Microsoft Azure Active Directory (AD) est un fournisseur d’identités compatible avec SAML (Security Assertion Markup Language). Vous pouvez le configurer en tant que fournisseur d’identités pour vos identifiants de connexion SAML dans ArcGIS Enterprise sur site et dans le Cloud. Le processus de configuration comporte deux étapes principales : l’inscription d’Azure AD dans votre portail ArcGIS Enterprise et l’inscription de ArcGIS Enterprise dans votre portail Azure AD.
Remarque :
Pour vous assurer que les identifiants de connexion SAML de votre organisation sont configurés de manière sécurisée, examinez les meilleures pratiques de la sécurité SAML.
Pour configurer Azure AD avec ArcGIS Enterprise, vous avez besoin d’un abonnement Azure AD Premium.
Informations requises
ArcGIS Enterprise requiert la réception de certaines informations attributaires de la part du fournisseur d’identités lorsqu’un utilisateur se connecte à l’aide d’identifiants SAML. L’attribut NameID est obligatoire. Il doit être envoyé par votre fournisseur d’identités dans la réponse SAML afin que la fédération fonctionne. Puisque ArcGIS Enterprise utilise la valeur de NameID pour identifier de manière unique un utilisateur nommé, il est recommandé d’utiliser une valeur constante qui identifie sans équivoque l’utilisateur. Lorsqu’un utilisateur du fournisseur d’identités se connecte, un nouvel utilisateur doté du nom d’utilisateur NameID est créé par l’organisation ArcGIS Enterprise dans son magasin d’utilisateurs. Les caractères autorisés pour la valeur envoyée par NameID sont les caractères alphanumériques, _ (trait de soulignement), . (point) et @ (symbole arobase). Tous les autres caractères sont désactivés pour contenir des traits de soulignement dans le nom d’utilisateur créé par ArcGIS Enterprise.
ArcGIS Enterprise prend en charge le flux de l’adresse électronique, de l’adhésion à des groupes, du nom donné et du prénom d’un utilisateur provenant du fournisseur d’identités SAML.
Inscrire Azure AD comme fournisseur d’identifiants de connexion d’entreprise SAML pour votre portail
- Vérifiez que vous êtes connecté en tant qu'administrateur de votre organisation.
- En haut du site, cliquez sur Organization (Organisation), puis sur l’onglet Settings (Paramètres).
- Cliquez sur Sécurité dans la partie gauche de la page.
- Dans la section Logins (Connexions), cliquez sur le bouton New SAML login (Nouvelle connexion SAML) et sélectionnez l’option One identity provider (Un fournisseur d’identités). Sur la page Specify properties (Spécifier les propriétés), saisissez le nom de votre organisation (par exemple Ville de Redlands). Lorsque les utilisateurs accèdent au site Web du portail, ce texte est intégré dans le nom de l’option de connexion SAML (Utilisation de votre compte City of Redlands, par exemple).
Remarque :
Vous ne pouvez enregistrer qu’un seul fournisseur d’identités SAML ou une seule fédération de fournisseurs d’identités pour votre portail.
- Sélectionnez Automatically (Automatiquement) ou Upon invitation from an administrator (À l’invitation d’un administrateur) pour préciser comment les utilisateurs peuvent rejoindre l’organisation. Sélectionnez la première option pour permettre aux utilisateurs de se connecter à l’organisation avec leur identifiant de connexion SAML sans intervention de l’administrateur. Leur compte est automatiquement enregistré auprès de l'organisation lors de leur première connexion. La seconde option suppose que l’administrateur inscrive les comptes nécessaires auprès de l’organisation à l’aide d’un utilitaire de ligne de commande. Une fois les comptes enregistrés, les utilisateurs peuvent se connecter à l’organisation.
Conseil :
Nous vous recommandons de désigner au moins un compte SAML pour administrer votre portail et de rétrograder ou supprimer le compte d’administrateur initial. Nous vous conseillons également de désactiver le bouton Create an account (Créer un compte) sur le site web du portail pour empêcher les utilisateurs de créer leurs propres comptes. Pour obtenir des instructions complètes, reportez-vous à la rubrique Configurer un fournisseur d’identités compatible avec SAML avec un portail.
