Skip To Content

Configurer un fournisseur d’identités compatible avec SAML avec un portail

Security Assertion Markup Language (SAML) est une norme ouverte qui permet un échange en toute sécurité des données d’authentification et d’autorisation entre le fournisseur d’identités spécifique d’une organisation et un fournisseur de services (en l’occurrence, Portal for ArcGIS). C’est ce que l’on appelle l’authentification unique Web SAML.

Le portail est conforme à SAML 2.0 et s’intègre avec les fournisseurs d’identités qui prennent en charge l’authentification unique Web SAML 2. Grâce à la configuration de SAML, vous n’avez pas besoin de créer d’identifiants de connexion supplémentaires pour que les utilisateurs accèdent à votre portail ArcGIS Enterprise. Ils utilisent à la place l’identifiant de connexion qui est déjà configuré dans un magasin d’identités. Ce processus est décrit dans la documentation comme la définition d’identifiants de connexion d’organisation.

Vous pouvez également transmettre au portail des métadonnées concernant les groupes d'entreprise de votre magasin d'identités. Cela vous permet de créer des groupes sur le portail qui utilisent les groupes d’entreprise de votre magasin d’identités.

Lorsque les membres se connectent au portail, l’accès au contenu, aux éléments et aux données est déterminé par les règles d’appartenance définies dans le groupe d’entreprise. Si vous ne communiquez pas les métadonnées requises concernant les groupes d'entreprise, vous pourrez toutefois créer des groupes. Toutefois, les règles d’appartenances sont déterminées par le portail ArcGIS Enterprise et non par le magasin d’identités.

Remarque :

Dans la version 10.6.1, vous pouvez également configurer une fédération de fournisseurs d’identités SAML avec votre portail.

Apparier les noms d’utilisateurs ArcGIS Online dans le portail ArcGIS Enterprise

Si le même fournisseur d’identités compatibles avec SAML est utilisé dans votre organisation ArcGIS Online et sur votre portail, vous pouvez configurer les noms des utilisateurs spécifiques de l’organisation pour les apparier. Le nom court de l’organisation est ajouté à la fin de tous les noms d’utilisateur de l’organisation dans ArcGIS Online. Les mêmes noms d’utilisateur de l’organisation peuvent être utilisés dans votre portail en définissant la propriété defaultIDPUsernameSuffix au sein de la configuration de sécurité du portail ArcGIS Enterprise et en la configurant de façon à être appariée avec le nom court de l’organisation. Ceci est nécessaire si le suivi de l’éditeur est activé sur un service d’entités qui est mis à jour par les utilisateurs de l’organisation à la fois depuis ArcGIS Online et votre portail.

Connexion SAML

Portal for ArcGIS prend en charge les identifiants de connexion de l’organisation initiés par les fournisseurs de services et les identifiants de connexion de l’organisation initiés par les fournisseurs d’identités. Chaque type de connexion est différent.

Identifiants de connexion initiés par les fournisseurs de services

Avec les identifiants de connexion initiés par les fournisseurs de services, les utilisateurs accèdent directement au portail et peuvent utiliser des options leur permettant de se connecter via des comptes intégrés (gérés par le portail) ou des comptes gérés par un fournisseur d’identités compatible avec SAML. Si l’utilisateur sélectionne l’option du fournisseur d’identités SAML, il est redirigé vers une page Web (nommée gestionnaire d’identifiants de connexion) où il est invité à fournir son nom d’utilisateur SAML et le mot de passe associé. Au terme de la vérification des identifiants de connexion de l’utilisateur, le fournisseur d’identités SAML signale à Portal for ArcGIS l’identité vérifiée de l’utilisateur qui se connecte, et l’utilisateur est redirigé vers le site Web du portail.

Si l’utilisateur choisit l’option du compte intégré, la page de connexion au site Web du portail ArcGIS Enterprise s’ouvre. L’utilisateur saisit alors son nom d’utilisateur et son mot de passe de compte intégré pour accéder au site Web. L’option du compte intégré peut être utilisée en cas d’indisponibilité du fournisseur d’identités compatible avec SAML, à condition que l’option permettant de se connecter avec un compte ArcGIS n’ait pas été désactivée.

