Vous pouvez configurer l’authentification au niveau du Web pour votre site ArcGIS Server à l’aide de l’authentification Windows intégrée. Pour ce faire, les utilisateurs et rôles doivent être gérés dans un serveur Active Directory. Cette approche peut s’avérer utile si vous souhaitez que les utilisateurs tirent parti des comptes de domaine Windows dont ils disposent déjà sur votre réseau.
Remarque :
Si votre site ArcGIS Server est fédéré avec un portail, vous devez sécuriser l’accès via le portail au lieu de suivre les étapes présentées dans cette rubrique. Reportez-vous à la rubrique Utiliser l'authentification Windows intégrée avec votre portail pour en savoir plus.
Pour utiliser l’authentification Windows intégrée, vous devez utiliser ArcGIS Web Adaptor (IIS)déployé sur le serveur Web IIS de Microsoft. Vous ne pouvez pas utiliser ArcGIS Web Adaptor (Java Platform) pour effectuer l’authentification Windows intégrée.
Si vos paramètres de connexion interdisent l’accès à la machine sur laquelle est hébergé Active Directory, une erreur survient lors de la configuration de la sécurité. Il n'est pas nécessaire d'accorder à l'utilisateur des paramètres de la stratégie de groupe Ouvrir une session localement. Pour plus d'informations, reportez-vous à la rubrique Considérations avancées lors de l'utilisation de comptes de domaine.
Pour configurer l’authentification Windows intégrée avec votre site de serveur, procédez comme suit :
- Configurer ArcGIS Web Adaptor (IIS) pour utiliser l’authentification Windows
- Configurer ArcGIS Server pour utiliser des utilisateurs et des rôles Windows Active Directory
- Examiner les utilisateurs et les rôles
- Configurer les privilèges d’administrateur et d’éditeur des utilisateurs Active Directory
- Définir des autorisations pour les services
- Tester l'accès aux services sécurisés
Configurer ArcGIS Web Adaptor (IIS) pour utiliser l’authentification Windows
L'adaptateur web utilise IIS pour authentifier l'utilisateur et fournir à l'adaptateur web le nom du compte de l'utilisateur. Une fois qu’il connaît le nom de compte, il le transmet à ArcGIS Server.
- Installez ArcGIS Web Adaptor (IIS) en suivant les intructions présentées dans la rubrique Installation de ArcGIS Web Adaptor (IIS).
- Configurez l'adaptateur web en suivant les instructions de la rubrique Configuration d'ArcGIS Web Adaptor après l'installation.
Remarque :
Lorsque vous configurez ArcGIS Web Adaptor, vous devez activer l’administration via Web Adaptor. Ainsi, les utilisateurs dans Windows Active Directory peuvent publier des services depuis ArcGIS Pro. Lorsque les utilisateurs se connectent au serveur avec ces rôles dans ArcGIS Pro, ils doivent spécifier l’URL du Web Adaptor.
- Définissez la méthode d'authentification de l'adaptateur web à l'aide du Gestionnaire des services Internet (IIS).
- Pour ouvrir le Gestionnaire des services Internet (IIS), cliquez sur Démarrer > Panneau de configuration > Outils d'administration > Gestionnaire des services Internet (IIS).
- Sous Sites, développez l'arborescence de gauche du Gestionnaire des services Internet (IIS). Développez Default Web Site (Site Web par défaut) pour rechercher l’application ArcGIS Web Adaptor (IIS). Par défaut, ArcGIS Web Adaptor (IIS) est nommé arcgis.
- Modifiez la propriété d'authentification de l'adaptateur web. Désélectionnez l'authentification Anonyme et sélectionnez Authentification Windows.
- Fermez le Gestionnaire des services Internet.
Configurer la sécurité de ArcGIS Server pour utiliser des utilisateurs et des rôles Windows Active Directory
Pour prendre en charge l’authentification Windows intégrée, configurez ArcGIS Server afin de récupérer les utilisateurs et les rôles d’un serveur Windows Active Directory.
