Skip To Content

Gestion de l'accès à votre portail

Un des principaux aspects de la planification d’un déploiement de ArcGIS Enterprise concerne la gestion des comptes qui seront à même d’accéder à votre portail, ainsi que les privilèges qui leur sont accordés. L'adoption du mode de gestion des comptes revient à choisir un magasin d'identifiants.

Présentation des magasins d'identifiants

Le magasin d'identifiants de votre portail définit l'emplacement de stockage des informations d'identification des comptes de votre portail, le processus d'authentification et le mode de gestion de l'appartenance à un groupe. Le portail ArcGIS Enterprise prend en charge deux types de magasins d’identités : intégrés et d’entreprise.

Magasin d'identifiants intégré

Le portail ArcGIS Enterprise est préconfiguré afin de faciliter la création de comptes et de groupes sur votre portail. Vous pouvez utiliser le lien Créer un compte sur la page d'accueil du site Web du portail pour ajouter un compte intégré à votre portail et commencer à ajouter du contenu dans l'organisation ou accéder aux ressources créées par d'autres membres. Vous pouvez également cliquer sur l'onglet Groupes de la page d'accueil du site Web du portail et créer un groupe destiné à gérer des éléments. Lorsque vous créez ainsi des comptes et des groupes sur votre portail, vous optimisez le magasin d’identifiants intégré, qui exécute l’authentification et enregistre les noms d’utilisateur, les mots de passe, les rôles et l’adhésion au groupe de l’utilisateur du compte de portail.

Vous devez utiliser le magasin d'identifiants intégré pour créer le compte d'administrateur initial de votre portail, mais vous pouvez ensuite utiliser un magasin d'identifiants d'entreprise. Le magasin d'identifiants intégré est utile pour mettre portail en service, ainsi qu'à des fins de développement et de test. Cependant, les environnements de production utilisent généralement un magasin d'identifiants d'entreprise.

Magasin d'identifiants d'entreprise

Le portail ArcGIS Enterprise est conçu pour vous permettre d’utiliser des groupes et des comptes d’entreprise afin de contrôler l’accès à votre organisation ArcGIS. Par exemple, vous pouvez contrôler l'accès accéder au portail en utilisant des informations d'identification provenant de votre serveur Lightweight Directory Access Protocol (LDAP), d'un serveur Active Directory et de fournisseurs d'identités qui prennent en charge l'authentification unique Web SAML 2.0 (Security Assertion Markup Language). Ce processus est décrit dans la documentation sous forme de configuration d'identifiants de connexion d'entreprise.

L'avantage de cette approche est que vous ne devez pas créer de comptes supplémentaires sur le portail. Les membres utilisent l'identifiant déjà configuré dans le magasin d'identifiants de l'entreprise. Les identifiants de connexion au compte sont entièrement gérés en dehors du portail. Cela permet aux utilisateurs de s'authentifier une seule fois en leur évitant d'avoir à saisir de nouveau leurs informations d'identification.

De la même façon, vous pouvez également créer des groupes sur le portail qui tirent parti des groupes d'entreprise de votre magasin d'identifiants. De plus, plusieurs comptes d'entreprise peuvent être ajoutés à la fois à partir de groupes d'entreprise de votre organisation. Lorsque les membres se connectent au portail, l'accès au contenu, aux éléments et aux données est déterminé par les règles d'appartenance définies dans le groupe d'entreprise. L’appartenance aux groupes est entièrement gérée en dehors du portail.

Par exemple, il est recommandé de désactiver l'accès anonyme à votre portail, de connecter votre portail aux groupes d'entreprise souhaités dans votre organisation et d'ajouter les comptes d'entreprise en fonction de ces groupes. Ainsi, vous limitez l'accès au portail en fonction de groupes d'entreprise spécifiques au sein de votre organisation.

Utilisez un magasin d'identifiants d'entreprise si votre organisation souhaite définir des stratégies pour l'expiration et la complexité des mots de passe, pour contrôler l'accès aux données à l'aide de groupes d'entreprise existants ou utiliser l'authentification via l'authentification Windows intégrée (IWA) ou l'infrastructure à clé publique (PKI). Vous pouvez gérer l'authentification au niveau du Web (utilisation de l'authentification au niveau du Web), au niveau du portail (utilisation de l'authentification au niveau du portail) ou via un fournisseur d'identifiants externe (utilisation de SAML).