Identifiants de connexion initiés par les fournisseurs d'identités

Avec les identifiants de connexion initiés par les fournisseurs de services, les utilisateurs accèdent directement au gestionnaire d’identifiants et se connectent avec leur compte. Lorsque le membre envoie ses informations de compte, le fournisseur d’identités envoie la réponse SAML directement à Portal for ArcGIS. L’utilisateur est ensuite connecté et redirigé vers le site Web du portail, où il peut immédiatement accéder aux ressources sans avoir à se reconnecter à l’organisation.

L’option de connexion avec un compte intégré n’est pas disponible à partir du gestionnaire d’identifiants de connexion. Pour se connecter à l’organisation avec un compte intégré, les membres doivent accéder directement au site Web du portail.

Remarque :

Si les identifiants SAML ne fonctionnent pas en raison de problèmes avec le fournisseur d’identités et que l’option de compte intégré est désactivée, vous ne pourrez pas accéder à votre portail ArcGIS Enterprise tant que vous n’avez pas réactivé cette option. Consultez cette question dans Problèmes courants et solutions pour en savoir plus.

Fournisseurs d'identités SAML

Portal for ArcGIS prend en charge tous les fournisseurs d’identités compatibles avec SAML. Les didacticiels suivants expliquent comment configurer certains fournisseurs d’identités compatibles SAML avec Portal for ArcGIS :

La procédure d’obtention des métadonnées nécessaires à partir des fournisseurs d’identités ci-dessus est décrite dans chaque lien. La procédure de configuration des fournisseurs d’identités avec Portal for ArcGIS est décrite ci-dessous. Avant de continuer, il est conseillé de contacter l’administrateur du fournisseur d’identités de votre SAML pour obtenir les paramètres nécessaires à la configuration. Par exemple, si votre organisation utilise Microsoft Active Directory, vous devez contacter l’administrateur qui en est responsable pour configurer ou activer SAML côté fournisseur d’identités spécifique de l’organisation et obtenir les paramètres nécessaires à la configuration côté portail.

Informations requises

Portal for ArcGIS requiert la réception de certaines informations attributaires de la part du fournisseur d’identités lorsqu’un utilisateur se connecte à l’aide d’identifiants SAML. L’attribut NameID est obligatoire. Il doit être envoyé par votre fournisseur d’identités dans la réponse SAML afin que la fédération avec Portal for ArcGIS fonctionne. Puisqu’Portal for ArcGIS utilise la valeur de NameID pour identifier de manière unique un utilisateur nommé, il est recommandé d’utiliser une valeur constante qui identifie l’utilisateur de manière unique. Lorsqu’un utilisateur du fournisseur d’identités se connecte, un nouvel utilisateur doté du nom d’utilisateur NameID est créé par Portal for ArcGIS dans son magasin d’utilisateurs. Les caractères autorisés pour la valeur envoyée par NameID sont les caractères alphanumériques, _ (trait de soulignement), . (point) et @ (symbole arobase). Tous les autres caractères sont désactivés pour contenir des traits de soulignement dans le nom d’utilisateur créé par Portal for ArcGIS.

Portal for ArcGIS prend en charge le flux de l’adresse électronique, de l’adhésion à des groupes, du nom donné et du prénom d’un utilisateur provenant du fournisseur d’identités SAML.

Configurer le portail avec un fournisseur d’identités SAML

Vous pouvez configurer votre portail de sorte que les utilisateurs puissent se connecter en utilisant les mêmes nom d’utilisateur et mot de passe qu’ils utilisent pour vos systèmes existants sur site. Avant de définir des identifiants de connexion d’organisation, vous devez configurer un type d’utilisateur par défaut pour votre organisation.

  1. Connectez-vous au site web du portail avec le rôle Administration de votre organisation et cliquez sur Organization (Organisation) > Settings (Paramètres) > Security (Sécurité).
  2. Dans la section Logins (Connexions), cliquez sur le bouton New SAML login (Nouvelle connexion SAML) et sélectionnez l’option One identity provider (Un fournisseur d’identités). Sur la page Specify properties (Spécifier les propriétés), saisissez le nom de votre organisation (par exemple Ville de Redlands).

