Lorsque vous utilisez Active Directory pour authentifier les utilisateurs, vous pouvez faire appel à une infrastructure à clé publique (PKI) pour un accès sécurisé à ArcGIS Server.
Pour utiliser l’authentification Windows intégrée et PKI, vous devez utiliser ArcGIS Web Adaptor (IIS) déployé sur le serveur web IIS de Microsoft. Vous ne pouvez pas utiliser ArcGIS Web Adaptor (Java Platform) pour réaliser l’authentification Windows intégrée. Si tel n’est pas encore le cas, installez et configurez ArcGIS Web Adaptor (IIS) avec votre site ArcGIS Server.
Remarque :
Si vous envisagez de fédérer votre site ArcGIS Server avec un portail et d’utiliser Active Directory et PKI avec le serveur, vous devez désactiver l’authentification de certificat client basée sur PKI sur votre site ArcGIS Server et activer l’accès anonyme avant de le fédérer avec le portail. Même si elle ne semble pas intuitive, cette démarche est nécessaire pour que votre site puisse être fédéré librement avec le portail et puisse lire les utilisateurs et rôles du portail. Vous pouvez ensuite configurer Active Directory et PKI avec le portail.
Configurer votre serveur avec Active Directory
Configurer la sécurité ArcGIS Server pour qu’elle utilise des utilisateurs et des rôles Active Directory
Pour prendre en charge l'authentification Windows intégrée, configurez ArcGIS Server pour qu'il récupère les utilisateurs et les rôles d'un serveur Windows Active Directory.
- Ouvrez Manager et connectez-vous en tant qu’administrateur de site principal. Vous devez utiliser le compte d'administrateur de site principal. Si vous avez besoin d’aide pour cette étape, reportez-vous à la rubrique Se connecter au gestionnaire.
- Cliquez surSécurité > Paramètres.
- Cliquez sur le bouton Modifier en regard de Paramètres de configuration.
- Sur la page Gestion des utilisateurs et des rôles, sélectionnez l'option Utilisateurs et rôles d'un systèmes d'entreprise existant (LDAP ou Domaine Windows), puis cliquez sur Suivant.
- Sur la page Type de magasin d'entreprise, sélectionnez l'option Domaine Windows, puis cliquez sur Suivant.
- Sur la page Windows Domain Credentials (Informations d’identification Windows), fournissez les identifiants de connexion d’un compte qui est autorisé à définir les groupes dans lesquels se trouvent les utilisateurs. Cliquez sur Next (Suivant).
Remarque :
Nous vous conseillons de spécifier un compte dont le mot de passe n'expire pas. Si cela n’est pas possible, vous devez répéter les étapes de cette section chaque fois que le mot de passe est modifié.
- Sur la page Niveau d'authentification, choisissez Niveau du Web.
- Passez en revue le récapitulatif des éléments que vous avez sélectionnés. Cliquez sur Terminer pour appliquer la configuration de sécurité et l'enregistrer.
Examiner les utilisateurs et les rôles
Après avoir configuré un domaine Active Directory en tant que magasin de rôles et d’utilisateurs, passez ces derniers en revue afin de vous assurer qu’ils ont été correctement extraits. Pour ajouter, modifier ou supprimer des utilisateurs et des rôles, vous devez utiliser les outils disponibles sur le serveur Active Directory.
- Dans le gestionnaire, cliquez sur Sécurité > Utilisateurs.
- Vérifiez que les utilisateurs ont été récupérés comme prévu du serveur de domaine Windows. Si Active Directory contient plusieurs domaines, les utilisateurs du domaine auquel appartient la machine du serveur SIG sont affichés. Pour afficher les utilisateurs d'autres domaines, indiquez la chaîne de recherche [nom de domaine]\ dans le champ Rechercher un utilisateur, puis cliquez sur le bouton Rechercher .
- Cliquez sur Rôles pour passer en revue les rôles récupérés du serveur de domaine Windows. Si Active Directory contient plusieurs domaines, les rôles du domaine auquel appartient la machine du serveur SIG sont affichés. Pour afficher les rôles d'autres domaines, indiquez la chaîne de recherche [nom de domaine]\ dans le champ Rechercher un rôle, puis cliquez sur le bouton Rechercher .
- Vérifiez que les rôles ont été récupérés comme prévu.
Configurez les privilèges d'administrateur et d'éditeur des utilisateurs Active Directory
ArcGIS Server autorise par défaut uniquement un accès d'administrateur principal du site au serveur. Si vous comptez utiliser des utilisateurs Active Directory pour administrer ArcGIS Server ou publier des services, vous devez procéder comme suit.
