Vous pouvez configurer OpenAM 1.10 et versions ultérieures en tant que fournisseur d'identités pour les identifiants de connexion SAML dans ArcGIS Enterprise. Le processus de configuration comporte deux étapes principales : l’inscription de votre fournisseur d’identités SAML auprès de ArcGIS Enterprise et l’inscription de ArcGIS Enterprise auprès du fournisseur d’identités SAML.
Remarque :
Pour vous assurer que les identifiants de connexion SAML de votre organisation sont configurés de manière sécurisée, examinez les meilleures pratiques de la sécurité SAML.
Informations requises
ArcGIS Enterprise requiert la réception de certaines informations attributaires de la part du fournisseur d’identités lorsqu’un utilisateur se connecte à l’aide d’identifiants SAML. L’attribut NameID est obligatoire. Il doit être envoyé par votre fournisseur d’identités dans la réponse SAML afin que la fédération fonctionne. Puisque ArcGIS Enterprise utilise la valeur de NameID pour identifier de manière unique un utilisateur nommé, il est recommandé d’utiliser une valeur constante qui identifie sans équivoque l’utilisateur. Lorsqu’un utilisateur du fournisseur d’identités se connecte, un nouvel utilisateur doté du nom d’utilisateur NameID est créé par l’organisation ArcGIS Enterprise dans son magasin d’utilisateurs. Les caractères autorisés pour la valeur envoyée par NameID sont les caractères alphanumériques, _ (trait de soulignement), . (point) et @ (symbole arobase). Tous les autres caractères sont désactivés pour contenir des traits de soulignement dans le nom d’utilisateur créé par ArcGIS Enterprise.
ArcGIS Enterprise prend en charge le flux de l’adresse électronique, de l’adhésion à des groupes, du nom donné et du prénom d’un utilisateur provenant du fournisseur d’identités SAML.
Enregistrez OpenAM en tant que fournisseur d'identités SAML auprès de ArcGIS Enterprise
- Vérifiez que vous êtes connecté en tant qu'administrateur de votre organisation.
- En haut du site, cliquez sur Organization (Organisation), puis sur l’onglet Settings (Paramètres).
- Cliquez sur Sécurité dans la partie gauche de la page.
- Dans la section Logins (Connexions), cliquez sur le bouton New SAML login (Nouvelle connexion SAML) et sélectionnez l’option One identity provider (Un fournisseur d’identités). Sur la page Specify properties (Spécifier les propriétés), saisissez le nom de votre organisation (par exemple Ville de Redlands). Lorsque les utilisateurs accèdent au site Web du portail, ce texte est intégré dans le nom de l’option de connexion SAML (Utilisation de votre compte City of Redlands, par exemple).
Remarque :
Vous ne pouvez enregistrer qu’un seul fournisseur d’identités SAML ou une seule fédération de fournisseurs d’identités pour votre portail.
- Sélectionnez Automatically (Automatiquement) ou Upon invitation from an administrator (À l’invitation d’un administrateur) pour préciser comment les utilisateurs peuvent rejoindre l’organisation. Sélectionnez la première option pour permettre aux utilisateurs de se connecter à l’organisation avec leur identifiant de connexion SAML sans intervention de l’administrateur. Leur compte est automatiquement enregistré auprès de l'organisation lors de leur première connexion. La seconde option suppose que l’administrateur inscrive les comptes nécessaires auprès de l’organisation à l’aide d’un utilitaire de ligne de commande. Une fois les comptes enregistrés, les utilisateurs peuvent se connecter à l’organisation.
Conseil :
Nous vous recommandons de désigner au moins un compte SAML pour administrer votre portail et de rétrograder ou supprimer le compte d’administrateur initial. Nous vous conseillons également de désactiver le bouton Create an account (Créer un compte) sur le site web du portail pour empêcher les utilisateurs de créer leurs propres comptes. Pour obtenir des instructions complètes, reportez-vous à la rubrique Configurer un fournisseur d'identités compatible avec SAML avec votre portail.
