Lorsque vous utilisez Active Directory pour authentifier les utilisateurs, vous pouvez faire appel à une infrastructure à clé publique (PKI) pour un accès sécurisé à ArcGIS Server.
Pour utiliser l’authentification Windows intégrée et PKI, vous devez utiliser ArcGIS Web Adaptor (IIS) déployé sur le serveur Web IIS de Microsoft. Vous ne pouvez pas utiliser ArcGIS Web Adaptor (Java Platform) pour procéder à l’authentification intégrée. Pour savoir comment installer et configurer ArcGIS Web Adaptor (IIS) avec votre site ArcGIS Server, reportez-vous au Guide d’installationArcGIS Web Adaptor (IIS).
Remarque :
Si vous envisagez de fédérer un site ArcGIS Server avec un portail et d’utiliser Active Directory et PKI avec le serveur, vous devez désactiver l’authentification de certificat client basée sur PKI sur le site ArcGIS Server et activer l’accès anonyme avant de le fédérer avec le portail. Même si elle ne semble pas intuitive, cette démarche est nécessaire pour que votre site puisse être fédéré librement avec le portail et puisse lire les utilisateurs et rôles du portail. Vous pouvez ensuite configurer Active Directory et PKI avec le portail.
Configurer un serveur avec Active Directory
Consultez les sections suivantes pour configurer un serveur avec Active Directory.
Configurer la sécurité de ArcGIS Server pour utiliser des utilisateurs et des rôles Active Directory
Pour prendre en charge l’authentification Windows intégrée, configurez ArcGIS Server afin de récupérer les utilisateurs et les rôles d’un serveur Windows Active Directory.
- Ouvrez Manager et connectez-vous en tant qu’administrateur de site principal. Si vous avez besoin d’aide pour cette étape, reportez-vous à la rubrique Se connecter au gestionnaire.
Vous devez utiliser le compte d'administrateur de site principal.
- Cliquez surSécurité > Paramètres.
- Cliquez sur le bouton Modifier
en regard de Paramètres de configuration. - Sur la page Gestion des utilisateurs et des rôles, sélectionnez l'option Utilisateurs et rôles d'un systèmes d'entreprise existant (LDAP ou Domaine Windows), puis cliquez sur Suivant.
- Sur la page Type de magasin d'entreprise, sélectionnez l'option Domaine Windows, puis cliquez sur Suivant.
- Sur la page Windows Domain Credentials (Informations d’identification Windows), fournissez les identifiants de connexion d’un compte qui est autorisé à définir les groupes dans lesquels se trouvent les utilisateurs. Cliquez sur Next (Suivant).
Remarque :
Nous vous conseillons de spécifier un compte dont le mot de passe n'expire pas. Si cela n’est pas possible, vous devez répéter les étapes de cette section chaque fois que le mot de passe est modifié.
- Sur la page Niveau d'authentification, choisissez Niveau du Web.
- Passez en revue le récapitulatif des éléments que vous avez sélectionnés. Cliquez sur Terminer pour appliquer la configuration de sécurité et l'enregistrer.
Examiner les utilisateurs et les rôles
Après avoir configuré un domaine Active Directory en tant que magasin de rôles et d’utilisateurs, passez ces derniers en revue afin de vous assurer qu’ils ont été correctement extraits. Pour ajouter, modifier ou supprimer des utilisateurs et des rôles, vous devez utiliser les outils disponibles sur le serveur Active Directory.
- Dans le gestionnaire, cliquez sur Sécurité > Utilisateurs.
- Vérifiez que les utilisateurs ont été récupérés comme prévu du serveur de domaine Windows.
Si Active Directory contient plusieurs domaines, les utilisateurs du domaine auquel appartient la machine du serveur SIG sont affichés.
- Pour afficher les utilisateurs d'autres domaines, indiquez la chaîne de recherche [nom de domaine]\ dans le champ Rechercher un utilisateur, puis cliquez sur le bouton Rechercher
. - Cliquez sur Roles (Rôles) pour passer en revue les rôles récupérés du serveur de domaine Windows.
Si Active Directory contient plusieurs domaines, les rôles du domaine auquel appartient la machine du serveur SIG sont affichés.
- Pour afficher les rôles d'autres domaines, indiquez la chaîne de recherche [nom de domaine]\ dans le champ Rechercher un rôle, puis cliquez sur le bouton Rechercher .
- Vérifiez que les rôles ont été récupérés comme prévu.
Configurez les privilèges d'administrateur et d'éditeur des utilisateurs Active Directory
Par défaut, ArcGIS Server autorise uniquement un accès d’administrateur principal du site au serveur. Si vous comptez utiliser des utilisateurs Active Directory pour administrer ArcGIS Server ou publier des services, vous devez procéder comme suit.
- Dans ArcGIS Server Manager, cliquez sur l’onglet Security (Sécurité) et ouvrez la page Users (Utilisateurs).
