Skip To Content

Utilisation de Windows Active Directory et d'une infrastructure PKI pour sécuriser l'accès à ArcGIS Server

Lorsque vous utilisez Windows Active Directory pour authentifier les utilisateurs, vous pouvez faire appel à une infrastructure à clé publique (PKI) pour un accès sécurisé à ArcGIS Server.

Pour utiliser l'authentification Windows intégrée et PKI, vous devez utiliser ArcGIS Web Adaptor (IIS) déployé sur le serveur Web IIS de Microsoft. Vous ne pouvez pas utiliser ArcGIS Web Adaptor (Java Platform) pour effectuer l'authentification Windows intégrée. Si tel n'est pas encore le cas, installez et configurez ArcGIS Web Adaptor (IIS) avec votre site ArcGIS Server.

Remarque :

Si vous envisagez d'ajouter votre site ArcGIS Server dans un portail et souhaitez utiliser Windows Active Directory et PKI avec le serveur, vous devez désactiver l'authentification de certificat client basée sur une PKI sur votre site ArcGIS Server et activer l'accès anonyme avant de l'ajouter au portail. Même si elle ne semble pas intuitive, cette démarche est nécessaire pour que votre site puisse être fédéré librement avec le portail et puisse lire les utilisateurs et rôles du portail. Si votre site ArcGIS Server n'utilise pas encore l'authentification de certificat client basée sur PKI, aucune action n'est requise de votre part. Pour savoir comment ajouter un serveur sur votre portail, reportez-vous à la rubrique Fédération d'un site ArcGIS Server avec votre portail.

Configurer votre serveur avec Windows Active Directory

Configurer la sécurité d'ArcGIS Server de manière à utiliser des utilisateurs et des rôles Windows Active Directory

Pour prendre en charge l'authentification Windows intégrée, configurez ArcGIS Server pour qu'il récupère les utilisateurs et les rôles d'un serveur Windows Active Directory.

  1. Ouvrez le gestionnaire et connectez-vous en tant qu'administrateur de site principal. Vous devez utiliser le compte d'administrateur de site principal. Si vous avez besoin d'aide pour cette étape, reportez-vous à la rubrique Connexion au gestionnaire.
  2. Cliquez surSécurité > Paramètres.
  3. Cliquez sur le bouton Modifier Mise à jour en regard de Paramètres de configuration.
  4. Sur la page Gestion des utilisateurs et des rôles, sélectionnez l'option Utilisateurs et rôles d'un systèmes d'entreprise existant (LDAP ou Domaine Windows), puis cliquez sur Suivant.
  5. Sur la page Type de magasin d'entreprise, sélectionnez l'option Domaine Windows, puis cliquez sur Suivant.
  6. Sur la page Informations d'identification Windows, fournissez les informations d'identification d'un compte qui est autorisé à définir les utilisateurs de groupes qu'il contient. Cliquez sur Suivant. Cliquez sur Suivant.
    Remarque :

    Nous vous conseillons de spécifier un compte dont le mot de passe n'expire pas. Si ce n'est pas possible, vous devrez répéter les étapes de cette section chaque fois que le mot de passe permettant d'accéder au compte est modifié.

  7. Sur la page Niveau d'authentification, choisissez Niveau du Web.
  8. Passez en revue le récapitulatif des éléments que vous avez sélectionnés. Cliquez sur Terminer pour appliquer la configuration de sécurité et l'enregistrer.

Examiner les utilisateurs et les rôles

Après avoir configuré un domaine Windows Active Directory en tant que magasin de rôles et d'utilisateurs, passez ces derniers en revue afin de vous assurer qu'ils ont été récupérés correctement. Pour ajouter, modifier ou supprimer des utilisateurs et des rôles, vous devez utiliser les outils disponibles sur le serveur Active Directory.

  1. Dans le gestionnaire, cliquez sur Sécurité > Utilisateurs.
  2. Vérifiez que les utilisateurs ont été récupérés comme prévu du serveur de domaine Windows. Si Active Directory contient plusieurs domaines, les utilisateurs du domaine auquel appartient la machine du serveur SIG sont affichés. Pour afficher les utilisateurs d'autres domaines, indiquez la chaîne de recherche [nom de domaine]\ dans le champ Rechercher un utilisateur, puis cliquez sur le bouton Rechercher Rechercher.
  3. Cliquez sur Rôles pour passer en revue les rôles récupérés du serveur de domaine Windows. Si Active Directory contient plusieurs domaines, les rôles du domaine auquel appartient la machine du serveur SIG sont affichés. Pour afficher les rôles d'autres domaines, indiquez la chaîne de recherche [nom de domaine]\ dans le champ Rechercher un rôle, puis cliquez sur le bouton Rechercher Rechercher.
  4. Vérifiez que les rôles ont été récupérés comme prévu.

