Skip To Content

Utiliser Windows Active Directory et l’authentification de certificat client pour sécuriser l’accès

Lorsque vous utilisez Windows Active Directory pour authentifier des utilisateurs, vous pouvez faire appel à l’authentification de certificat client reposant sur l’infrastructure à clé publique (PKI) pour sécuriser l’accès à votre organisation.

Pour utiliser l’authentification Windows intégrée et l’authentification de certificat client, vous devez utiliser ArcGIS Web Adaptor (IIS) déployé sur le serveur Web IIS de Microsoft. Vous ne pouvez pas utiliser ArcGIS Web Adaptor (Java Platform) pour effectuer l’authentification Windows intégrée. Si ce n’est pas déjà fait, installez et configurez ArcGIS Web Adaptor (IIS) avec votre portail.

Configurer votre portail avec Windows Active Directory

Commencez par configurer le portail de façon à utiliser le protocole SSL pour toutes les communications. Ensuite, mettez à jour le magasin d’identités de votre portail pour utiliser des utilisateurs et des groupes Windows Active Directory.

Configurer l’organisation de façon à utiliser le protocole HTTPS pour toutes les communications

Pour configurer l’organisation de façon à utiliser le protocole HTTPS, procédez comme suit :

  1. Connectez-vous au site Web de l’organisation en tant qu’administrateur.

    Le format de l’URL est https://webadaptorhost.domain.com/webadaptorname/home.

  2. Cliquez sur Organization (Organisation), cliquez ensuite sur l’onglet Settings (Paramètres), puis sur Security (Sécurité) dans la partie gauche de la page.
  3. Activez Allow access to the portal through HTTPS only (Autoriser l’accès au portail via HTTPS uniquement).

Mettre à jour le magasin d'identifiants de votre portail

Ensuite, mettez à jour le magasin d’identités de votre portail pour qu’il utilise des utilisateurs et groupes Active Directory.

  1. Connectez-vous au Répertoire administrateur du portail en tant qu’administrateur de votre organisation.

    L’URL est au format suivant : https://webadaptorhost.domain.com/webadaptorname/portaladmin.

  2. Cliquez sur Sécurité > Config > Mettre à jour le magasin d'identités.
  3. Dans la zone de texte User store configuration (in JSON format) (Configuration du magasin d’utilisateurs [au format JSON]), collez les informations de configuration des utilisateurs Windows Active Directory de votre organisation (au format JSON).

    Vous pouvez également actualiser l’exemple suivant avec les informations d’utilisateur propres à votre organisation :

    {
      "type": "WINDOWS",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "mydomain\\winaccount",
        "userFullnameAttribute": "cn",
        "userEmailAttribute": "mail",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "caseSensitive": "false"
      }
    }

    Dans la plupart des cas, seules les valeurs des paramètres userPassword et user doivent être modifiées. Même si vous entrez le mot de passe en texte clair, il est chiffré lorsque vous cliquez sur Mettre à jour la configuration (ci-dessous). Le compte que vous spécifiez pour le paramètre utilisateur n’a besoin que des autorisations permettant de consulter l’adresse électronique et le nom complet correspondant à des comptes Windows sur le réseau. Si cela est possible, indiquez un compte dont le mot de passe n'expire pas.

    Dans les rares cas où votre instance Windows Active Directory est configurée pour être sensible à la casse, définissez le paramètre caseSensitive sur true.

  4. Pour créer des groupes sur le portail qui exploitent les groupes Active Directory existants de votre magasin d’identités, collez les informations de configuration du groupe Windows Active Directory de votre organisation (au format JSON) dans la zone de texte Group store configuration (in JSON format) [Configuration du magasin de groupes (au format JSON)] comme indiqué ci-dessous. Pour utiliser les groupes intégrés du portail, supprimez les informations figurant dans la zone de texte et ignorez cette étape.

    Vous pouvez également actualiser l'exemple suivant avec les informations de groupe propres à votre organisation.

    {
      "type": "WINDOWS",
      "properties": {
        "isPasswordEncrypted": "false",
        "userPassword": "secret",
        "user": "mydomain\\winaccount"
      }
    }

    Dans la plupart des cas, seules les valeurs des paramètres userPassword et user doivent être modifiées. Même si vous entrez le mot de passe en texte clair, il est chiffré lorsque vous cliquez sur Mettre à jour la configuration (ci-dessous). Le compte que vous spécifiez pour le paramètre utilisateur n’a besoin que des autorisations permettant de consulter les noms des groupes Windows sur le réseau. Si cela est possible, indiquez un compte dont le mot de passe n'expire pas.

  5. Cliquez sur Mettre à jour la configuration pour enregistrer vos modifications.
  6. Si vous avez configuré un portail hautement disponible, redémarrez chaque machine du portail. Pour obtenir des instructions complètes, reportez-vous à la rubrique Arrêt et démarrage du portail.

Ajouter des comptes spécifiques de l’organisation

Par défaut, les utilisateurs spécifiques d’une organisation peuvent accéder à l’organisation ArcGIS Enterprise. Toutefois, ils peuvent uniquement afficher les éléments qui ont été partagés avec tout le monde dans l'organisation. En effet, les comptes d’organisation n’ont pas été ajoutés et ils ne disposent pas des privilèges d’accès.