- Indiquez des informations de métadonnées concernant le fournisseur d'identités à l'aide d'une des trois options ci-dessous :
- URL : sélectionnez cette option si l'URL des métadonnées de fédération OpenAM est accessible par ArcGIS Enterprise. L’URL est généralement https://<host>:<port>/openam/saml2/jsp/exportmetadata.jsp.
Remarque :
Si votre fournisseur d'identités SAML inclut un certificat auto-signé, vous pouvez rencontrer une erreur en essayant de spécifier l'URL HTTPS des métadonnées. Cela se produit parce que ArcGIS Enterprise ne peut pas vérifier le certificat auto-signé du fournisseur d’identités. Vous pouvez également utiliser HTTP dans l'URL, une des autres options ci-dessous ou configurer votre fournisseur d'identités avec un certificat approuvé.
- File (Fichier) : sélectionnez cette option si ArcGIS Enterprise ne parvient pas à accéder à l’URL. Obtenez les métadonnées depuis l’URL ci-dessus, enregistrez-les comme fichier XML et téléchargez le fichier.
- Parameters specified here (Paramètres spécifiés ici) : sélectionnez cette option si l’URL ou le fichier de métadonnées de la fédération n’est pas accessible. Entrez les valeurs manuellement et fournissez les paramètres demandés : l’URL de connexion et le certificat, chiffrés au format BASE 64. Contactez votre administrateur OpenAM pour les obtenir.
- URL : sélectionnez cette option si l'URL des métadonnées de fédération OpenAM est accessible par ArcGIS Enterprise. L’URL est généralement https://<host>:<port>/openam/saml2/jsp/exportmetadata.jsp.
- Configurez les paramètres avancés comme il convient :
- Encrypt Assertion (Chiffrer l’assertion) : activez cette option si OpenAM doit être configuré pour chiffrer les réponses d’assertion SAML.
- Enable signed request (Activer la demande signée) : activez cette option pour que ArcGIS Enterprise signe la demande d’authentification SAML envoyée à OpenAM.
- ID d'entité : mettez cette valeur à jour pour utiliser un nouvel ID d'entité qui identifie de manière unique votre portail auprès d'OpenAM.
- Update profiles on sign in (Mettre à jour les profils lors de la connexion) : activez cette option pour qu’ArcGIS Enterprise mette à jour les attributs givenName et email address des utilisateurs s’ils ont changé depuis leur dernière connexion.
- Enable SAML based group membership (Activer l’appartenance à un groupe de type SAML) : activez cette option pour autoriser les membres de l’organisation à lier des groupes SAML spécifiés à des groupes ArcGIS Enterprise pendant le processus de création de groupe.
Les paramètres Encrypt Assertion (Chiffrer l’assertion) et Enable signed request (Activer la demande signée) utilisent le certificat samlcert dans le KeyStore du portail. Pour utiliser un nouveau certificat, supprimez le certificat samlcert, créez un certificat avec le même alias (samlcert) en suivant la procédure indiquée dans la rubrique Importer un certificat dans le portail, puis redémarrez le portail.
Remarque :
Actuellement, les options Propager la déconnexion au fournisseur d'identités et URL de déconnexion ne sont pas prises en charge.
- Cliquez sur Enregistrer.
Inscrire ArcGIS Enterprise en tant que fournisseur de services approuvé auprès de OpenAM
- Configurez un fournisseur d’identités hébergé dans OpenAM.
- Connectez-vous à la console d'administration OpenAM. Elle est généralement accessible sur https://servername:port/<deploy_uri>/console.
- Sous l'onglet Tâches courantes, cliquez sur Créer un fournisseur d'identités hébergé.
- Créez un fournisseur d'identités hébergé et ajoutez-le à un cercle d'approbation. Vous pouvez l'ajouter à un cercle d'approbation existant si vous en possédez déjà un ou vous pouvez en créer un nouveau.
- Par défaut, le fournisseur d’identités hébergé fonctionne avec OpenDJ, le magasin d’utilisateurs intégré fourni avec OpenAM. Si vous voulez connecter OpenAM à un autre magasin d’utilisateurs tel qu’Active Directory, vous devez créer une nouvelle source de données dans l’onglet Access Control (Contrôle d’accès) de la console d’administration OpenAM principale .