Configurez les privilèges d'administrateur et d'éditeur des utilisateurs Active Directory

ArcGIS Server autorise par défaut uniquement un accès d'administrateur principal du site au serveur. Si vous comptez utiliser des utilisateurs Active Directory pour administrer ArcGIS Server ou publier des services, vous devez procéder comme suit.

  1. Dans ArcGIS Server Manager, cliquez sur l'onglet Sécurité et ouvrez la page Utilisateurs.
  2. A l'aide de l'outil Rechercher un utilisateur, localisez l'utilisateur auquel vous souhaitez attribuer des privilèges d'administrateur ou d'éditeur. Passez en revue les rôles dont fait partie cet utilisateur et choisissez celui auquel vous voulez attribuer des privilèges d'administrateur ou d'éditeur.
  3. Ouvrez la page Rôles et utilisez l'outil Rechercher un rôle pour localiser le rôle choisi à l'étape précédente.
  4. Cliquez sur le bouton Modifier Mise à jour en regard du rôle.
  5. Pour le paramètre Type de rôle, choisissez Editeur ou Administrateur.
  6. Cliquez sur Enregistrer pour appliquer les modifications.

Installer et activer l'authentification par mappage de certificat client Active Directory

Le mappage de certificat client Active Directory n'est pas disponible dans l'installation par défaut d'IIS. Vous devez installer et activer la fonctionnalité.

Installer l'authentification par mappage de certificat client

Les instructions d'installation de cette fonctionnalité varient selon votre système d'exploitation.

Windows Server 2008/R2 et 2012/R2

  1. Ouvrez Outils d'administration et cliquez sur Gestionnaire de serveur.
  2. Dans le volet de l'arborescence du Gestionnaire de serveur, développez Rôles et cliquez sur Serveur Web (IIS).
  3. Faites défiler l'affichage jusqu'à la section Services de rôle et cliquez sur Ajouter des services de rôle.
  4. Dans la page Sélectionner des services de rôle de l'Assistant Ajout de services de rôle, sélectionnez Authentification par mappage de certificat client et cliquez sur Suivant.
  5. Cliquez sur Installer.

Windows 7, 8 et 8.1

  1. Ouvrez le Panneau de configuration et cliquez sur Programmes et fonctionnalités > Activer ou désactiver des fonctionnalités Windows.
  2. Développez Services Internet (IIS) > Services World Wide Web > Sécurité et sélectionnez Authentification par mappage de certificat client.
  3. Cliquez sur OK.

Activer l'authentification par mappage de certificat client Active Directory

Une fois le mappage de certificat client Active Directory installé, activez la fonctionnalité en procédant comme suit.

  1. Démarrez le Gestionnaire des services Internet (IIS).
  2. Dans le nœud Connexions, cliquez sur le nom de votre serveur Web.
  3. Double-cliquez sur Authentification dans la fenêtre Vue des fonctionnalités.
  4. Vérifiez que l'option Authentification du certificat client Active Directory est affichée. Si la fonctionnalité n'est pas affichée ou disponible, vous pouvez être amené à redémarrer votre serveur Web pour terminer l'installation de la fonctionnalité Authentification du certificat client Active Directory.
  5. Double-cliquez sur Authentification du certificat client Active Directory et sélectionnez Activer dans la fenêtre Actions.

Un message s'affiche, indiquant que l'authentification SSL doit être activée pour que vous puissiez utiliser l'authentification du certificat client Active Directory. Ceci fait l'objet de la section suivante.

Configurer ArcGIS Web Adaptor pour qu'il exige des certificats SSL et clients

  1. Démarrez le Gestionnaire des services Internet (IIS).
  2. Développez le nœud Connexions et sélectionnez le site de votre adaptateur Web.
  3. Double-cliquez sur Authentification dans la fenêtre Vue des fonctionnalités.
  4. Désactivez toutes les formes d'authentification.
  5. Sélectionnez à nouveau votre ArcGIS Web Adaptor dans la liste Connexions.
  6. Double-cliquez sur Paramètres SSL.
  7. Activez l'option Exiger SSL et sélectionnez l'option Demander sous Certificats clients.
  8. Cliquez sur Appliquer pour enregistrer les modifications.

Vérifiez que vous pouvez accéder au site avec Windows Active Directory et PKI

  1. Ouvrez le répertoire des services. L'URL est au format suivant : https://webadaptorhost.domain.com/webadaptorname/rest/services.
  2. Vérifiez que vous êtes invité à saisir vos informations d'identification de sécurité et pouvez accéder au site Web.