Ajoutez des comptes à votre organisation selon l’une des méthodes suivantes :

Nous vous recommandons de désigner au moins un compte d’organisation pour administrer votre portail. Pour ce faire, sélectionnez le rôle Administrateur lorsque vous ajoutez le compte. Lorsque vous disposez d'un autre compte d'administrateur sur le portail, vous pouvez attribuer le compte d'administrateur initial au rôle Utilisateur ou supprimer ce compte. Pour plus d'informations, reportez-vous à la rubrique A propos du compte d'administrateur initial.

Une fois les comptes ajoutés et les étapes ci-dessous terminées, les utilisateurs peuvent se connecter à l’organisation et accéder au contenu.

Installer et activer l'authentification par mappage de certificat client Active Directory

Le mappage de certificat client Active Directory n’est pas disponible dans l’installation par défaut de IIS. Vous devez installer et activer la fonctionnalité.

Installation avec Windows Server 2016

Procédez comme suit pour installer l’authentification par mappage de certificat client avec Windows Server 2016 :

  1. Ouvrez Outils d'administration et cliquez sur Gestionnaire de serveur.
  2. Dans le volet de l'arborescence du Gestionnaire de serveur, développez Rôles et cliquez sur Serveur Web (IIS).
  3. Développez les rôles Web Server (Serveur web) et Security (Sécurité).
  4. Dans la section du rôle Security (Sécurité), sélectionnez Client Certificate Mapping Authentication (Authentification par mappage de certificat client) et cliquez sur Next (Suivant).
  5. Cliquez sur Next (Suivant) dans l’onglet Select Features (Sélectionner des entités) puis cliquez sur Install (Installer).

Installation avec Windows Server 2019 ou 2022

Procédez comme suit pour installer l’authentification par mappage de certificat client avec Windows Server 2019 ou 2022 :

  1. Ouvrez Outils d'administration et cliquez sur Gestionnaire de serveur.
  2. Dans le tableau de bord Server Manager (Gestionnaire de serveur), cliquez sur Add roles and features (Ajouter des rôles et des fonctionnalités).
  3. Acceptez les paramètres par défaut et cliquez sur Next (Suivant) sur les pages Before You Begin (Avant de commencer), Installation Type (Type d’installation) et Server Selection (Sélection du serveur).
  4. Sur la page Server Roles (Rôles de serveur), activez Web Server (IIS) (Serveur Web [IIS]) et cliquez sur Next (Suivant).
  5. Sur la page Features (Fonctionnalités), cliquez sur Next (Suivant).
  6. Sur la page Web Server Role (IIS) (Rôle de serveur Web [IIS]), cliquez sur Next (Suivant).
  7. Sur la page Role Services (Services de rôle), développez la section Security (Sécurité).
  8. Dans la section Security (Sécurité), sélectionnez IIS Client Certificate Mapping Authentication (Authentification par mappage de certificat client IIS) et cliquez sur Next (Suivant).
  9. Sur la page Confirmation, cliquez sur Install (Installer).

Activer l'authentification par mappage de certificat client Active Directory

Une fois le mappage de certificat client Active Directory installé, activez la fonctionnalité en procédant comme suit :

  1. Démarrez Internet Information Server (IIS) Manager.
  2. Dans le nœud Connexions, cliquez sur le nom de votre serveur Web.
  3. Double-cliquez sur Authentification dans la fenêtre Vue des fonctionnalités.
  4. Vérifiez que l'option Authentification du certificat client Active Directory est affichée.

    Si la fonctionnalité n'est pas affichée ou disponible, vous pouvez être amené à redémarrer votre serveur Web pour terminer l'installation de la fonctionnalité Authentification du certificat client Active Directory.

  5. Double-cliquez sur Authentification du certificat client Active Directory et sélectionnez Activer dans la fenêtre Actions.

Un message s’affiche, indiquant que l’authentification SSL doit être activée pour que vous puissiez utiliser l’authentification du certificat client Active Directory. Ceci fait l'objet de la section suivante.

Configurer ArcGIS Web Adaptor pour demander des certificats SSL et clients

Procédez comme suit afin de configurer ArcGIS Web Adaptor pour demander des certificats SSL et clients :

  1. Démarrez le Gestionnaire des services Internet (IIS).
  2. Développez le nœud Connections (Connexions) et sélectionnez votre site ArcGIS Web Adaptor.
  3. Double-cliquez sur Authentification dans la fenêtre Vue des fonctionnalités.
  4. Désactivez toutes les formes d'authentification.
  5. Sélectionnez de nouveau votre instance ArcGIS Web Adaptor dans la liste Connections (Connexions).
  6. Double-cliquez sur Paramètres SSL.
  7. Activez l'option Exiger SSL et sélectionnez l'option Demander sous Certificats clients.
  8. Cliquez sur Appliquer pour enregistrer les modifications.
Remarque :

Pour que l’authentification de certificat client fonctionne sur Microsoft Windows Server 2022, TLS 1.3 doit être désactivé dans les liaisons de site HTTPS.

Vérifier que vous pouvez accéder au portail à l’aide de Windows Active Directory et de l’authentification de certificat client.

Procédez comme suit pour vérifier que vous pouvez accéder au portail à l’aide de Windows Active Directory et de l’authentification de certificat client :

  1. Ouvrez le portail.

    L’URL est au format suivant : https://organization.example.com/<context>/home.

  2. Vérifiez que vous êtes invité à saisir vos informations d'identification de sécurité et pouvez accéder au site Web.

Empêcher les utilisateurs de créer leurs propres comptes intégrés

Vous pouvez empêcher les utilisateurs de créer leurs propres comptes intégrés en désactivant la possibilité pour les utilisateurs de créer des comptes intégrés dans les paramètres de l’organisation.