Haut

Utilisation de Windows Active Directory et de PKI pour sécuriser l’accès

Dans cette rubrique

  1. Configurer votre portail avec Windows Active Directory
  2. Ajouter des comptes spécifiques de l’organisation
  3. Installer et activer l'authentification par mappage de certificat client Active Directory
  4. Configurer ArcGIS Web Adaptor pour demander des certificats SSL et clients
  5. Vérifiez que vous pouvez accéder au portail avec Windows Active Directory et PKI
  6. Empêcher les utilisateurs de créer leurs propres comptes intégrés

Lorsque vous utilisez Windows Active Directory pour authentifier les utilisateurs, vous pouvez faire appel à une infrastructure à clé publique (PKI) pour sécuriser l’accès à votre organisation.

Pour utiliser l’authentification Windows intégrée et PKI, vous devez utiliser ArcGIS Web Adaptor (IIS) déployé sur le serveur Web IIS de Microsoft. Vous ne pouvez pas utiliser ArcGIS Web Adaptor (Java Platform) pour effectuer l’authentification Windows intégrée. Si ce n’est pas déjà fait, installez et configurez ArcGIS Web Adaptor (IIS) avec votre organisation.

Configurer votre portail avec Windows Active Directory

Commencez par configurer le portail de façon à utiliser le protocole SSL pour toutes les communications. Ensuite, mettez à jour le magasin d'identités de votre portail pour qu'il utilise des utilisateurs et groupes Windows Active Directory.

Configurer l’organisation de façon à utiliser le protocole HTTPS pour toutes les communications

Pour configurer l’organisation de façon à utiliser le protocole HTTPS, procédez comme suit :

  1. Connectez-vous au site Web de l’organisation en tant qu’administrateur.

    Le format de l’URL est https://organization.example.com/<context>/home.

  2. Cliquez sur Organization (Organisation), cliquez ensuite sur l’onglet Settings (Paramètres), puis sur Security (Sécurité) dans la partie gauche de la page.
  3. Activez Allow access to the portal through HTTPS only (Autoriser l’accès au portail via HTTPS uniquement).

Configurer votre magasin d’identités à l’aide des utilisateurs et des groupes Active Directory

Ensuite, mettez à jour le magasin d’identités de votre organisation pour qu’il utilise des utilisateurs et groupes Windows Active Directory.

  1. Connectez-vous à ArcGIS Enterprise Manager en tant qu’administrateur de votre organisation.

    L'URL est au format suivant : https://site.example.com/<site context>/manager.

  2. Cliquez sur Security (Sécurité) > Identity Store (Magasin d’identités).

    Les boutons d’option situées sous User store (Magasin d’utilisateurs) et Group store (Magasin de groupes) vous permettent de sélectionner la manière dont les utilisateurs et les groupes sont gérés pour votre organisation.

  3. Sélectionnez Windows sous User store (Magasin d’utilisateurs).

    Avec les utilisateurs Windows, vous pouvez utiliser le magasin de groupes intégré ou un magasin de groupes Windows. Les zones en entrée figurant dans la section User store and group store configuration (Configuration du magasin d’utilisateurs et du magasin de groupes) changent en fonction du type de magasin de groupes sélectionné.

  4. Dans la section User store and group store configuration (Configuration du magasin d’utilisateurs et du magasin de groupes), entrez les informations appropriées dans chaque zone de texte.
    Les descriptions de chaque zone de texte sont les suivantes :

    • Nom d’utilisateur (obligatoire)
    • Mot de passe (obligatoire)
    • Les noms d’utilisateur sont-ils sensibles à la casse ? — Oui ou Non
    • Attribut de prénom de l’utilisateur (obligatoire) — Attribut de serveur d’annuaire du prénom d’un utilisateur
    • Attribut de nom de l’utilisateur (obligatoire) — Attribut de serveur d’annuaire du nom d’un utilisateur
    • Attribut d’e-mail de l’utilisateur (obligatoire) — Attribut de serveur d’annuaire de l’adresse e-mail d’un utilisateur
    • Contrôleur de domaine (obligatoire)
    • Appariement du contrôleur de domaine

  5. Cliquez sur Save (Enregistrer) lorsque vous avez terminé de saisir les informations de configuration de votre magasin d’identités.

Ajouter des comptes spécifiques de l’organisation

Par défaut, les utilisateurs spécifiques d’une organisation peuvent accéder à l’organisation ArcGIS Enterprise. Toutefois, ils peuvent uniquement afficher les éléments qui ont été partagés avec tout le monde dans l'organisation. En effet, les comptes d’organisation n’ont pas été ajoutés et ils ne disposent pas des privilèges d’accès.

