Sécurisation de services avec des utilisateurs et des rôles issus d'un serveur LDAP
Dans cette rubrique
- Configurez les paramètres de sécurité.
- Examiner les utilisateurs et les rôles
- Configurer la méthode d'authentification au niveau du Web sur l'adaptateur Web de votre serveur
- Définir des autorisations pour les services Web ArcGIS
ArcGIS Server peut exploiter les informations sur les utilisateurs et les rôles stockées dans un serveur LDAP tel que Microsoft Active Directory ou Apache Directory Server. ArcGIS Server traite le serveur LDAP comme une source en lecture seule d'informations sur les utilisateurs/rôles. Par conséquent, vous ne pouvez pas utiliser ArcGIS Server Manager pour ajouter ou supprimer des utilisateurs et des rôles, ou encore modifier leurs attributs.
Pour utiliser LDAP, vous devez déployer votre adaptateur Web sur un serveur d'applications Java, tel qu'Apache Tomcat, IBM WebSphere ou Oracle WebLogic. Vous ne pouvez pas utiliser ArcGIS Web Adaptor (IIS) pour effectuer l'authentification au niveau du Web avec LDAP.
Vous pouvez procéder comme suit pour sécuriser les services Web ArcGIS avec des utilisateurs et des rôles provenant d'un serveur LDAP :
- Configurer les paramètres de sécurité.
- Examiner les utilisateurs et les rôles.
- Configurer la méthode d'authentification au niveau du Web sur l'adaptateur Web de votre serveur
- Définir des autorisations pour les services.
Configurez les paramètres de sécurité.
Procédez comme suit pour configurer la sécurité à l'aide du gestionnaire :
- Ouvrez le gestionnaire et connectez-vous en tant qu'administrateur de site principal. Vous devez utiliser le compte d'administrateur de site principal. Si vous avez besoin d'aide pour cette étape, reportez-vous à la rubrique Connexion au gestionnaire.
- Cliquez surSécurité > Paramètres.
- Cliquez sur le bouton Modifier en regard de Paramètres de configuration.
- Sur la page Gestion des utilisateurs et des rôles, sélectionnez l'option Utilisateurs et rôles d'un systèmes d'entreprise existant (LDAP ou Domaine Windows), puis cliquez sur Suivant.
- Sur la page Type de magasin d'entreprise, sélectionnez l'option LDAP, puis cliquez sur Suivant.
- Sur la page suivante, vous devez saisir les paramètres de connexion au serveur LDAP. Cliquez sur Test de connexion pour créer un test de connexion au serveur LDAP. Si la tentative de connexion aboutit, cliquez sur Suivant. Le tableau ci-dessous décrit les paramètres de cette page :
Paramètre Description Exemple Nom d’hôte
Nom de la machine hôte sur laquelle le serveur LDAP s'exécute.
myservername
Port
Numéro de port de la machine hôte sur lequel le serveur LDAP écoute les connexions entrantes. Si le serveur LDAP prend en charge les connexions sécurisées (ldaps), ArcGIS Server passe automatiquement au protocole ldaps. Si le port spécifié est 10389, ArcGIS Server établit une connexion sécurisée avec le port 10636. Si le port spécifié est 389, ArcGIS Server établit une connexion sécurisée avec le port 636.
10389
389
DN de base
Nom distinctif (DN) du nœud sur le serveur de répertoires sous lequel sont conservées les informations sur l'utilisateur.
ou=users,ou=arcgis,dc=mydomain,dc=com
URL
URL LDAP qui sera utilisée pour se connecter au serveur LDAP (elle est générée automatiquement). Modifiez cette URL si elle est incorrecte ou si elle nécessite des modifications. Si votre serveur LDAP n'utilise pas le port 636 standard pour les connexions sécurisées, vous devez spécifier ici le numéro de port personnalisé.
ldap://myservername:389/ou=users,ou=arcgis,dc=mydomain,dc=com
ldap://myservername:10389/ou=users,ou=arcgis,dc=mydomain,dc=com
ldaps://myservername:10300/ou=users,ou=arcgis,dc=mydomain,dc=com
Attribut RDN
Attribut de nom distinctif relatif (RDN) relatif aux entrées utilisateur dans le serveur LDAP.
Pour le DN "cn=john,ou=users,ou=arcgis,dc=mydomain,dc=com", le RDN est "cn=john" et l'attribut RDN est cn.
Pour le DN "uid=john,ou=users,ou=arcgis,dc=mydomain,dc=com", le RDN est "uid=john" et l'attribut RDN est uid.
DN de l’administrateur
DN d'un compte d'administrateur LDAP qui a accès au nœud contenant des informations sur l'utilisateur.
