Configurer des identifiants de connexion OpenID Connect

La configuration d’identifiants de connexion d’organisations tels que les identifiants OpenID Connect permet aux membres de votre organisation de se connecter à ArcGIS Enterprise en utilisant les mêmes identifiants que ceux qu’ils utilisent pour accéder aux systèmes internes de votre organisation. Grâce à la configuration d'identifiants de connexion d'organisation, les membres n'ont pas besoin de créer des identifiants de connexion supplémentaires dans le système ArcGIS Enterprise. Ils peuvent utiliser à la place l'identifiant de connexion qui est déjà configuré avec l"organisation. Lorsque des membres se connectent à ArcGIS Enterprise, ils saisissent le nom d’utilisateur et le mot de passe d’organisation directement dans le gestionnaire d’identifiants de connexion de l'organisation, également appelé fournisseur d’identités de l'organisation. Au terme de la vérification des identifiants de connexion des membres, le fournisseur d’identités informe ArcGIS Enterprise que l’identité du membre qui se connecte a été vérifiée.

ArcGIS Enterprise accepte le protocole d’authentification OpenID Connect et l'intégration avec des fournisseurs d'identité tels que Okta et Google, qui prennent en charge OpenID Connect.

Vous pouvez configurer la page de connexion de votre organisation pour qu’elle affiche uniquement l’identifiant de connexion OpenID Connect ou l’identifiant de connexion OpenID Connect ainsi que l’identifiant de connexion ArcGIS et l’identifiant de connexion SAML (s’il est configuré).

Configurer des identifiants de connexion OpenID Connect

La procédure de configuration du fournisseur d’identités OpenID Connect dans ArcGIS Enterprise est décrite ci-dessous. Avant de continuer, il est conseillé de contacter l’administrateur du fournisseur d’identités pour obtenir les paramètres nécessaires à la configuration.

Remarque :

À l’heure actuelle, vous ne pouvez configurer qu’un seul fournisseur d’identités OpenID Connect pour votre organisation ArcGIS Enterprise. Il sera possible de configurer des fournisseurs d'identités supplémentaires ultérieurement.

  1. Vérifiez que vous êtes connecté en tant qu'administrateur de votre organisation.
  2. En haut du site, cliquez sur Organization (Organisation), puis sur l’onglet Settings (Paramètres).
  3. Si vous envisagez d’autoriser les membres à se joindre automatiquement à l’organisation, configurez les paramètres par défaut des nouveaux membres d’abord. S’il y a lieu, vous pouvez modifier ces paramètres pour des membres spécifiques après qu’ils ont rejoint l’organisation.
    1. Cliquez sur New member defaults (Paramètres par défaut des nouveaux membres) sur le côté de la page.
    2. Sélectionnez le type d’utilisateur et le rôle par défaut des nouveaux membres.
    3. Sélectionnez les licences additionnelles à attribuer automatiquement aux membres qui rejoignent l’organisation.
    4. Sélectionnez les groupes auxquels les membres sont ajoutés lorsqu’ils rejoignent l’organisation.
  4. Cliquez sur Security (Sécurité) sur le côté de la page.
  5. Dans la section Logins (Identifiants de connexion), cliquez sur New OpenID Connect login (Nouvel identifiant de connexion OpenID Connect).
  6. Dans le champ Login button label (Étiquette du bouton de connexion), saisissez le texte que les membres verront apparaître sur le bouton qui leur permettra de se connecter avec leurs identifiants OpenID Connect.
  7. Choisissez la façon dont les membres dotés d’identifiants de connexion OpenID Connect rejoindront votre organisation  : automatiquement ou suite à l’ajout par l’administration. L'option automatique permet aux membres de rejoindre l'organisation en se connectant avec leurs identifiants de connexion OpenID Connect. L’autre option permet aux administrateurs d’ajouter des membres à l’organisation. L’option automatique vous permet tout de même ajouter directement des membres à l’aide de leurs identifiants de connexion OpenID Connect.
  8. Dans le champ Registered client ID (ID client enregistré), saisissez l'ID client du fournisseur d'identités.
  9. Dans le champ Registered client secret (Clé secrète client enregistrée), saisissez la clé secrète client du fournisseur d'identités.
  10. Dans le champ Provider scopes/permissions (Portées/autorisations du fournisseur), saisissez les portées à envoyer avec la requête de point de terminaison de l’autorisation.

