fournisseur de services au cercle d'approbation auquel vous avez ajouté votre fournisseur d'identités.
  3. Configurez le format NameID et les attributs qu’OpenAM doit envoyer à Portal for ArcGIS après avoir authentifié l’utilisateur.
    1. Dans la console d’administration OpenAM, cliquez sur l’onglet Federation (Fédération). L'onglet comporte le cercle d'approbation que vous avez ajouté, ainsi que le service et les fournisseurs d'identités.
    2. Sous Fournisseurs d'entités, cliquez sur votre fournisseur d'identités.
    3. Dans l'onglet Contenu de l'assertion, sous Format de l’ID de nom, vérifiez que urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified figure en haut de la liste. Il s’agit du format de l’attribut NameID que Portal for ArcGIS demandera dans sa requête SAML adressée à OpenAM.
    4. Sous Name ID Value Map (Appariement de la valeur de l'ID de nom), appariez un attribut du profil utilisateur, par exemple mail ou upn, qui sera renvoyé en tant que NameID à Portal for ArcGIS une fois l'utilisateur authentifié.

      Exemple : urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified =upn

    5. Cliquez sur l’onglet Traitement des assertions dans le fournisseur d’identités. Sous l'outil de mappage d'attributs, vous pouvez configurer les attributs du profil utilisateur que vous souhaitez envoyer à Portal for ArcGIS.

      Cliquez sur Enregistrer pour enregistrer le format NameID et les modifications apportées au contenu des attributs.

    6. Sous l’onglet Federation (Fédération) de la console d’administration OpenAM, accédez au fournisseur de services Portal for ArcGIS sous Entity Providers (Fournisseurs d’entités).
    7. Sur l’onglet Assertion Content (Contenu de l’assertion), sous Encryption (Chiffrement), sélectionnez l’option Assertion si vous avez sélectionné le paramètre avancé Encrypt Assertion (Chiffrer l’assertion) lors de l’inscription de OpenAM en tant que fournisseur d’identités d’entreprise auprès de Portal for ArcGIS.
    8. Sous Format de l'ID de nom, vérifiez que urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified figure en haut de la liste. Il s’agit du format de l’attribut NameID que Portal for ArcGIS demandera dans sa requête SAML adressée à OpenAM..
    9. Cliquez sur l’onglet Traitement des assertions dans le fournisseur d’identités. Sous l'outil de mappage d'attributs, vous pouvez configurer les attributs du profil utilisateur que vous souhaitez envoyer à Portal for ArcGIS.
    10. Cliquez sur Enregistrer pour enregistrer l'attribut Name ID Format (Format de l'ID de nom) et les modifications apportées au contenu des attributs.
  4. Redémarrez le serveur web sur lequel OpenAM est déployé.