    Lorsque les utilisateurs accèdent au site web du portail, ce texte est intégré dans le nom de l'option de connexion SAML (par exemple, Utilisation de votre compte Ville de Redlands).

  3. Sélectionnez Automatically (Automatiquement) ou Upon invitation from an administrator (Sur invitation d’un administrateur) pour préciser siles utilisateurs peuvent rejoindre l’organisation automatiquement ou sur invitation.
    La première option permet aux utilisateurs de se connecter à l’organisation avec leurs identifiants de connexion d’organisation sans intervention de l’administrateur. Leur compte est automatiquement enregistré auprès de l'organisation lors de leur première connexion. La seconde option nécessite que l’administrateur inscrive les comptes nécessaires auprès de l’organisation à l’aide d’un utilitaire de ligne de commande ou d’un exemple de script Python. Une fois les comptes enregistrés, les utilisateurs peuvent se connecter à l’organisation.
    Conseil :

    Nous vous recommandons de désigner au moins un compte SAML pour administrer votre portail et de rétrograder ou supprimer le compte d’administrateur initial. Nous vous conseillons également de désactiver le bouton Create an account (Créer un compte) sur le site Web du portail pour empêcher les utilisateurs de créer leurs propres comptes. Pour plus d’informations, consultez la section Désigner un compte d’organisation comme administrateur ci-dessous.

  4. Spécifiez la source à laquelle le portail accédera pour obtenir les informations de métadonnées. Vous obtiendrez ainsi les informations de métadonnées nécessaires concernant votre fournisseur d’identités compatible SAML. Des liens vers les instructions d'obtention des métadonnées auprès de fournisseurs certifiés sont disponibles dans la section Fournisseurs d'identités SAML ci-dessus. Trois sources sont possibles pour obtenir des informations sur les métadonnées :
    • Une URL : fournissez une URL qui renvoie des informations de métadonnées concernant le fournisseur d'identités.
      Remarque :

      Si votre fournisseur d’identités inclut un certificat auto-signé, il se peut qu’une erreur ait lieu lorsque vous spécifiez l’URL HTTPS des métadonnées. Cela se produit parce que Portal for ArcGIS ne peut pas vérifier le certificat auto-signé du fournisseur d’identités. Vous pouvez également utiliser HTTP dans l’URL, une des autres options ci-dessous ou configurer votre fournisseur d’identités avec un certificat approuvé.

    • Un fichier : chargez un fichier contenant des informations de métadonnées concernant le fournisseur d'identités.
    • arameters specified here (Paramètres spécifiés ici) : entrez directement les informations de métadonnées concernant le fournisseur d’identités en fournissant les paramètres suivants :
      • Login URL (Redirect) (URL de connexion [Redirection]) : fournissez l’URL du fournisseur d’identités (qui prend en charge la liaison de redirection HTTP) que Portal for ArcGIS va utiliser pour autoriser un membre à se connecter.
      • Login URL (POST) (URL de connexion [POST]) : fournissez l’URL du fournisseur d’identités (qui prend en charge la liaison HTTP POST) que Portal for ArcGIS va utiliser pour autoriser un membre à se connecter.
      • Certificate (Certificat) : indiquez le certificat du fournisseur d’identités, encodé en base 64. Il s’agit du certificat qui permet à Portal for ArcGIS de vérifier la signature numérique dans les réponses SAML qui lui sont envoyées par le fournisseur d’identités.
    Remarque :

    Contactez l'administrateur du fournisseur d'identités pour obtenir de l'aide sur l'identification de la source des informations de métadonnées que vous devez communiquer.

