Vous pouvez configurer un site ArcGIS Server autonome de telle sorte qu’il utilise les informations sur les utilisateurs et les rôles stockées dans un répertoire LDAP, tel que Microsoft Active Directory ou Apache Directory Server. Lorsqu’il est configuré de la sorte, il remplace l’utilisation du magasin d’identités intégré du serveur pour gérer les utilisateurs et les rôles. ArcGIS Server traite le répertoire LDAP comme une source d’informations en lecture seule sur les utilisateurs et les rôles. Par conséquent, vous ne pouvez pas utiliser ArcGIS Server Manager pour ajouter ou supprimer des utilisateurs et des rôles, ou encore modifier leurs attributs.
Remarque :
Lorsqu’un site ArcGIS Server est fédéré à un portail ArcGIS Enterprise, il adopte les paramètres de sécurité et de partage du portail. Consultez la rubrique Utiliser votre portail avec LDAP ou Active Directory et la méthode d'authentification au niveau du portail pour découvrir le processus équivalent dans le portail.
Pour utiliser LDAP, vous devez déployer votre instance Web Adaptor sur un serveur d’application Java, tel que Apache Tomcat, IBM WebSphere ou Oracle WebLogic. Vous ne pouvez pas utiliser ArcGIS Web Adaptor (IIS) pour effectuer l'authentification au niveau du Web avec LDAP.
Vous pouvez configurer un répertoire LDAP pour gérer les utilisateurs et les rôles de votre serveur en procédant comme suit :
- Configurer les paramètres de sécurité.
- Passez en revue les utilisateurs et les rôles.
- Configurer la méthode d'authentification au niveau du Web sur l'adaptateur Web de votre serveur
- Contrôler les autorisations pour les services.
Configurez les paramètres de sécurité.
Procédez comme suit pour configurer la sécurité à l'aide du gestionnaire :
- Ouvrez le gestionnaire et connectez-vous en tant qu'administrateur de site principal. Vous devez utiliser le compte d'administrateur de site principal. Si vous avez besoin d’aide pour cette étape, reportez-vous à la rubrique Se connecter au gestionnaire.
- Cliquez surSécurité > Paramètres.
- Cliquez sur le bouton Modifier
en regard de Paramètres de configuration.
- Sur la page Gestion des utilisateurs et des rôles, sélectionnez l'option Utilisateurs et rôles d'un systèmes d'entreprise existant (LDAP ou Domaine Windows), puis cliquez sur Suivant.
- Sur la page Type de magasin d'entreprise, sélectionnez l'option LDAP, puis cliquez sur Suivant.
- Sur la page suivante, vous devez saisir les paramètres de connexion au répertoire LDAP. Cliquez sur Test Connection (Tester la connexion) pour créer un test de connexion au répertoire LDAP. Si la tentative de connexion aboutit, cliquez sur Suivant. Le tableau ci-dessous décrit les paramètres de cette page :
Paramètre Description Exemple Nom d’hôte
Nom de la machine hôte sur laquelle répertoire LDAP s’exécute.
myservername
Port
Numéro de port de la machine hôte sur laquelle le répertoire LDAP écoute les connexions entrantes. Si le répertoire LDAP prend en charge les connexions sécurisées (ldaps), ArcGIS Server passe automatiquement au protocole ldaps. Si le port spécifié est 10389, ArcGIS Server établit une connexion sécurisée avec le port 10636. Si le port spécifié est 389, ArcGIS Server établit une connexion sécurisée avec le port 636.
10636
636
DN de base
Nom distinctif (DN) du nœud sur le serveur de répertoires sous lequel sont conservées les informations sur l'utilisateur.
ou=users,ou=arcgis,dc=mydomain,dc=com
URL
URL LDAP qui sera utilisée pour la connexion au répertoire LDAP (elle est générée automatiquement). Modifiez cette URL si elle est incorrecte ou si elle nécessite des modifications. Si votre répertoire LDAP n’utilise pas le port 636 standard pour les connexions sécurisées, vous devez spécifier ici le numéro de port personnalisé.
ldaps://myservername:636/ou=users,ou=arcgis,dc=mydomain,dc=com
ldaps://myservername:10636/ou=users,ou=arcgis,dc=mydomain,dc=com
ldaps://myservername:10300/ou=users,ou=arcgis,dc=mydomain,dc=com (port personnalisé)
Attribut RDN
Attribut de nom distinctif relatif (RDN) relatif aux entrées utilisateur dans le répertoire LDAP.
Pour le DN "cn=john,ou=users,ou=arcgis,dc=mydomain,dc=com", le RDN est "cn=john" et l'attribut RDN est cn.
Pour le DN "uid=john,ou=users,ou=arcgis,dc=mydomain,dc=com", le RDN est "uid=john" et l'attribut RDN est uid.
DN de l’administrateur
DN d'un compte d'administrateur LDAP qui a accès au nœud contenant des informations sur l'utilisateur.
