Skip To Content

Utiliser le protocole LDAP et une infrastructure de clés publiques (PKI) pour sécuriser l'accès à votre portail

Lorsque vous authentifiez les utilisateurs à l'aide du protocole LDAP (Lightweight Directory Access Protocol), vous pouvez utiliser une infrastructure à clé publique (PKI) sur votre portail.

Pour utiliser LDAP et PKI, vous devez configurer l'authentification de certificat client basée sur une PKI en déployant ArcGIS Web Adaptor (Java Platform) sur un serveur d'applications Java. Vous ne pouvez pas utiliser ArcGIS Web Adaptor (IIS) pour effectuer l'authentification de certificat client basée sur une PKI avec LDAP. Si tel n'est pas encore le cas, installez et configurez ArcGIS Web Adaptor (Java Platform) avec votre portail.

Remarque :

Si vous envisagez d'ajouter un site ArcGIS Server dans votre portail et souhaitez utiliser LDAP et PKI avec le serveur, vous devez désactiver l'authentification de certificat client basée sur PKI sur votre site ArcGIS Server et activer l'accès anonyme avant de l'ajouter au portail. Même si elle ne semble pas intuitive, cette démarche est nécessaire pour que votre site puisse être fédéré librement avec le portail et puisse lire les utilisateurs et rôles du portail. Si votre site ArcGIS Server n'utilise pas encore l'authentification de certificat client basée sur PKI, aucune action n'est requise de votre part. Pour savoir comment ajouter un serveur sur votre portail, reportez-vous à la rubrique Fédération d'un site ArcGIS Server avec votre portail.

Configurer votre portail avec LDAP

Par défaut, Portal for ArcGIS applique le chiffrement HTTPS pour toutes les communications. Si vous avez déjà changé cette option de façon à autoriser à la fois la communication HTTP et HTTPS, vous devez reconfigurer le portail pour utiliser uniquement les communications HTTPS en procédant comme suit .

Configurer le portail de façon à utiliser le protocole HTTPS pour toutes les communications

  1. Connectez-vous au site Web du portail en tant qu'administrateur de votre organisation. L’URL est au format https://webadaptorhost.domain.com/webadaptorname/home.
  2. Cliquez sur Organization (Organisation), cliquez ensuite sur l’onglet Settings (Paramètres), puis sur Security (Sécurité) dans la partie gauche de la page.
  3. Sélectionnez Autoriser l'accès au portail via HTTPS uniquement.
  4. Cliquez sur Enregistrer pour appliquer les modifications.

Mettre à jour le magasin d'identifiants de votre portail

Ensuite, mettez à jour le magasin d’identités de votre portail pour qu’il utilise des utilisateurs et groupes LDAP.

  1. Connectez-vous au répertoire de Portal for ArcGIS en tant qu'administrateur de votre organisation. L’URL est au format https://webadaptorhost.domain.com/webadaptorname/portaladmin.
  2. Cliquez sur Sécurité > Config > Mettre à jour le magasin d'identités.
  3. Dans la zone de texte Configuration du magasin d'utilisateurs (au format JSON), collez les informations de configuration des utilisateurs LDAP de votre organisation (au format JSON). Vous pouvez également actualiser l'exemple suivant avec les informations d'utilisateur propres à votre organisation.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "userFullnameAttribute": "cn",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
        "userEmailAttribute": "mail",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "dn"
      }
    }

    Dans la plupart des cas, vous ne devez modifier que les valeurs des paramètres user, userPassword, ldapURLForUsers et userSearchAttribute. userSearchAttribute est la valeur du paramètre Subject du certificat PKI. Si votre organisation utilise un autre attribut dans le certificat PKI, tel qu'email, vous devez mettre à jour la valeur userSearchAttribute pour qu'elle corresponde au paramètre Subject du certificat PKI. L'URL de votre annuaire LDAP doit être fournie par votre administrateur LDAP.

    Dans l'exemple ci-dessus, l'URL LDAP fait référence aux utilisateurs au sein d'un OU spécifique (ou=utilisateurs). Si des utilisateurs sont présents dans plusieurs OU, l'URL LDAP peut pointer vers un OU de niveau supérieur ou même vers le niveau racine si cela est nécessaire. Dans ce cas, l'URL ressemble à ce qui suit :

    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

    Le compte que vous utilisez pour le paramètre user doit disposer d'autorisations pour rechercher l'adresse électronique et les noms d'utilisateur correspondant aux utilisateurs dans votre organisation. Même si vous entrez le mot de passe en texte clair, il est chiffré lorsque vous cliquez sur Mettre à jour la configuration (ci-dessous).

    Si votre LDAP est configuré pour respecter la casse, définissez le paramètre caseSensitive sur true.