Prise en charge de plusieurs magasins d'identifiants

Avec SAML 2.0, vous pouvez autoriser l'accès à votre portail à l'aide de plusieurs magasins d'identifiants. Les utilisateurs peuvent se connecter avec des comptes intégrés et des comptes gérés par plusieurs fournisseurs d'identités compatibles avec SAML configurés pour se faire confiance. Cette méthode est conseillée pour gérer les utilisateurs qui peuvent se trouver au sein ou en dehors de votre organisation. Pour obtenir des instructions complètes, reportez-vous à la rubrique Configuration d'un fournisseur d'identités compatible avec SAML avec votre portail.

Présentation des privilèges d'accès

Une fois que vous aurez choisi le mode de gestion des comptes dans ArcGIS Enterprise, vous devez déterminer les privilèges octroyés aux utilisateurs qui accèdent à votre organisation ArcGIS. Les privilèges varient selon que l’utilisateur qui accède à votre portail fait partie ou non de l’organisation ArcGIS.

Les utilisateurs qui accèdent au portail sans compte d'organisation AcrGIS peuvent uniquement rechercher et utiliser les éléments publics. Par exemple, si une carte Web publique est intégrée dans un site Web, les utilisateurs qui consultent la carte accéderont à un élément de votre portail, même s'ils n'ont pas de compte. C'est à vous de choisir si vous souhaitez autoriser ce type d'accès. Vous pouvez toujours désactiver l'accès des personnes qui ne sont pas encore partie de l'organisation ArcGIS. Pour en savoir plus, reportez-vous à la rubrique Désactivation de l'accès anonyme.

Les utilisateurs peuvent accéder à votre portail avec des privilèges élevés s'ils font partie de votre organisation ArcGIS. Les membres de votre organisation ArcGIS sont répertoriés dans la page Organization (Organisation) du site Web du portail. Les membres d'une organisation sont classés par niveaux d'adhésion qui correspondent à différents rôles dotés de privilèges variés. Pour en savoir plus sur les différents niveaux de privilèges, reportez-vous à la rubrique sur les rôles dans l'organisation.

Lorsqu'un nouveau compte d'organisation ArcGIS est ajouté à votre portail, le rôle d'utilisateur lui est accordé par défaut. Toutefois, l'administrateur du portail peut modifier le rôle à tout moment.

Gestion des comptes d'organisation ArcGIS

Un compte d'organisation ArcGIS est un compte d'utilisateur qui a été ajouté au volet Organisation du site Web de votre portail. Dans l’ensemble de la documentation et de l’expérience utilisateur du site Web du portail, ces utilisateurs sont désignés en tant que membres de l’organisation ArcGIS.

En tant qu'administrateur, vous devez non seulement contrôler entièrement les privilèges accordés à chaque membre de votre organisation ArcGIS, mais aussi choisir les personnes autorisées à y adhérer.

Le nombre maximal de comptes d'organisation ArcGIS dans votre portail est défini par le fichier d'autorisation qui vous a servi à activer le logiciel. Vous pouvez à tout moment comparer le nombre total de membres dans votre organisation avec le nombre maximal autorisé sous la page Organization (Organisation) du site Web du portail. Sous Adhésion complète, Nombre actuel répertorie le nombre actuel de membres du portail et Nombre maximal autorisé présente le nombre total de membres pour lequel le portail dispose d'une autorisation.

Gestion des comptes avec le magasin intégré

Lorsque vous utilisez le magasin intégré, le site Web du portail présente par défaut un lien que n'importe quel utilisateur peut utiliser pour rejoindre l'organisation ArcGIS. Cela permet aux utilisateurs de rejoindre facilement votre organisation, mais vous ne pouvez pas vraiment limiter ces personnes : toutes les personnes pouvant accéder à votre portail peuvent créer un compte. Si vous souhaitez renforcer votre contrôle, vous pouvez désactiver cette expérience en libre-service et approvisionner en bloc votre portail avec un nombre prédéfini de comptes. Pour en savoir plus sur la création des comptes d'organisation ArcGIS en bloc, reportez-vous à la rubrique Ajout de membres sur votre portail. Vous pouvez également supprimer des membres du site Web de votre portail ou modifier leurs privilèges à tout moment.