  5. Inscrivez les métadonnées du fournisseur de services du portail auprès de votre fournisseur d’identités pour terminer le processus de configuration et établir une relation de confiance avec le fournisseur d’identités. Pour obtenir les métadonnées du portail, procédez comme suit :
    • Dans la section Security (Sécurité) de l’onglet Settings (Paramètres) de votre organisation, cliquez sur le bouton Download service provider metadata (Télécharger les métadonnées du fournisseur de services) pour télécharger le fichier de métadonnées de votre organisation.
    • Ouvrez l’URL des métadonnées et enregistrez-les en tant que fichier .xml sur votre ordinateur. L’URL est https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, par exemple, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Vous pouvez générer un jeton avec https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Lorsque vous saisissez l’URL sur la page Generate Token (Générer un jeton), indiquez le nom de domaine complet du serveur du fournisseur d’identités dans la zone de texte Webapp URL (URL de l’application Web). Aucune autre option, telle que IP Address (Adresse IP) ou Address of this request's origin (Adresse IP de l’origine de cette requête), n’est prise en charge et ne risque de générer un jeton incorrect.

    Des liens vers les instructions d'enregistrement des métadonnées du fournisseur de services du portail auprès des fournisseurs certifiés sont disponibles dans la section Fournisseurs d'identités SAML ci-dessus.

  6. Configurez les paramètres avancés comme il convient :
    • Encrypt Assertion (Chiffrer l’assertion) : permet d’indiquer au fournisseur d’identités SAML que Portal for ArcGIS prend en charge les réponses d’assertion SAML chiffrées. Lorsque cette option est sélectionnée, le fournisseur d'identités chiffre la section d'assertion des réponses SAML. Tout le trafic SAML en direction et en provenance de Portal for ArcGIS est déjà chiffré à l’aide du protocole HTTPS, mais cette option ajoute une couche de chiffrement.
    • Enable signed request (Activer la demande signée) : permet à Portal for ArcGIS de signer la demande d’authentification SAML envoyée au fournisseur d’identités. La signature de la demande de connexion initiale envoyée par Portal for ArcGIS autorise le fournisseur d’identités à vérifier que toutes les demandes de connexion proviennent d’un fournisseur de services approuvé.
      Conseil :

      Activez ce paramètre pour vérifier l’intégrité des demandes SAML. Vous pouvez activer cette option à tout moment dans les paramètres avancés, même si vous l’avez ignorée au cours de la configuration initiale du portail.

    • Propagate logout to Identity Provider (Propager la déconnexion au fournisseur d’identités) : permet d’indiquer à Portal for ArcGIS d’utiliser une URL de déconnexion pour déconnecter l’utilisateur du fournisseur d’identités. Indiquez l'URL à utiliser dans le paramètre URL de déconnexion. Si le fournisseur d’identités exige que l’URL de déconnexion soit signée, le paramètre Activer la demande signée doit également être sélectionné. Lorsque ce paramètre n’est pas disponible, cliquer sur Sign Out (Se déconnecter) dans Portal for ArcGIS déconnecte l’utilisateur de Portal for ArcGIS mais pas du fournisseur d’identités. Si le cache du navigateur Web de l’utilisateur n’est pas vidé, une reconnexion immédiate à Portal for ArcGIS en utilisant l’option de connexion spécifique d’une organisation entraînera une connexion sans fournir les identifiants de connexion de l’utilisateur au fournisseur d’identités SAML. Ceci est une faille de sécurité susceptible d’être exploitée lors de l’utilisation d’un ordinateur accessible à des utilisateurs non autorisés ou au grand public.
    • Update profiles on sign in (Mettre à jour les profils lors de la connexion) : permet d’indiquer à Portal for ArcGIS de mettre à jour les attributs givenName et email address des utilisateurs s’ils ont changé depuis leur dernière connexion. Cette propriété est activée par défaut.
    • Enable SAML based group membership (Activer l’adhésion au groupe SAML) : permet d’autoriser les administrateurs du portail à relier des groupes dans le fournisseur d’identités SAML aux groupes créés dans votre portail ArcGIS Enterprise. Lorsque ce paramètre est sélectionné, Portal for ArcGIS analyse la réponse d’assertion SAML pour identifier les groupes auxquels un membre appartient. Vous pouvez alors spécifier un ou plusieurs groupes d’entreprise fournis par le fournisseur d’identités sous Who can join this group? (Qui peut rejoindre ce groupe ?) lorsque vous créez un groupe dans votre portail. Cette fonction est désactivée par défaut.
    • URL de déconnexion : entrez l’URL du fournisseur d’identités à utiliser pour déconnecter l’utilisateur actuellement connecté. Si cette propriété est spécifiée dans le fichier de métadonnées du fournisseur d'identités, elle est définie automatiquement.
    • Entity ID (ID d’entité) : mettez à jour cette valeur pour utiliser un nouvel ID d’entité qui identifie de manière unique votre organisation Portal for ArcGIS auprès du fournisseur d’identités SAML.