- Dans ArcGIS Server Manager, cliquez sur l’onglet Security (Sécurité) et ouvrez la page Users (Utilisateurs).
- A l'aide de l'outil Rechercher un utilisateur, localisez l'utilisateur auquel vous souhaitez attribuer des privilèges d'administrateur ou d'éditeur. Passez en revue les rôles dont fait partie cet utilisateur et choisissez celui auquel vous voulez attribuer des privilèges d’administrateur ou d’éditeur.
- Ouvrez la page Rôles et utilisez l'outil Rechercher un rôle pour localiser le rôle choisi à l'étape précédente.
- Cliquez sur le bouton Modifier en regard du rôle.
- Pour le paramètre Type de rôle, choisissez Editeur ou Administrateur.
- Cliquez sur Enregistrer pour appliquer les modifications.
Installer et activer l'authentification par mappage de certificat client Active Directory
Le mappage de certificat client Active Directory n'est pas disponible dans l'installation par défaut d'IIS. Vous devez installer et activer la fonctionnalité.
Installer l'authentification par mappage de certificat client
Les instructions d'installation de cette fonctionnalité varient selon votre système d'exploitation.
Windows Server 2016
- Ouvrez Outils d'administration et cliquez sur Gestionnaire de serveur.
- Dans le volet de l'arborescence du Gestionnaire de serveur, développez Rôles et cliquez sur Serveur Web (IIS).
- Développez les rôles Web Server (Serveur web) et Security (Sécurité).
- Dans la section du rôle Security (Sécurité), sélectionnez Client Certificate Mapping Authentication (Authentification par mappage de certificat client) et cliquez sur Next (Suivant).
- Cliquez sur Next (Suivant) dans l’onglet Select Features (Sélectionner des entités) puis cliquez sur Install (Installer).
Windows Server 2008 R2 et 2012/R2
- Ouvrez Outils d'administration et cliquez sur Gestionnaire de serveur.
- Dans le volet de l'arborescence du Gestionnaire de serveur, développez Rôles et cliquez sur Serveur Web (IIS).
- Faites défiler l'affichage jusqu'à la section Services de rôle et cliquez sur Ajouter des services de rôle.
- Dans la page Sélectionner des services de rôle de l'Assistant Ajout de services de rôle, sélectionnez Authentification par mappage de certificat client et cliquez sur Suivant.
- Cliquez sur Installer.
Windows 7, 8 et 8.1
- Ouvrez le Panneau de configuration et cliquez sur Programmes et fonctionnalités > Activer ou désactiver des fonctionnalités Windows.
- Développez Services Internet (IIS) > Services World Wide Web > Sécurité et sélectionnez Authentification par mappage de certificat client.
- Cliquez sur OK.
Activer l'authentification par mappage de certificat client Active Directory
Une fois le mappage de certificat client Active Directory installé, activez la fonctionnalité en procédant comme suit.
- Démarrez le Gestionnaire des services Internet (IIS).
- Dans le nœud Connexions, cliquez sur le nom de votre serveur Web.
- Double-cliquez sur Authentification dans la fenêtre Vue des fonctionnalités.
- Vérifiez que l'option Authentification du certificat client Active Directory est affichée. Si la fonctionnalité n'est pas affichée ou disponible, vous pouvez être amené à redémarrer votre serveur Web pour terminer l'installation de la fonctionnalité Authentification du certificat client Active Directory.
- Double-cliquez sur Authentification du certificat client Active Directory et sélectionnez Activer dans la fenêtre Actions.
Un message s'affiche, indiquant que l'authentification SSL doit être activée pour que vous puissiez utiliser l'authentification du certificat client Active Directory. Ceci fait l'objet de la section suivante.
Configurer ArcGIS Web Adaptor pour qu'il exige des certificats SSL et clients
- Démarrez le Gestionnaire des services Internet (IIS).
- Développez le nœud Connexions et sélectionnez le site de votre adaptateur Web.
- Double-cliquez sur Authentification dans la fenêtre Vue des fonctionnalités.
- Désactivez toutes les formes d'authentification.
- Sélectionnez à nouveau votre ArcGIS Web Adaptor dans la liste Connexions.
- Double-cliquez sur Paramètres SSL.
- Activez l'option Exiger SSL et sélectionnez l'option Demander sous Certificats clients.
- Cliquez sur Appliquer pour enregistrer les modifications.
Vérifier que vous pouvez accéder au site avec Active Directory et PKI
- Ouvrez le répertoire des services. L’URL est au format https://webadaptorhost.domain.com/webadaptorname/rest/services.
- Vérifiez que vous êtes invité à saisir vos informations d'identification de sécurité et pouvez accéder au site Web.
Vous avez un commentaire à formuler concernant cette rubrique ?