Gestion des comptes avec un magasin d'identifiants d'entreprise

Le portail ArcGIS Enterprise ne vous permet pas de supprimer, mettre à jour ou créer de nouveaux comptes dans votre magasin d’entreprise, mais vous pouvez inscrire des comptes d’entreprise existants auprès de votre organisation. A cet effet, la page de connexion du site Web du portail n'est pas accessible lorsque vous configurez votre portail avec un magasin d'identifiants d'entreprise.

En tant qu'administrateur, vous allez sélectionner les informations d'identification d'entreprise que vous voulez ajouter dans l'organisation, puis les ajouter en bloc. Pour en savoir plus sur la création des comptes d'organisation ArcGIS en bloc, reportez-vous à la rubrique Ajout de membres sur votre portail. Vous pouvez également supprimer des membres du site Web de votre portail ou modifier leurs privilèges à tout moment.

Vous pouvez également ajouter un compte d'entreprise qui se connecte automatiquement à votre portail ou à ses éléments. Pour en savoir plus, reportez-vous à la rubrique Enregistrement automatique des comptes d'entreprise.

Sachez que lorsque le portail est configuré avec un magasin d'identifiants d'entreprise, l'accès anonyme à l'organisation ArcGIS est désactivé. En d'autres termes, les utilisateurs qui accèdent au portail doivent tout d'abord s'authentifier auprès de votre magasin d'entreprise. Une fois authentifiés, les privilèges des utilisateurs varient selon qu'ils disposent ou non d'un compte d'organisation ArcGIS.

Héritage :

Dans Portal for ArcGIS 10.2, les comptes d'entreprise étaient automatiquement enregistrés en tant que membres de l'organisation. Il est ainsi possible que votre organisation ait involontairement dépassé le nombre maximal de membres. Lorsque vous mettez à niveau Portal for ArcGIS 10.2 vers une version ultérieure, le comportement hérité persiste et, par défaut, les comptes sont toujours automatiquement enregistrés. Toutefois, les nouvelles installations de Portal for ArcGIS ne permettent pas la création automatique de comptes. Si vous avez mis à niveau votre portail de la version 10.2 vers une version ultérieure, vous pouvez désactiver ce comportement pour mieux contrôler les utilisateurs qui sont ajoutés en tant que membres de votre organisation. Pour plus d'informations, reportez-vous à la rubrique Enregistrement automatique des comptes d'entreprise.

Stratégie de verrouillage de compte

Les logiciels appliquent souvent une stratégie de verrouillage de compte pour protéger les utilisateurs face aux nombreuses tentatives automatiques effectuées pour deviner leurs mots de passe. Si, durant un intervalle donné, un utilisateur essaie plusieurs fois de se connecter sans y parvenir, l'accès lui sera refusé pendant un laps de temps défini. Ces stratégies tiennent compte du fait que les utilisateurs n'arrivent pas toujours à se connecter s'ils ont oublié leur nom de connexion et leur mot de passe.

La stratégie de verrouillage appliquée par Portal for ArcGIS dépend du type de magasin d'identifiants que vous utilisez.

Magasin d'identifiants intégré

Le magasin d'identifiants intégré verrouille l'accès d'un utilisateur s'il essaie de se connecter plus de dix fois, sans y parvenir. Le verrouillage dure dix minutes. Cette stratégie s'applique à tous les comptes du magasin d'identifiants, y compris le compte d'administrateur initial. Elle ne peut pas être modifiée ni remplacée.

Magasin d'identifiants d'entreprise

Lorsque vous utilisez un magasin d'identifiants d'entreprise, la stratégie de verrouillage des comptes appliquée est celle du magasin. Vous pourrez sans doute modifier la stratégie de verrouillage de compte du magasin. Consultez la documentation propre au type de magasin pour savoir comment modifier la stratégie de verrouillage de compte.