L’un des principaux aspects de la planification d’un déploiement de ArcGIS Enterprise concerne la gestion des comptes qui seront à même d’accéder à votre portail, ainsi que les privilèges qui leur sont accordés. L'adoption du mode de gestion des comptes revient à choisir un magasin d'identifiants.
Remarque :
Chaque membre dans ArcGIS Enterprise et ArcGIS Online requiert sa propre licence. Cela dit, les deux produits prennent en charge des identifiants de connexion propres à l’organisation avec SAML et OpenID Connect de sorte que vous pouvez simplifier l’authentification entre les systèmes. Cela signifie que vous pouvez utiliser le même nom d’utilisateur et le même mot de passe pour les deux organisations. Cependant, si vous vous connectez à ArcGIS Enterprise, ne vous attendez pas à voir le même contenu que celui que vous verriez si vous vous connectiez à votre compte ArcGIS Online. Il s’agit d’organisations distinctes qui possèdent chacune leur magasin d’identités et leur ensemble de contenu associé.
Présentation des magasins d’identités
Le magasin d’identités de votre organisation définit l’emplacement où sont conservées les informations d’identification des comptes de votre portail, le processus d’authentification et le mode de gestion de l’appartenance à un groupe. L’organisation ArcGIS Enterprise prend en charge deux types de magasins d’identités : les magasins d’identités intégrés et les magasins d’identités d’organisation.
Magasin d'identifiants intégré
Le portail ArcGIS Enterprise peut être configuré pour autoriser les membres à créer des comptes et des groupes sur votre portail. Lorsqu’il est activé, vous pouvez utiliser le lien Create an account (Créer un compte) sur la page Sign In (Se connecter) du site web du portail pour ajouter un compte intégré à votre portail et commencer à ajouter du contenu dans l’organisation ou accéder aux ressources créées par d’autres membres. Lorsque vous créez ainsi des comptes et des groupes sur votre portail, vous utilisez le magasin d’identités intégré ; celui-ci procède à l’authentification et enregistre les noms d’utilisateur, les mots de passe, les rôles et l’adhésion au groupe des comptes du portail.
Vous devez utiliser le magasin d’identités intégré pour créer le compte d’administrateur initial de votre organisation, mais vous êtes libre, par la suite, d’utiliser un magasin d’identités propre à l’organisation. Le magasin d'identifiants intégré est utile pour mettre portail en service, ainsi qu'à des fins de développement et de test. Cependant, les environnements de production font généralement appel à un magasin d’identités propre à l’organisation.
Remarque :
Pour passer d’un magasin d’identités propre à l’organisation à un magasin d’identités intégré, supprimez les informations présentes dans les zones de texte User store configuration (Configuration du magasin d’utilisateurs) et Group store configuration (Configuration du magasin de groupes) sur la page Update Identity Store (Mettre à jour le magasin d’identités) du répertoire administrateur du portail. Pour plus d’informations, reportez-vous à la documentation de l’API REST d’ArcGIS.
Magasin d’identités propre à l’organisation
ArcGIS Enterprise est conçu pour vous permettre d’utiliser les comptes et les groupes propres à l’organisation afin de contrôler l’accès à votre organisation ArcGIS. Par exemple, vous pouvez contrôler l’accès au portail en utilisant des identifiants de connexion provenant de votre serveur Lightweight Directory Access Protocol (LDAP), d’un serveur Active Directory et de fournisseurs d’identités qui prennent en charge l’authentification unique de navigateur Web SAML 2.0 (Security Assertion Markup Language). Ce processus est décrit dans la documentation comme la définition d’identifiants de connexion d’organisation.
L’avantage de cette approche est que vous ne devez pas créer de comptes supplémentaires sur le portail. Les membres utilisent l’identifiant déjà défini dans le magasin d’identités de l’organisation. La gestion des identifiants de connexion des comptes, y compris les stratégies relatives à la complexité et à l’expiration des mots de passe, est entièrement externe au portail. Cela permet aux utilisateurs de s’authentifier une seule fois en leur évitant d’avoir à saisir de nouveau leurs identifiants de connexion.
De la même façon, vous pouvez également créer des groupes sur le portail qui utilisent des groupes Active Directory, LDAP ou SAML existants dans votre magasin d’identités. Par ailleurs, il est possible d’ajouter plusieurs comptes d’organisation à la fois à partir de groupes Active Directory, LDAP ou SAML de votre organisation. Lorsque les membres se connectent au portail, l’accès au contenu, aux éléments et aux données est déterminé par les règles d’appartenance définies dans le groupe Active Directory, LDAP ou SAML. L’appartenance aux groupes est entièrement gérée en dehors du portail.
