Skip To Content

Sécurisation de services avec des utilisateurs et des rôles issus d'un serveur LDAP

ArcGIS Server peut exploiter les informations sur les utilisateurs et les rôles stockées dans un serveur LDAP tel que Microsoft Active Directory ou Apache Directory Server. ArcGIS Server traite le serveur LDAP comme une source en lecture seule d'informations sur les utilisateurs/rôles. Par conséquent, vous ne pouvez pas utiliser ArcGIS Server Manager pour ajouter ou supprimer des utilisateurs et des rôles, ou encore modifier leurs attributs.

Pour utiliser LDAP, vous devez déployer votre adaptateur Web sur un serveur d'applications Java, tel qu'Apache Tomcat, IBM WebSphere ou Oracle WebLogic. Vous ne pouvez pas utiliser ArcGIS Web Adaptor (IIS) pour effectuer l'authentification au niveau du Web avec LDAP.

Vous pouvez procéder comme suit pour sécuriser les services Web ArcGIS avec des utilisateurs et des rôles provenant d'un serveur LDAP :

  1. Configurer les paramètres de sécurité.
  2. Passez en revue les utilisateurs et les rôles.
  3. Configurer la méthode d'authentification au niveau du Web sur l'adaptateur Web de votre serveur
  4. Définissez des autorisations pour les services.

Configurez les paramètres de sécurité.

Procédez comme suit pour configurer la sécurité à l'aide du gestionnaire :

  1. Ouvrez le gestionnaire et connectez-vous en tant qu'administrateur de site principal. Vous devez utiliser le compte d'administrateur de site principal. Si vous avez besoin d'aide pour cette étape, reportez-vous à la rubrique Connexion au gestionnaire.
  2. Cliquez surSécurité > Paramètres.
  3. Cliquez sur le bouton Modifier Mise à jour en regard de Paramètres de configuration.
  4. Sur la page Gestion des utilisateurs et des rôles, sélectionnez l'option Utilisateurs et rôles d'un systèmes d'entreprise existant (LDAP ou Domaine Windows), puis cliquez sur Suivant.
  5. Sur la page Type de magasin d'entreprise, sélectionnez l'option LDAP, puis cliquez sur Suivant.
  6. Sur la page suivante, vous devez saisir les paramètres de connexion au serveur LDAP. Cliquez sur Test de connexion pour créer un test de connexion au serveur LDAP. Si la tentative de connexion aboutit, cliquez sur Suivant. Le tableau ci-dessous décrit les paramètres de cette page :

    ParamètreDescriptionExemple

    Nom d’hôte

    Nom de la machine hôte sur laquelle le serveur LDAP s'exécute.

    myservername

    Port

    Numéro de port de la machine hôte sur lequel le serveur LDAP écoute les connexions entrantes. Si le serveur LDAP prend en charge les connexions sécurisées (ldaps), ArcGIS Server passe automatiquement au protocole ldaps. Si le port spécifié est 10389, ArcGIS Server établit une connexion sécurisée avec le port 10636. Si le port spécifié est 389, ArcGIS Server établit une connexion sécurisée avec le port 636.

    10636

    636

    DN de base

    Nom distinctif (DN) du nœud sur le serveur de répertoires sous lequel sont conservées les informations sur l'utilisateur.

    ou=users,ou=arcgis,dc=mydomain,dc=com

    URL

    URL LDAP qui sera utilisée pour se connecter au serveur LDAP (elle est générée automatiquement). Modifiez cette URL si elle est incorrecte ou si elle nécessite des modifications. Si votre serveur LDAP n'utilise pas le port 636 standard pour les connexions sécurisées, vous devez spécifier ici le numéro de port personnalisé.

    ldaps://myservername:636/ou=users,ou=arcgis,dc=mydomain,dc=com

    ldaps://myservername:10636/ou=users,ou=arcgis,dc=mydomain,dc=com

    ldaps://myservername:10300/ou=users,ou=arcgis,dc=mydomain,dc=com (port personnalisé)

    Attribut RDN

    Attribut de nom distinctif relatif (RDN) relatif aux entrées utilisateur dans le serveur LDAP.

    Pour le DN "cn=john,ou=users,ou=arcgis,dc=mydomain,dc=com", le RDN est "cn=john" et l'attribut RDN est cn.

    Pour le DN "uid=john,ou=users,ou=arcgis,dc=mydomain,dc=com", le RDN est "uid=john" et l'attribut RDN est uid.

    DN de l’administrateur

    DN d'un compte d'administrateur LDAP qui a accès au nœud contenant des informations sur l'utilisateur.

    Nous vous conseillons de spécifier un compte d'administrateur dont le mot de passe n'expire pas. Si ce n'est pas possible, vous devrez répéter les étapes de cette section chaque fois que le mot de passe permettant d'accéder au compte est modifié.

    uid=admin,ou=administrators,dc=mydomain,dc=com

    Mot de passe

    Mot de passe de l’administrateur.

    adminpassword

  7. Sur la page suivante, saisissez les paramètres permettant de récupérer des rôles du serveur LDAP. Vous trouverez une description détaillée des paramètres dans le tableau ci-dessous :

    ParamètreDescriptionExemple

    DN de base

    Nom distinctif (DN) du nœud sur le serveur de répertoires sous lequel sont conservées les informations sur le rôle.

    ou=roles,ou=arcgis,dc=mydomain,dc=com

    URL

    URL LDAP qui sera utilisée pour se connecter au serveur (elle est générée automatiquement). Modifiez cette URL si elle est incorrecte ou si elle nécessite des modifications.

    ldaps://myservername:10636/ou=roles,ou=arcgis,dc=mydomain,dc=com

    Attribut Utilisateur dans l’entrée Rôle

    Nom de l'attribut dans l'entrée de rôle qui contient le DN des utilisateurs qui sont membres de ce rôle.