    Remarque :
    ArcGIS Enterprise prend en charge les portées correspondant aux attributs de l’identifiant OpenID Connect, du courrier électronique et du profil utilisateur. Vous pouvez utiliser la valeur standard de openid profile email pour les portées si elle est prise en charge par votre fournisseur OpenID Connect. Consultez la documentation de votre fournisseur OpenID Connect pour en savoir plus sur les portées prises en charge.

  11. Dans le champ Provider issuer ID (ID d’émetteur du fournisseur), saisissez l'identifiant du fournisseur OpenID Connect.
  12. Renseignez les URL du fournisseur d'identités OpenID Connect comme suit :
    Conseil :

    Pour plus d’informations sur la façon de renseigner les informations ci-dessous, reportez-vous au document de configuration officiel du fournisseur d’identités, https:/[IdPdomain]/.well-known/openid-configuration par exemple.

    1. Pour OAuth 2.0 authorization endpoint URL (URL du point de terminaison de l’autorisation OAuth 2.0), saisissez l'URL du point de terminaison de l'autorisation OAuth 2.0 du fournisseur d'identités.
    2. Pour Token endpoint URL (URL du point de terminaison du jeton), saisissez l'URL du point de terminaison du jeton du fournisseur d'identités pour obtenir les jetons d'identifiant et d'accès.
    3. Pour JSON web key set (JWKS) URL (URL du jeu de clés Web JSON (JWKS)), saisissez, si vous le souhaitez, l’URL du document de jeu de clés Web JSON du fournisseur d’identités. Ce document contient les clés de signature utilisées pour valider les signatures du fournisseur. Cette URL n’est utilisée que si l’option User profile endpoint URL (recommended) (URL du point de terminaison du profil utilisateur (recommandée)) n’est pas configurée.
    4. Pour User profile endpoint URL (recommended) (URL du point de terminaison du profil utilisateur (recommandée)), saisissez le point de terminaison pour obtenir les informations sur l'identité de l'utilisateur. Si vous n'indiquez pas cette URL, c'est l'URL indiquée dans le champ JSON web key set (JWKS) URL (URL du jeu de clés Web JSON (JWKS) qui est utilisée à la place.
    5. Pour Logout endpoint URL (optional) (URL du point de terminaison de déconnexion (facultative), saisissez, si vous le souhaitez, l’URL du point de terminaison de déconnexion sur serveur d’autorisations. Lorsque le membre se déconnecte d'ArcGIS, cette URL sert à le déconnecter aussi du fournisseur d'identités.
  13. Activez le bouton bascule Send access token in header (Envoyer le jeton d'accès dans l'en-tête) si vous voulez que le jeton soit envoyé dans un en-tête plutôt que dans une chaîne de requête.
  14. Pour terminer le processus de configuration, copiez les URI de redirection de connexion (option Login Redirect URI) et URI de redirection de déconnexion (option Logout Redirect URI) (le cas échéant) et ajoutez-les à la liste des URL de rappel autorisées pour le fournisseur d’identités OpenID Connect.
  15. Lorsque vous avez terminé, cliquez sur Save (Enregistrer).

Modifier ou supprimer le fournisseur d'identités OpenID Connect

Une fois que vous avez configuré un fournisseur d’identités OpenID Connect, vous pouvez mettre à jour les paramètres qui le concernent en cliquant sur Configure login (Configurer la connexion) en regard du fournisseur d’identités actuellement inscrit. Mettez à jour les paramètres dans la fenêtre Edit OpenID Connect login (Modifier la connexion OpenID Connect).

Pour supprimer le fournisseur d’identités actuellement inscrit, cliquez sur Configure login (Configurer la connexion) en regard du fournisseur d’identités, puis cliquez sur Delete login (Supprimer un identifiant de connexion) dans la fenêtre Edit OpenID Connect login (Modifier un identifiant de connexion OpenID Connect).