Par exemple, il est recommandé de désactiver l’accès anonyme à votre portail, de connecter votre portail aux groupes Active Directory, LDAP ou SAML souhaités dans votre organisation et d’ajouter les comptes spécifiques de l’organisation en fonction de ces groupes. Ainsi, vous limitez l’accès au portail en fonction de groupes Active Directory, LDAP ou SAML spécifiques au sein de votre organisation.
Utilisez un magasin d’identités propre à l’organisation si cette dernière souhaite définir des stratégies en matière d’expiration et de complexité des mots de passe, contrôler l’accès aux données à l’aide de groupes Active Directory, LDAP ou SAML existants ou utiliser l’authentification Windows intégrée (IWA) ou l’authentification de certificat client reposant sur l’infrastructure à clé publique (PKI). L’authentification peut être gérée au niveau du Web (via l’authentification au niveau du Web), au niveau du portail (via l’authentification au niveau du portail) ou via un fournisseur d’identités externe (via SAML).
Grâce au magasin d’identités Active Directory, ArcGIS Enterprise prend en charge l’authentification à partir de plusieurs domaines avec une seule forêt, mais ne fournit pas l’authentification entre plusieurs forêts. Pour que les utilisateurs propres à l’organisation provenant de plusieurs forêts puissent être pris en charge, un fournisseur d’identités SAML est requis.
Prendre en charge plusieurs magasins d’identités
Avec SAML 2.0, vous pouvez autoriser l'accès à votre portail à l'aide de plusieurs magasins d'identifiants. Les utilisateurs peuvent se connecter avec des comptes intégrés et des comptes gérés par plusieurs fournisseurs d'identités compatibles avec SAML configurés pour se faire confiance. Cette méthode est conseillée pour gérer les utilisateurs qui peuvent se trouver dans ou hors de l’organisation. Pour des détails, reportez-vous à la rubrique Configurer un fournisseur d’identités compatible avec SAML avec votre portail.
Comprendre les privilèges d'accès
Une fois que vous avez choisi le mode de gestion des comptes dans ArcGIS Enterprise, vous devez déterminer les privilèges octroyés aux utilisateurs qui accèdent à votre organisation ArcGIS. Les privilèges varient selon que l’utilisateur qui accède à votre portail fait partie ou non de l’organisation ArcGIS.
Les utilisateurs qui accèdent au portail sans compte d’organisation AcrGIS peuvent uniquement rechercher et utiliser les éléments publics. Par exemple, si une carte Web publique est intégrée dans un site Web, les utilisateurs qui consultent la carte accéderont à un élément de votre portail, même s'ils n'ont pas de compte. C'est à vous de choisir si vous souhaitez autoriser ce type d'accès. Vous pouvez toujours désactiver l’accès des personnes qui ne font pas encore partie de l’organisation ArcGIS. Pour en savoir plus, reportez-vous à la rubrique Désactiver l’accès anonyme.
Les utilisateurs peuvent accéder à votre portail avec des privilèges élevés s'ils font partie de votre organisation ArcGIS. Les membres de votre organisation ArcGIS sont répertoriés dans la page Organization (Organisation) du site Web du portail. Les membres d’une organisation sont classés par types d’utilisateurs qui correspondent à différents rôles dotés de privilèges variés. Pour en savoir plus, reportez-vous à la rubrique Types d’utilisateurs, rôles et privilèges.
Lorsqu'un nouveau compte d'organisation ArcGIS est ajouté à votre portail, le rôle Utilisation lui est accordé par défaut. Toutefois, l'administrateur du portail peut modifier le rôle à tout moment.
Gérer les comptes d'organisation ArcGIS
Un compte d'organisation ArcGIS est un compte d'utilisateur qui a été ajouté au volet Organisation du site Web de votre portail. Dans l’ensemble de la documentation et de l’expérience utilisateur du site Web du portail, ces utilisateurs sont désignés en tant que membres de l’organisation ArcGIS.
En tant qu'administrateur, vous devez non seulement contrôler entièrement les privilèges accordés à chaque membre de votre organisation ArcGIS, mais aussi choisir les personnes autorisées à y adhérer.