    Dans Apache Directory Server, le nom d'attribut le plus fréquemment utilisé est uniqueMember. Dans Microsoft Active Directory, il s'agit de member.

  8. Une fois les paramètres saisis, cliquez sur Suivant.
  9. Sur la page Niveau d'authentification, sélectionnez l'emplacement d'exécution de l'authentification et cliquez sur Suivant. Pour plus d'informations sur cette option, reportez-vous à la rubrique Configuration de la sécurité d'ArcGIS Server.
  10. Passez en revue le récapitulatif des éléments que vous avez sélectionnés. Cliquez sur Précédent pour effectuer des modifications ou sur Terminer pour appliquer la configuration de sécurité et l'enregistrer.

Examiner les utilisateurs et les rôles

Après avoir configuré la sécurité afin d'utiliser le magasin pour la gestion des rôles et des utilisateurs, passez-les en revue afin de vous assurer qu'ils ont été importés correctement. Pour ajouter, modifier ou supprimer des utilisateurs et des rôles, vous devez utiliser les outils de gestion des utilisateurs proposés par votre fournisseur LDAP.

  1. Dans le gestionnaire, cliquez sur Sécurité > Utilisateurs.
  2. Vérifiez que les utilisateurs ont été récupérés comme prévu du serveur LDAP.
  3. Cliquez sur Rôles pour passer en revue les rôles récupérés du serveur LDAP.
  4. Vérifiez que les rôles ont été récupérés comme prévu du serveur LDAP. Cliquez sur le bouton Mettre à jour en regard d'un rôle pour vérifier l'appartenance à un rôle. Modifiez la valeur Type de rôle suivant vos besoins. Pour en savoir plus sur les types de rôle, reportez-vous à la rubrique Limitation de l'accès à ArcGIS Server.

Mise en cache des utilisateurs et des rôles

A compter de la version ArcGIS 10.5, les utilisateurs et les rôles LDAP seront mis en cache sur le serveur après une demande pour les utilisateurs ou les rôles. Cela optimise la performance de vos services sécurisés. Par défaut, les utilisateurs et les rôles seront mis en cache pendant 30 minutes. Vous pouvez modifier cette période de temps en définissant la propriété minutesToCacheUserRoles sur une autre valeur dans le répertoire administrateur d'ArcGIS Serveur sous les propriétés du système. Vous pouvez également désactiver la mise en cache en définissant la propriété sur zéro.

Configurer la méthode d'authentification au niveau du Web sur l'adaptateur Web de votre serveur

L'annuaire LDAP nécessite une authentification au niveau du Web qui doit être réalisée à l'aide d'ArcGIS Web Adaptor (Java Platform). L'adaptateur Web utilise le serveur d'application Java pour authentifier l'utilisateur et fournir à l'adaptateur Web le nom du compte de l'utilisateur. Une fois qu'il dispose du nom du compte, il le transmet au serveur.

Remarque :

Lorsque vous configurez l'adaptateur Web, vous devez activer l'administration via l'adaptateur Web. Cela permet aux utilisateurs dans LDAP de publier des services depuis ArcGIS Desktop. Lorsque les utilisateurs se connectent au serveur avec ces rôles dans ArcGIS Desktop, ils doivent spécifier l'URL de l'adaptateur Web.

Après avoir installé et configuré ArcGIS Web Adaptor (Java Platform) avec votre serveur, vous devez configurer un domaine LDAP sur votre serveur d'applications Java et configurer la méthode d'authentification pour l'adaptateur Web. Pour obtenir des instructions, reportez-vous à la documentation produit du serveur d'applications Java ou consultez votre administrateur système.

Définir des autorisations pour les services Web ArcGIS

Dès que vous avez configuré vos paramètres de sécurité et défini des utilisateurs et des rôles, vous pouvez définir des autorisations pour les services afin de contrôler les utilisateurs autorisés à y accéder.

ArcGIS Server contrôle l'accès aux services Web SIG hébergés sur votre serveur à l'aide d'un modèle de contrôle d'accès basé sur les rôles. Dans ce modèle, l'autorisation d'accès à un service sécurisé est contrôlée en attribuant des rôles à ce service. Pour exploiter un service sécurisé, un utilisateur doit être membre d'un rôle auquel ont été affectées des autorisations d'accès.

Les autorisations peuvent être affectées à un service Web individuel ou au dossier parent contenant un groupe de services. Si vous attribuez des autorisations à un dossier, elles sont également transmises à tout service qu'il contient. Par exemple, si vous accordez à un rôle l'accès au dossier site (racine), les utilisateurs appartenant à ce rôle se voient accorder l'accès à tous les services hébergés sur ce site. Pour remplacer automatiquement les autorisations héritées par un service de son dossier parent, vous pouvez mettre à jour le service et supprimer explicitement ces autorisations.

Pour définir les autorisations d'un service, reportez-vous à la rubrique Mise à jour des autorisations dans le gestionnaire.