Nous vous conseillons de spécifier un compte d'administrateur dont le mot de passe n'expire pas. Si cela n’est pas possible, vous devez répéter les étapes de cette section chaque fois que le mot de passe est modifié.
uid=admin,ou=administrators,dc=mydomain,dc=com
Mot de passe
Mot de passe de l’administrateur.
adminpassword
- Sur la page suivante, saisissez les paramètres permettant d’extraire les rôles du répertoire LDAP. Vous trouverez une description détaillée des paramètres dans le tableau ci-dessous :
Paramètre Description Exemple DN de base
Nom distinctif (DN) du nœud sur le serveur de répertoires sous lequel sont conservées les informations sur le rôle.
ou=roles,ou=arcgis,dc=mydomain,dc=com
URL
URL LDAP qui sera utilisée pour se connecter au serveur (elle est générée automatiquement). Modifiez cette URL si elle est incorrecte ou si elle nécessite des modifications.
ldaps://myservername:10636/ou=roles,ou=arcgis,dc=mydomain,dc=com
Attribut Utilisateur dans l’entrée Rôle
Nom de l'attribut dans l'entrée de rôle qui contient le DN des utilisateurs qui sont membres de ce rôle.
Dans Apache Directory Server, le nom d'attribut le plus fréquemment utilisé est uniqueMember. Dans Microsoft Active Directory, il s'agit de member.
- Une fois les paramètres saisis, cliquez sur Next (Suivant).
- Sur la page Niveau d'authentification, sélectionnez l'emplacement d'exécution de l'authentification et cliquez sur Suivant. Pour plus d’informations sur cette option, reportez-vous à la rubrique Configurer la sécurité d’ArcGIS Server.
- Passez en revue le récapitulatif des éléments que vous avez sélectionnés. Cliquez sur Précédent pour effectuer des modifications ou sur Terminer pour appliquer la configuration de sécurité et l'enregistrer.
Examiner les utilisateurs et les rôles
Après avoir configuré la sécurité afin d'utiliser le magasin pour la gestion des rôles et des utilisateurs, passez-les en revue afin de vous assurer qu'ils ont été importés correctement. Pour ajouter, modifier ou supprimer des utilisateurs et des rôles, vous devez utiliser les outils de gestion des utilisateurs proposés par votre fournisseur LDAP.
- Dans le gestionnaire, cliquez sur Sécurité > Utilisateurs.
- Vérifiez que les utilisateurs ont été extraits comme prévu du répertoire LDAP.
- Cliquez sur Roles (Rôles) pour passer en revue les rôles extraits du répertoire LDAP.
- Vérifiez que les rôles ont été extraits comme prévu du répertoire LDAP. Cliquez sur le bouton Mettre à jour en regard d'un rôle pour vérifier l'appartenance à un rôle. Modifiez la valeur Type de rôle suivant vos besoins. Pour en savoir plus sur les types de rôle, reportez-vous à la rubrique Restreindre l’accès à ArcGIS Server.
Mise en cache des utilisateurs et des rôles
À compter de la version 10.5, les utilisateurs et les rôles LDAP sont mis en cache sur le serveur après une demande d’utilisateurs ou de rôles. Cela optimise la performance de vos services sécurisés. Par défaut, les utilisateurs et les rôles seront mis en cache pendant 30 minutes. Vous pouvez modifier cette période en définissant la propriété minutesToCacheUsersAndRoles sur une autre valeur dans le répertoire administrateur ArcGIS Server sous les propriétés système. Vous pouvez également désactiver la mise en cache en définissant la propriété sur zéro.
Configurer la méthode d'authentification au niveau du Web sur l'adaptateur Web de votre serveur
L'annuaire LDAP nécessite une authentification au niveau du Web qui doit être réalisée à l'aide d'ArcGIS Web Adaptor (Java Platform). L’adaptateur web utilise le serveur d’application Java pour authentifier l’utilisateur et fournir à l’adaptateur web le nom du compte de l’utilisateur. Une fois qu'il dispose du nom du compte, il le transmet au serveur.
Remarque :
Lorsque vous configurez Web Adaptor, vous devez activer l’administration via Web Adaptor. Cela permet aux utilisateurs figurant dans le magasin d’identités propre à votre organisation de publier des services à partir de ArcGIS Pro. Lorsque les utilisateurs se connectent au serveur avec ces rôles dans ArcGIS Pro, ils doivent spécifier l’URL du Web Adaptor.
Après avoir installé et configuré ArcGIS Web Adaptor avec votre serveur, vous devez configurer un domaine LDAP sur votre serveur d’application Java et configurer la méthode d’authentification pour Web Adaptor. Pour obtenir des instructions, reportez-vous à la documentation produit du serveur d'applications Java ou consultez votre administrateur système.
Contrôler les autorisations pour les services
Dès que vous avez configuré vos paramètres de sécurité et défini des utilisateurs et des rôles, vous pouvez définir des autorisations pour les services afin de contrôler les utilisateurs autorisés à y accéder.
ArcGIS Server contrôle l’accès aux services à l’aide d’un modèle de contrôle d’accès basé sur les rôles. Dans ce modèle, l'autorisation d'accès à un service sécurisé est contrôlée en attribuant des rôles à ce service. Pour exploiter un service sécurisé, un utilisateur doit être membre d'un rôle auquel ont été affectées des autorisations d'accès.
Pour modifier les autorisations d’un service, reportez-vous à la rubrique Contrôler l’accès à vos services.
Vous avez un commentaire à formuler concernant cette rubrique ?