Le nombre maximal de comptes d’organisation ArcGIS dans votre portail est défini par le fichier de licence qui vous a servi à octroyer une licence au logiciel. Vous pouvez à tout moment comparer le nombre total de membres auxquels un type d’utilisateur est attribué et le nombre de licences de type d’utilisateur disponibles restantes dans les onglets Overview (Vue d’ensemble) ou Licenses (Licences) de la page Organization (Organisation) sur le site web du portail. Dans l’onglet Overview (Vue d’ensemble), vous pouvez afficher le nombre total de licences attribuées et disponibles dans la vue d’ensemble Members (Membres). Dans l’onglet Licenses (Licences), vous pouvez afficher les licences disponibles et attribuées par type d’utilisateur dans l’onglet User types (Types d’utilisateurs).
Gérer des comptes avec le magasin intégré
Lorsque vous utilisez le magasin intégré, vous pouvez configurer le site Web du portail pour qu’il présente un lien que n’importe quel utilisateur peut utiliser pour rejoindre l’organisation ArcGIS. Cela permet aux utilisateurs de rejoindre facilement votre organisation, mais vous ne pouvez pas vraiment limiter ces personnes : toutes les personnes pouvant accéder à votre portail peuvent créer un compte. Si vous souhaitez renforcer votre contrôle, vous pouvez désactiver cette expérience en libre-service et approvisionner en bloc votre portail avec un nombre prédéfini de comptes. Pour en savoir plus sur la création en bloc de comptes d'organisation ArcGIS, reportez-vous à la rubrique Ajout de membres sur votre portail. Vous pouvez également supprimer des membres du site Web de votre portail ou modifier leurs privilèges à tout moment.
Gérer des comptes avec un magasin d’identités propre à l’organisation
Le portail ArcGIS Enterprise ne permet pas de supprimer, modifier ou créer des comptes dans votre magasin d’identités, mais vous pouvez inscrire des comptes existants spécifiques de l’organisation auprès de votre organisation.C’est pourquoi la page de connexion du site Web du portail n’est pas accessible lorsque vous configurez votre portail avec un magasin d’identités propre à l’organisation.
En tant qu’administrateur, vous allez sélectionner les informations d’identification de l’organisation que vous voulez ajouter dans l’organisation, puis les ajouter en bloc. Pour en savoir plus sur la création en bloc de comptes d'organisation ArcGIS, reportez-vous à la rubrique Ajout de membres sur votre portail. Vous pouvez également supprimer des membres du site Web de votre portail ou modifier leurs privilèges à tout moment.
Vous pouvez également ajouter un compte d’organisation qui se connecte automatiquement à votre portail ou à un de ses éléments. Pour en savoir plus, reportez-vous à la rubrique Enregistrement automatique des comptes d’organisation.
Sachez que lorsque le portail est configuré avec un magasin d’identités propre à l’organisation, l’accès anonyme à l’organisation ArcGIS est désactivé. En d’autres termes, les utilisateurs qui accèdent au portail doivent tout d’abord s’authentifier auprès de votre magasin d’identités. Une fois authentifiés, les privilèges des utilisateurs varient selon qu'ils disposent ou non d'un compte d'organisation ArcGIS.
Remarque :
Par défaut, la création automatique de comptes est désactivée dans l'organisation. Pour plus d'informations sur l'activation de l'inscription automatique des comptes, reportez-vous à la rubrique Configurer l’inscription automatique des comptes spécifiques de l’organisation.
Stratégie de verrouillage de compte
Les logiciels appliquent souvent une stratégie de verrouillage de compte pour protéger les utilisateurs face aux nombreuses tentatives automatiques effectuées pour deviner leurs mots de passe. Si, durant un intervalle donné, un utilisateur essaie plusieurs fois de se connecter sans y parvenir, l'accès lui sera refusé pendant un laps de temps défini. Ces stratégies tiennent compte du fait que les utilisateurs n’arrivent pas toujours à se connecter s’ils ont oublié leur nom de connexion et leur mot de passe.
La stratégie de verrouillage de portail appliquée dépend du type de magasin d’identités que vous utilisez.
Magasin d'identifiants intégré
Le magasin d’identifiants intégré verrouille l’accès d’un utilisateur s’il essaie de se connecter plus de cinq fois, sans y parvenir. Le verrouillage dure 15 minutes. Cette stratégie s'applique à tous les comptes du magasin d'identifiants, y compris le compte d'administrateur initial. Elle ne peut pas être modifiée ni remplacée.
Magasin d’identités propre à l’organisation
Lorsque vous utilisez un magasin d’identités propre à l’organisation, la stratégie de verrouillage des comptes appliquée est celle du magasin. Vous pourrez sans doute modifier la stratégie de verrouillage de compte du magasin. Consultez la documentation propre au type de magasin pour savoir comment modifier la stratégie de verrouillage de compte.
Vous avez un commentaire à formuler concernant cette rubrique ?