- Indiquez des informations de métadonnées concernant le fournisseur d'identités à l'aide d'une des options ci-dessous :
- File (Fichier) : téléchargez le fichier de métadonnées Azure AD et chargez-le dans ArcGIS Enterprise à l’aide de l’option File (Fichier).
Remarque :
Si c’est la première fois que vous inscrivez un fournisseur de services auprès d’Azure AD, vous devez obtenir le fichier de métadonnées après l’inscription de ArcGIS Enterprise auprès d’Azure AD. - Paramètres : sélectionnez cette option si l'URL ou le fichier de métadonnées de la fédération n'est pas accessible. Entrez les valeurs manuellement et fournissez les paramètres demandés : l’URL de connexion et le certificat, chiffrés au format BASE 64. Contactez votre administrateur Azure AD pour les connaître.
- File (Fichier) : téléchargez le fichier de métadonnées Azure AD et chargez-le dans ArcGIS Enterprise à l’aide de l’option File (Fichier).
- Configurez les paramètres avancés suivants comme il convient :
- Encrypt Assertion (Chiffrer l’assertion) : activez cette option pour chiffrer les réponses d’assertion SAML d’Azure AD.
- Enable signed request (Activer la demande signée) : activez cette option pour que ArcGIS Enterprise signe la demande d’authentification SAML envoyée à Azure AD.
- Propagate logout to Identity Provider (Propager la déconnexion au fournisseur d’identités) : activez cette option pour que ArcGIS Enterprise utilise une URL de déconnexion pour déconnecter l’utilisateur du fournisseur d’identités Azure AD. Indiquez l'URL à utiliser dans le paramètre URL de déconnexion. Si le fournisseur d’identités exige que l’URL de déconnexion soit signée, vous devez sélectionner l’option Enable Signed Request (Activer la demande signée).
- Update profiles on sign in (Mettre à jour les profils lors de la connexion) : sélectionnez cette option afin que ArcGIS Enterprise mette à jour les attributs givenName et email address des utilisateurs si ces attributs ont changé depuis la dernière fois que les utilisateurs se sont connectés.
- Enable SAML based group membership (Activer l’adhésion au groupe SAML) : activez cette option pour autoriser les membres de l’organisation à relier des groupes SAML spécifiés à des groupes ArcGIS Enterprise pendant le processus de création de groupe.
- Logout URL (URL de déconnexion) : URL du fournisseur d’identités à utiliser pour déconnecter l’utilisateur actuellement connecté.
- Entity ID (ID d’entité) : mettez cette valeur à jour pour utiliser un nouvel ID d’entité qui identifie de manière unique votre portail auprès d’Azure AD.
Les paramètres Encrypt Assertion (Chiffrer l’assertion) et Enable signed request (Activer la demande signée) utilisent le certificat samlcert dans le KeyStore du portail. Pour utiliser un nouveau certificat, supprimez le certificat samlcert, créez un nouveau certificat avec le même alias (samlcert) en suivant la procédure indiquée dans la rubrique Importer un certificat dans le portail, puis redémarrez le portail.
- Lorsque vous avez terminé, cliquez sur Mettre à jour le fournisseur d’identités.
- Cliquez sur Download service provider metadata (Télécharger les métadonnées du fournisseur de services) pour télécharger le fichier de métadonnées du portail. Les informations de ce fichier seront utilisées pour inscrire le portail comme fournisseur de services approuvé auprès d’Azure AD.
Inscrire ArcGIS Enterprise en tant que fournisseur de services approuvé auprès d’Azure AD
- Connectez-vous à votre portail Azure en tant que membre doté de privilèges administratifs.
- En suivant la procédure présentée dans la documentation Azure, ajoutez ArcGIS Enterprise en tant qu’application non bibliothèque dans votre Azure AD et configurez Single sign-on (Connexion unique). Vous devrez indiquer le fichier Metadata.xml téléchargé depuis ArcGIS Enterprise.
ArcGIS Enterprise apparaît dans la liste Enterprise Applications (Applications d’entreprise) dans Azure AD.
- Ajoutez et affectez des utilisateurs à l’application si nécessaire.
- Vous pouvez également configurer et personnaliser les revendications SAML transmises à ArcGIS Enterprise. Les attributs d’intérêt dans la réponse SAML sont givenName et emailaddress.
Vous avez un commentaire à formuler concernant cette rubrique ?