  4. Pour créer des groupes sur le portail qui exploitent les groupes d'entreprise existants de votre magasin d'identités, collez les informations de configuration du groupe LDAP de votre organisation (au format JSON) dans la zone de texte Configuration du magasin de groupes (au format JSON) comme indiqué ci-dessous. Vous pouvez également actualiser l'exemple suivant avec les informations de groupe propres à votre organisation. Si vous souhaitez uniquement utiliser des groupes intégrés du portail, supprimez les informations figurant dans la zone de texte et ignorez cette étape.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "ldapURLForUsers": "ldaps://bar2:10636/ou=users,ou=ags,dc=example,dc=com",
        "ldapURLForRoles": "ldaps://bar2:10636/dc=example,dc=com",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "dn",
        "memberAttributeInRoles": "member",
        "rolenameAttribute":"cn"
      }
    }

    Dans la plupart des cas, vous ne devez modifier que les valeurs des paramètres user, userPassword, ldapURLForUsers, ldapURLForUsers et userSearchAttribute. userSearchAttribute est la valeur du paramètre Subject du certificat PKI. Si votre organisation utilise un autre attribut dans le certificat PKI, tel qu'email, vous devez mettre à jour la valeur userSearchAttribute pour qu'elle corresponde au paramètre Subject du certificat PKI. L'URL de votre annuaire LDAP doit être fournie par votre administrateur LDAP.

    Dans l'exemple ci-dessus, l'URL LDAP fait référence aux utilisateurs au sein d'un OU spécifique (ou=utilisateurs). Si des utilisateurs sont présents dans plusieurs OU, l'URL LDAP peut pointer vers un OU de niveau supérieur ou même vers le niveau racine si cela est nécessaire. Dans ce cas, l'URL ressemble à ce qui suit :

    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

    Le compte que vous utilisez pour le paramètre user doit disposer d'autorisations pour rechercher les noms des groupes dans votre organisation. Même si vous entrez le mot de passe en texte clair, il est chiffré lorsque vous cliquez sur Mettre à jour la configuration (ci-dessous).

    Si votre LDAP est configuré pour respecter la casse, définissez le paramètre caseSensitive sur true.

  5. Cliquez sur Mettre à jour la configuration pour enregistrer vos modifications.
  6. Si vous avez configuré un portail hautement disponible, redémarrez chaque machine du portail. Pour obtenir des instructions complètes, reportez-vous à la rubrique Arrêt et démarrage du portail.

Ajouter des comptes d'entreprise à votre portail

Par défaut, les utilisateurs d'entreprise peuvent accéder au site Web du portail. Toutefois, ils peuvent uniquement afficher les éléments qui ont été partagés avec tout le monde dans l'organisation. En effet, les comptes d'entreprise n'ont pas été ajoutés dans le portail et ils ne disposent pas des privilèges d'accès.

Ajoutez des comptes sur votre portail en utilisant l'une des méthodes suivantes :

Nous vous recommandons de désigner au moins un compte d'entreprise pour administrer votre portail. Pour ce faire, sélectionnez le rôle Administrateur lorsque vous ajoutez le compte. Lorsque vous disposez d'un autre compte d'administrateur sur le portail, vous pouvez attribuer le compte d'administrateur initial au rôle Utilisateur ou supprimer ce compte. Pour plus d'informations, reportez-vous à la rubrique A propos du compte d'administrateur initial.

Une fois les comptes ajoutés et les étapes ci-dessous terminées, les utilisateurs peuvent se connecter à l'organisation et accéder au contenu.

Configurer ArcGIS Web Adaptor pour qu'il utilise l'authentification PKI

Après avoir installé et configuré ArcGIS Web Adaptor (Java Platform) avec votre portail, configurez un domaine LDAP sur votre serveur d'applications Java et configurez l'authentification PKI basée sur le certificat client pour ArcGIS Web Adaptor. Pour obtenir des instructions, consultez votre administrateur système ou la documentation produit du serveur d'applications Java.

Vérifier que vous pouvez accéder au portail à l'aide de LDAP et PKI

  1. Ouvrez le site Web du portail. L’URL est au format https://webadaptorhost.domain.com/webadaptorname/home.
  2. Vérifiez que vous êtes invité à saisir vos informations d'identification de sécurité et pouvez accéder au site Web.

Empêcher les utilisateurs de créer leurs propres comptes intégrés

Pour empêcher les utilisateurs de créer leurs propres comptes intégrés, désactivez le bouton Créer un compte et la page de connexion (signup.html) sur le site Web du portail. Cela permet à tous les membres de se connecter au portail avec leurs informations d'identification d'entreprise et d'empêcher la création de comptes de membre inutiles. Pour plus d'informations, reportez-vous à la rubrique Désactivation de la fonction de création des comptes de portail intégrés pour les utilisateurs.