Nous vous conseillons de spécifier un compte d'administrateur dont le mot de passe n'expire pas. Si ce n'est pas possible, vous devrez répéter les étapes de cette section chaque fois que le mot de passe permettant d'accéder au compte est modifié.
uid=admin,ou=administrators,dc=mydomain,dc=com
Mot de passe
Mot de passe de l’administrateur.
adminpassword
- Sur la page suivante, saisissez les paramètres permettant de récupérer des rôles du serveur LDAP. Vous trouverez une description détaillée des paramètres dans le tableau ci-dessous :
Paramètre Description Exemple DN de base
Nom distinctif (DN) du nœud sur le serveur de répertoires sous lequel sont conservées les informations sur le rôle.
ou=roles,ou=arcgis,dc=mydomain,dc=com
URL
URL LDAP qui sera utilisée pour se connecter au serveur (elle est générée automatiquement). Modifiez cette URL si elle est incorrecte ou si elle nécessite des modifications.
ldap://myservername:10389/ou=roles,ou=arcgis,dc=mydomain,dc=com
Attribut Utilisateur dans l’entrée Rôle
Nom de l'attribut dans l'entrée de rôle qui contient le DN des utilisateurs qui sont membres de ce rôle.
Dans Apache Directory Server, le nom d'attribut le plus fréquemment utilisé est uniqueMember. Dans Microsoft Active Directory, il s'agit de member.
- Une fois les paramètres saisis, cliquez sur Suivant.
- Sur la page Niveau d'authentification, sélectionnez l'emplacement d'exécution de l'authentification et cliquez sur Suivant. Pour plus d'informations sur cette option, reportez-vous à la rubrique Configuration de la sécurité d'ArcGIS Server.
- Passez en revue le récapitulatif des éléments que vous avez sélectionnés. Cliquez sur Précédent pour effectuer des modifications ou sur Terminer pour appliquer la configuration de sécurité et l'enregistrer.
Examiner les utilisateurs et les rôles
Après avoir configuré la sécurité afin d'utiliser le magasin pour la gestion des rôles et des utilisateurs, passez-les en revue afin de vous assurer qu'ils ont été importés correctement. Pour ajouter, modifier ou supprimer des utilisateurs et des rôles, vous devez utiliser les outils de gestion des utilisateurs proposés par votre fournisseur LDAP.
- Dans le gestionnaire, cliquez sur Sécurité > Utilisateurs.
- Vérifiez que les utilisateurs ont été récupérés comme prévu du serveur LDAP.
- Cliquez sur Rôles pour passer en revue les rôles récupérés du serveur LDAP.
- Vérifiez que les rôles ont été récupérés comme prévu du serveur LDAP. Cliquez sur le bouton Mettre à jour en regard d'un rôle pour vérifier l'appartenance à un rôle. Modifiez la valeur Type de rôle suivant vos besoins. Pour en savoir plus sur les types de rôle, reportez-vous à la rubrique Limitation de l'accès à ArcGIS Server.
Configurer la méthode d'authentification au niveau du Web sur l'adaptateur Web de votre serveur
L'annuaire LDAP nécessite une authentification au niveau du Web qui doit être réalisée à l'aide d'ArcGIS Web Adaptor (Java Platform). L'adaptateur Web utilise le serveur d'application Java pour authentifier l'utilisateur et fournir à l'adaptateur Web le nom du compte de l'utilisateur. Une fois qu'il dispose du nom du compte, il le transmet au serveur.
Remarque :
Lorsque vous configurez l'adaptateur Web, vous devez activer l'administration via l'adaptateur Web. Cela permet aux utilisateurs dans LDAP de publier des services depuis ArcGIS for Desktop. Lorsque les utilisateurs se connectent au serveur avec ces rôles dans ArcGIS for Desktop, ils doivent spécifier l'URL de l'adaptateur Web.
Après avoir installé et configuré ArcGIS Web Adaptor (Java Platform) avec votre serveur, vous devez configurer un domaine LDAP sur votre serveur d'applications Java et configurer la méthode d'authentification pour l'adaptateur Web. Pour obtenir des instructions, reportez-vous à la documentation produit du serveur d'applications Java ou consultez votre administrateur système.
Définir des autorisations pour les services Web ArcGIS
Dès que vous avez configuré vos paramètres de sécurité et défini des utilisateurs et des rôles, vous pouvez définir des autorisations pour les services afin de contrôler les utilisateurs autorisés à y accéder.
ArcGIS Server contrôle l'accès aux services Web SIG hébergés sur votre serveur à l'aide d'un modèle de contrôle d'accès basé sur les rôles. Dans ce modèle, l'autorisation d'accès à un service sécurisé est contrôlée en attribuant des rôles à ce service. Pour exploiter un service sécurisé, un utilisateur doit être membre d'un rôle auquel ont été affectées des autorisations d'accès.
Les autorisations peuvent être affectées à un service Web individuel ou au dossier parent contenant un groupe de services. Si vous attribuez des autorisations à un dossier, elles sont également transmises à tout service qu'il contient. Par exemple, si vous accordez à un rôle l'accès au dossier site (racine), les utilisateurs appartenant à ce rôle se voient accorder l'accès à tous les services hébergés sur ce site. Pour remplacer automatiquement les autorisations héritées par un service de son dossier parent, vous pouvez mettre à jour le service et supprimer explicitement ces autorisations.
Pour définir les autorisations d'un service, reportez-vous à la rubrique Mise à jour des autorisations dans le gestionnaire.
Vous avez un commentaire à formuler concernant cette rubrique ?