- Ouvrez Manager et connectez-vous en tant qu’administrateur de site principal. Vous devez utiliser le compte d'administrateur de site principal. Si vous avez besoin d’aide pour cette étape, reportez-vous à la rubrique Se connecter au gestionnaire.
- Cliquez surSécurité > Paramètres.
- Cliquez sur le bouton Modifier
en regard de Paramètres de configuration. - Sur la page Gestion des utilisateurs et des rôles, sélectionnez l'option Utilisateurs et rôles d'un systèmes d'entreprise existant (LDAP ou Domaine Windows), puis cliquez sur Suivant.
- Sur la page Type de magasin d'entreprise, sélectionnez l'option Domaine Windows, puis cliquez sur Suivant.
- Sur la page Windows Domain Credentials (Informations d’identification Windows), fournissez les identifiants de connexion d’un compte qui est autorisé à définir les groupes dans lesquels se trouvent les utilisateurs. Cliquez sur Next (Suivant).
Remarque :
Nous vous conseillons de spécifier un compte dont le mot de passe n'expire pas. Si cela n’est pas possible, vous devez répéter les étapes de cette section chaque fois que le mot de passe est modifié.
- Sur la page Niveau d'authentification, choisissez Niveau du Web.
- Passez en revue le récapitulatif des éléments que vous avez sélectionnés. Cliquez sur Terminer pour appliquer la configuration de sécurité et l'enregistrer.
Examiner les utilisateurs et les rôles
Après avoir configuré un domaine Windows Active Directory en tant que magasin de rôles et d’utilisateurs, passez ces derniers en revue afin de vous assurer qu’ils ont été récupérés correctement. Pour ajouter, modifier ou supprimer des utilisateurs et des rôles, vous devez utiliser les outils disponibles sur le serveur Active Directory.
- Dans le gestionnaire, cliquez sur Sécurité > Utilisateurs.
- Vérifiez que les utilisateurs ont été récupérés comme prévu du serveur de domaine Windows. Si Active Directory contient plusieurs domaines, les utilisateurs du domaine auquel appartient la machine du serveur SIG sont affichés. Pour afficher les utilisateurs d'autres domaines, indiquez la chaîne de recherche [nom de domaine]\ dans le champ Rechercher un utilisateur, puis cliquez sur le bouton Rechercher
. - Cliquez sur Rôles pour passer en revue les rôles récupérés du serveur de domaine Windows. Si Active Directory contient plusieurs domaines, les rôles du domaine auquel appartient la machine du serveur SIG sont affichés. Pour afficher les rôles d'autres domaines, indiquez la chaîne de recherche [nom de domaine]\ dans le champ Rechercher un rôle, puis cliquez sur le bouton Rechercher .
- Vérifiez que les rôles ont été récupérés comme prévu.
Remarque :
Dans les versions 10.3.1 et ultérieures, certaines propriétés de ArcGIS Web Adaptor (IIS) permettent de configurer les options relatives à l’authentification Active Directory. Reportez-vous à la rubrique Configurer les options du cache mémoire ArcGIS Web Adaptor dans l’aide ArcGIS Web Adaptor (IIS)pour des détails.
Mise en cache des utilisateurs et des rôles
À compter de la version 10.5, les utilisateurs et les rôles de votre environnement Active Directory seront mis en cache sur le serveur après une demande concernant les utilisateurs ou les rôles. Cela optimise la performance de vos services sécurisés. Par défaut, les utilisateurs et les rôles seront mis en cache pendant 30 minutes. Vous pouvez modifier cette période en définissant la propriété minutesToCacheUsersAndRoles sur une autre valeur dans le répertoire administrateur ArcGIS Server sous les propriétés système. Vous pouvez également désactiver la mise en cache en définissant la propriété sur zéro.
Configurez les privilèges d'administrateur et d'éditeur des utilisateurs Active Directory
Par défaut, ArcGIS Server autorise uniquement l’accès de l’administrateur de site principal au serveur. Si vous comptez utiliser des utilisateurs Active Directory pour administrer ArcGIS Server ou publier des services, vous devez procéder comme suit.