Désigner un compte d’organisation comme administrateur

La façon dont vous désignez un compte d’organisation comme administrateur du portail varie selon que la façon dont les utilisateurs peuvent rejoindre l’organisation, à savoir automatiquement ou sur l’invitation d’un administrateur.

Rejoindre l'organisation automatiquement

Si vous choisissez l’option Automatically (Automatiquement) qui permet aux utilisateurs de rejoindre l’organisation de façon automatique, ouvrez la page d’accueil du site Web du portail tout en étant connecté au compte d’organisation à utiliser pour administrer le portail.

Lorsqu’un compte est automatiquement ajouté pour la première fois au portail, le rôle par défaut configuré pour les nouveaux membres lui est attribué. Seul un administrateur de l’organisation peut changer le rôle d’un compte. Vous devez vous connecter au portail à l’aide du compte d’administration initial et affecter un compte d’organisation au rôle Administration.

  1. Ouvrez le site Web du portail, cliquez sur l’option permettant de se connecter à l’aide d’un fournisseur d’identités SAML et saisissez les identifiants de connexion du compte SAML que vous souhaitez utiliser pour l’administration. Si ce compte appartient à un autre utilisateur, demandez-lui de se connecter au portail pour que le compte soit enregistré auprès du portail.
  2. Vérifiez que le compte a été ajouté au portail et cliquez sur Déconnexion. Effacez le cache et les cookies du navigateur.
  3. Dans le navigateur, ouvrez le site Web du portail, cliquez sur l’option permettant de se connecter à l’aide d’un compte de portail intégré et fournissez les identifiants de connexion du compte d’administration initial que vous avez créé lors de la configuration de Portal for ArcGIS.
  4. Recherchez le compte SAML à utiliser pour administrer le portail, puis changez le rôle en Administrator (Administration). Cliquez sur Sign Out (Déconnexion).

Le compte SAML que vous avez sélectionné est maintenant administrateur du portail.

Ajouter manuellement des comptes d’organisation au portail

Si vous sélectionnez l’option Upon invitation from an administrator (Sur invitation d’un administrateur), vous devez inscrire les comptes nécessaires auprès de l’organisation à l’aide d’un utilitaire de ligne de commande ou d’un exemple de script Python. Sélectionnez le rôle Administrator (Administration) pour le compte SAML utilisé pour administrer le portail.

Rétrogradation ou suppression du compte d'administrateur initial

Maintenant que vous disposez d’un autre compte d’administrateur sur le portail, vous pouvez attribuer le compte d’administrateur initial à un autre rôle ou supprimer ce compte. Pour plus d'informations, reportez-vous à la rubrique A propos du compte d'administrateur initial.

Empêcher les utilisateurs de créer leurs propres comptes

Vous pouvez empêcher les utilisateurs de créer leurs propres comptes intégrés en désactivant la possibilité pour les utilisateurs de créer de nouveaux comptes intégrés dans les paramètres de l’organisation.

Empêcher les utilisateurs à se connecter avec un compte ArcGIS

Pour empêcher les utilisateurs de se connecter au portail à l’aide d’un compte ArcGIS, désactivez le bouton bascule ArcGIS login (Identifiant ArcGIS) dans la page de connexion.

  1. Connectez-vous au site Web du portail avec le rôle Administration de l’organisation et cliquez sur Organization (Organisation) > Settings (Paramètres) > Security (Sécurité).
  2. Dans la section Logins (Connexions), désactivez le bouton bascule ArcGIS login (Identifiant ArcGIS).