- A l'aide de l'outil Rechercher un utilisateur, localisez l'utilisateur auquel vous souhaitez attribuer des privilèges d'administrateur ou d'éditeur. Passez en revue les rôles dont fait partie cet utilisateur et choisissez celui auquel vous voulez attribuer des privilèges d’administrateur ou d’éditeur.
- Ouvrez la page Rôles et utilisez l'outil Rechercher un rôle pour localiser le rôle choisi à l'étape précédente.
- Cliquez sur le bouton Modifier en regard du rôle.
- Pour le paramètre Type de rôle, choisissez Editeur ou Administrateur.
- Cliquez sur Enregistrer pour appliquer les modifications.
Installer et activer l'authentification par mappage de certificat client Active Directory
Le mappage de certificat client Active Directory n'est pas disponible dans l'installation par défaut d'IIS. Vous devez installer et activer la fonctionnalité.
Installer l'authentification par mappage de certificat client
Les instructions d'installation de cette fonctionnalité varient selon votre système d'exploitation.
Installation avec Windows Server 2016
Procédez comme suit pour une installation avec Windows Server 2016 :
- Ouvrez Outils d'administration et cliquez sur Gestionnaire de serveur.
- Dans le volet de l'arborescence du Gestionnaire de serveur, développez Rôles et cliquez sur Serveur Web (IIS).
- Développez les rôles Web Server (Serveur web) et Security (Sécurité).
- Dans la section du rôle Security (Sécurité), sélectionnez Client Certificate Mapping Authentication (Authentification par mappage de certificat client) et cliquez sur Next (Suivant).
- Cliquez sur Next (Suivant) dans l’onglet Select Features (Sélectionner des entités) puis cliquez sur Install (Installer).
Installation avec Windows Server 2008 R2 et 2012/R2
Procédez comme suit pour une installation avec Windows Server 2008 R2 et 2012/R2 :
- Ouvrez Outils d'administration et cliquez sur Gestionnaire de serveur.
- Dans le volet de l'arborescence du Gestionnaire de serveur, développez Rôles et cliquez sur Serveur Web (IIS).
- Faites défiler l'affichage jusqu'à la section Services de rôle et cliquez sur Ajouter des services de rôle.
- Dans la page Select Role Services (Sélectionner des services de rôle) de l’Assistant Ajout de services de rôle, sélectionnez Client Certificate Mapping Authentication (Authentification par mappage de certificat client) et cliquez sur Next (Suivant).
- Cliquez sur Installer.
Installation avec Windows 7, 8 et 8.1
- Ouvrez le Panneau de configuration et cliquez sur Programmes et fonctionnalités > Activer ou désactiver des fonctionnalités Windows.
- Développez Services Internet (IIS) > Services World Wide Web > Sécurité et sélectionnez Authentification par mappage de certificat client.
- Cliquez sur OK.
Activer l'authentification par mappage de certificat client Active Directory
Une fois le mappage de certificat client Active Directory installé, activez la fonctionnalité en procédant comme suit.
- Démarrez le Gestionnaire des services Internet (IIS).
- Dans le nœud Connexions, cliquez sur le nom de votre serveur Web.
- Double-cliquez sur Authentification dans la fenêtre Vue des fonctionnalités.
- Vérifiez que l'option Authentification du certificat client Active Directory est affichée.
Si la fonctionnalité n'est pas affichée ou disponible, vous pouvez être amené à redémarrer votre serveur Web pour terminer l'installation de la fonctionnalité Authentification du certificat client Active Directory.
- Double-cliquez sur Authentification du certificat client Active Directory et sélectionnez Activer dans la fenêtre Actions.
Un message s'affiche, indiquant que l'authentification SSL doit être activée pour que vous puissiez utiliser l'authentification du certificat client Active Directory. Ceci fait l'objet de la section suivante.
Configurer ArcGIS Web Adaptor pour demander des certificats SSL et clients
Procédez comme suit afin de configurer ArcGIS Web Adaptor pour demander des certificats SSL et clients :
- Démarrez le Gestionnaire des services Internet (IIS).
- Développez le nœud Connections (Connexions) et sélectionnez votre site ArcGIS Web Adaptor.
- Double-cliquez sur Authentification dans la fenêtre Vue des fonctionnalités.
- Désactivez toutes les formes d'authentification.
- Sélectionnez à nouveau votre Web Adaptor dans la liste Connections (Connexions).
- Double-cliquez sur Paramètres SSL.
- Activez l'option Exiger SSL et sélectionnez l'option Demander sous Certificats clients.
- Cliquez sur Appliquer pour enregistrer les modifications.
Vérifier que vous pouvez accéder au site avec Active Directory et PKI
Procédez comme suit pour vérifier que vous pouvez accéder au site :
- Ouvrez le répertoire des services.
L’URL est au format suivant : https://webadaptorhost.domain.com/webadaptorname/rest/services.
- Vérifiez que vous êtes invité à saisir vos informations d'identification de sécurité et pouvez accéder au site Web.
Vous avez un commentaire à formuler concernant cette rubrique ?