- Dans ArcGIS Server Manager, cliquez sur l’onglet Security (Sécurité) et ouvrez la page Users (Utilisateurs).
- A l'aide de l'outil Rechercher un utilisateur, localisez l'utilisateur auquel vous souhaitez attribuer des privilèges d'administrateur ou d'éditeur. Passez en revue les rôles dont fait partie cet utilisateur et choisissez celui auquel vous voulez attribuer des privilèges d’administrateur ou d’éditeur.
- Ouvrez la page Rôles et utilisez l'outil Rechercher un rôle pour localiser le rôle choisi à l'étape précédente.
- Cliquez sur le bouton Modifier en regard du rôle.
- Pour le paramètre Type de rôle, choisissez Editeur ou Administrateur.
- Cliquez sur Enregistrer pour appliquer les modifications.
Définir des autorisations pour les services Web ArcGIS
Dès que vous avez configuré vos paramètres de sécurité et défini des utilisateurs et des rôles, vous pouvez définir des autorisations pour les services afin de contrôler les utilisateurs autorisés à y accéder.
ArcGIS Server contrôle l’accès aux services à l’aide d’un modèle de contrôle d’accès basé sur les rôles. Dans ce modèle, l'autorisation d'accès à un service sécurisé est contrôlée en attribuant des rôles à ce service. Pour exploiter un service sécurisé, un utilisateur doit être membre d'un rôle auquel ont été affectées des autorisations d'accès.
Pour modifier les autorisations d’un service, reportez-vous à la rubrique Contrôler l’accès à vos services.
Remarque :
Lorsque vous parcourez ArcGIS Server Manager à l’aide de l’authentification Windows intégrée, le lien Sign Out (Se déconnecter) n’est plus visible. Cela est dû au fait que l’utilisateur qui exécute le navigateur Web est automatiquement connecté par le système d’exploitation. Pour utiliser le navigateur sous le nom d'un autre utilisateur, utilisez l'option de commande Exécuter en tant que. Pour ce faire, recherchez le raccourci du programme dans le menu Démarrer, maintenez la touche Maj enfoncée, cliquez sur le programme avec le bouton droit de la souris et choisissez Exécuter en tant qu’utilisateur différent.
Tester l'accès aux services sécurisés
Pour tester votre configuration, identifiez un compte d'utilisateur de domaine Windows ayant accès au dossier racine (site) où sont hébergés vos services. Connectez-vous à Windows avec ce compte utilisateur, ouvrez un navigateur Web et accédez à votre WSDL ArcGIS Server :
https://webadaptorhost.domain.com/webadaptorname/services?wsdl
Vous pouvez également afficher le répertoire des services pour vérifier que vous pouvez accéder aux services sécurisés.
https://webadaptorhost.domain.com/webadaptorname/rest/services
Remarque :
Lorsque vous parcourez le répertoire des services via l'authentification Windows intégrée, le lien Se déconnecter n'est plus visible. Cela est dû au fait que l’utilisateur qui exécute le navigateur Web est automatiquement connecté par le système d’exploitation. Pour utiliser le navigateur sous le nom d'un autre utilisateur, utilisez l'option de commande Exécuter en tant que. Pour ce faire, recherchez le raccourci du programme dans le menu Démarrer, maintenez la touche Maj enfoncée, cliquez sur le programme avec le bouton droit de la souris et choisissez Exécuter en tant qu’utilisateur différent.
Pour déterminer les utilisateurs du domaine Windows qui ont accès au dossier racine, procédez comme suit :
- Connectez-vous à Manager et cliquez sur Services.
- Cliquez sur le bouton Verrouiller
en regard du dossier site (racine) et identifiez les rôles qui ont été autorisés à accéder à ce dossier. Si aucun rôle ne dispose actuellement d'une autorisation d'accès, veuillez en accorder une à au moins un rôle en cliquant sur Ajouter un rôle 
. - Cliquez sur Sécurité > Rôles, puis sur le bouton Modifier correspondant au rôle qui a accès au dossier racine.
- Consultez la liste des utilisateurs qui sont membres de ce rôle.
Vous avez un commentaire à formuler concernant cette rubrique ?