La page de connexion affiche le bouton permettant de s’identifier sur le portail via un compte de fournisseur d’identités, et le bouton ArcGIS login (Identifiant ArcGIS) n’est pas disponible. Pour réactiver l’identification des membres via les comptes ArcGIS, activez le bouton bascule ArcGIS login (Identifiant ArcGIS) dans la section Logins (Connexions).

Modifier ou supprimer le fournisseur d’identités SAML

Une fois que vous avez configuré un fournisseur d’identités SAML, vous pouvez mettre à jour les paramètres qui le concernent en cliquant sur le bouton Edit (Mettre à jour) Mettre à jour en regard du fournisseur d’identités SAML actuellement inscrit. Mettez à jour les paramètres dans la fenêtre Edit SAML login (Mettre à jour un identifiant de connexion SAML).

Pour supprimer le fournisseur d’identités actuellement inscrit, cliquez sur le bouton Edit (Mettre à jour) Mettre à jour en regard du fournisseur d’identités, puis cliquez sur Delete login (Supprimer un identifiant de connexion) dans la fenêtre Edit SAML login (Modifier un identifiant de connexion SAML). Une fois que vous avez supprimé un fournisseur d’identités, vous pouvez en configurer un nouveau ou une nouvelle fédération de fournisseurs d’identités.

Pratiques conseillées en matière de sécurité SAML

Pour activer les identifiants de connexion SAML, vous pouvez configurer ArcGIS Enterprise comme fournisseur de services pour votre fournisseur d’identités SAML. Pour une sécurité fiable, étudiez les meilleures pratiques ci-dessous.

Signer numériquement les demandes de connexion et de déconnexion SAML et signer la réponse d’assertion SAML

Les signatures servent à garantir l’intégrité des messages SAML et agissent comme une mesure de protection contre les attaques d’intercepteur. La signature numérique de la demande SAML garantit également que la demande est envoyée par un fournisseur de services approuvé, ce qui permet au fournisseur d’identités de mieux faire face aux attaques de déni de service. Activez l’option Enable signed request (Activer la demande signée) dans les paramètres avancés lors de la configuration des identifiants de connexion SAML.

Remarque :

L’activation des demandes signées nécessite la mise à jour du fournisseur d’identités chaque fois que le certificat de signature utilisé par le fournisseur de services est renouvelé ou remplacé.

Configurez le fournisseur d’identités SAML pour qu’il signe la réponse SAML afin d’empêcher la modification en transit de la réponse d’assertion SAML.

Remarque :

L’activation des demandes signées nécessite la mise à jour du fournisseur de services (ArcGIS Enterprise) chaque fois que le certificat de signature utilisé par le fournisseur d’identités est renouvelé ou remplacé.

Utiliser l’extrémité HTTPS du fournisseur d’identités d’entreprise

Toute communication entre le fournisseur de services, le fournisseur d’identités d’entreprise et le navigateur de l’utilisateur envoyée via un réseau interne ou Internet dans un format non chiffré peut être interceptée par un tiers malveillant. Si votre fournisseur d’identités SAML prend en charge le protocole HTTPS, il est recommandé d’utiliser l’extrémité HTTPS pour garantir la confidentialité des données transmises lors des connexions SAML.

Chiffrer la réponse d’assertion SAML

L’utilisation du protocole HTTPS pour les communications SAML sécurise les messages SAML envoyés entre le fournisseur d’identités et le fournisseur de services. Toutefois, les utilisateurs connectés peuvent tout de même décoder et afficher les messages SAML par l’intermédiaire du navigateur Web. L’activation du chiffrement de la réponse d’assertion empêche les utilisateurs d’afficher les informations confidentielles ou sensibles communiquées entre le fournisseur d’identités d’entreprise et le fournisseur de services.

Remarque :

L’activation des assertions chiffrées nécessite la mise à jour du fournisseur d’identités chaque fois que le certificat de chiffrement utilisé par le fournisseur de services (ArcGIS Enterprise) est renouvelé ou remplacé.

Gérer de manière sécurisée les certificats de signature et de chiffrement

Utilisez des certificats possédant des clés cryptographiques fortes pour signer ou chiffrer numériquement les messages SAML et renouvelez ou remplacez les certificats tous les trois à cinq ans.