- Configurez ArcGIS Enterprise en tant que fournisseur de services approuvé auprès de OpenAM.
- Obtenez le fichier de métadonnées de votre portail et enregistrez-le en tant que fichier XML.
Pour obtenir le fichier de métadonnées, connectez-vous en tant qu’administrateur de votre organisation et ouvrez la page de votre organisation. Cliquez sur l’onglet Settings (Paramètres) et sur Security (Sécurité) à gauche de la page. Dans la section Logins (Identifiants de connexion), sous SAML Login (Connexion SAML), cliquez sur le bouton Download service provider metadata (Télécharger les métadonnées du fournisseur de services).
- Dans la console d’administration OpenAM, sous Common Tasks (Tâches courantes), cliquez sur Register Remote Service Provider (Enregistrer le fournisseur de services distant).
- Sélectionnez l'option Fichier pour les métadonnées et chargez le fichier XML des métadonnées enregistré à l'étape précédente.
- Ajoutez ce fournisseur de services au cercle d'approbation auquel vous avez ajouté votre fournisseur d'identités.
- Obtenez le fichier de métadonnées de votre portail et enregistrez-le en tant que fichier XML.
- Configurez le format NameID et les attributs que OpenAM doit envoyer à ArcGIS Enterprise après avoir authentifié l’utilisateur.
- Dans la console d’administration OpenAM, cliquez sur l’onglet Federation (Fédération). L'onglet comporte le cercle d'approbation que vous avez ajouté, ainsi que le service et les fournisseurs d'identités.
- Sous Fournisseurs d'entités, cliquez sur votre fournisseur d'identités.
- Dans l’onglet Assertion Content (Contenu de l’assertion), sous Name ID Format (Format de l’ID de nom), vérifiez que urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified figure en haut de la liste. Il s’agit du format de NameID que ArcGIS Enterprise demande dans sa requête SAML adressée à OpenAM.
- Sous Name ID Value Map (Mappage de la valeur de l’ID de nom), mappez un attribut du profil utilisateur, par exemple mail ou upn, qui sera renvoyé en tant que NameID à ArcGIS Enterprise une fois l’utilisateur authentifié.
Exemple : urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified =upn
- Cliquez sur l’onglet Traitement des assertions dans le fournisseur d’identités. Sous Attribute Mapper (Mappeur d'attributs), configurez les attributs du profil utilisateur que vous souhaitez envoyer à ArcGIS Enterprise.
Cliquez sur Enregistrer pour enregistrer le format NameID et les modifications apportées au contenu des attributs.
- Sous l’onglet Federation (Fédération) de la console d’administration OpenAM, accédez au fournisseur de services ArcGIS Enterprise sous Entity Providers (Fournisseurs d’entités).
- Dans l'onglet Assertion Content (Contenu de l'assertion), sous Encryption (Chiffrement), sélectionnez l'option Assertion si vous avez sélectionné le paramètre avancé Encrypt Assertion (Chiffrer l'assertion) lorsque vous avez enregistré OpenAM en tant que fournisseur d'identités SAML auprès de ArcGIS Enterprise.
- Sous Name ID Format (Format de l’ID de nom), vérifiez que urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified figure en haut de la liste. Il s’agit du format de NameID que ArcGIS Enterprise demande dans sa requête SAML adressée à OpenAM..
- Cliquez sur l'onglet Assertion Processing (Traitement des assertions) dans le fournisseur d'identités. Sous Attribute Mapper (Mappeur d'attributs), configurez les attributs du profil utilisateur que vous souhaitez envoyer à ArcGIS Enterprise.
- Cliquez sur Enregistrer pour enregistrer l'attribut Name ID Format (Format de l'ID de nom) et les modifications apportées au contenu des attributs.
- Redémarrez le serveur web sur lequel OpenAM est déployé.
Vous avez un commentaire à formuler concernant cette rubrique ?