Ajoutez des comptes à votre organisation selon l’une des méthodes suivantes :

  • Individuellement ou par lots (un par un, par lots à partir d’un fichier .csv ou de groupes Active Directory existants)
  • Automatiquement

Nous vous recommandons de désigner au moins un compte d’organisation pour administrer votre portail. Pour ce faire, sélectionnez le rôle Administrateur lorsque vous ajoutez le compte. Lorsque vous disposez d'un autre compte d'administrateur sur le portail, vous pouvez attribuer le compte d'administrateur initial au rôle Utilisateur ou supprimer ce compte. Pour plus d'informations, reportez-vous à la rubrique A propos du compte d'administrateur initial.

Une fois les comptes ajoutés et les étapes ci-dessous terminées, les utilisateurs peuvent se connecter à l'organisation et accéder au contenu.

Installer et activer l'authentification par mappage de certificat client Active Directory

Le mappage de certificat client Active Directory n’est pas disponible dans l’installation par défaut de IIS. Vous devez installer et activer la fonctionnalité.

Installer l'authentification par mappage de certificat client

Les instructions d'installation de cette fonctionnalité varient selon votre système d'exploitation.

Installation avec Windows Server 2016

Procédez comme suit pour installer l’authentification par mappage de certificat client avec Windows Server 2016 :

  1. Ouvrez Outils d'administration et cliquez sur Gestionnaire de serveur.
  2. Dans le volet de l'arborescence du Gestionnaire de serveur, développez Rôles et cliquez sur Serveur Web (IIS).
  3. Développez les rôles Web Server (Serveur web) et Security (Sécurité).
  4. Dans la section du rôle Security (Sécurité), sélectionnez Client Certificate Mapping Authentication (Authentification par mappage de certificat client) et cliquez sur Next (Suivant).
  5. Cliquez sur Next (Suivant) dans l’onglet Select Features (Sélectionner des entités) puis cliquez sur Install (Installer).

Installation avec Windows Server 2008/R2 et 2012/R2

Procédez comme suit pour installer l’authentification par mappage de certificat client avec Windows Server 2008/R2 et 2012/R2 :

  1. Ouvrez Outils d'administration et cliquez sur Gestionnaire de serveur.
  2. Dans le volet de l'arborescence du Gestionnaire de serveur, développez Rôles et cliquez sur Serveur Web (IIS).
  3. Faites défiler l'affichage jusqu'à la section Services de rôle et cliquez sur Ajouter des services de rôle.
  4. Dans la page Sélectionner des services de rôle de l'Assistant Ajout de services de rôle, sélectionnez Authentification par mappage de certificat client et cliquez sur Suivant.
  5. Cliquez sur Installer.

Installation avec Windows 7, 8 et 8.1

Procédez comme suit pour installer l’authentification par mappage de certificat client avec Windows 7, 8 et 8.1 :

  1. Ouvrez le Panneau de configuration et cliquez sur Programmes et fonctionnalités > Activer ou désactiver des fonctionnalités Windows.
  2. Développez Services Internet (IIS) > Services World Wide Web > Sécurité et sélectionnez Authentification par mappage de certificat client.
  3. Cliquez sur  OK.

Activer l'authentification par mappage de certificat client Active Directory

Une fois le mappage de certificat client Active Directory installé, activez la fonctionnalité en procédant comme suit.

  1. Démarrez Internet Information Server (IIS) Manager.
  2. Dans le nœud Connexions, cliquez sur le nom de votre serveur Web.
  3. Double-cliquez sur Authentification dans la fenêtre Vue des fonctionnalités.
  4. Vérifiez que l'option Authentification du certificat client Active Directory est affichée. Si la fonctionnalité n'est pas affichée ou disponible, vous pouvez être amené à redémarrer votre serveur Web pour terminer l'installation de la fonctionnalité Authentification du certificat client Active Directory.
  5. Double-cliquez sur Authentification du certificat client Active Directory et sélectionnez Activer dans la fenêtre Actions.

Un message s'affiche, indiquant que l'authentification SSL doit être activée pour que vous puissiez utiliser l'authentification du certificat client Active Directory. Ceci fait l'objet de la section suivante.

Configurer ArcGIS Web Adaptor pour demander des certificats SSL et clients

Procédez comme suit afin de configurer ArcGIS Web Adaptor pour demander des certificats SSL et clients :

  1. Démarrez le Gestionnaire des services Internet (IIS).
  2. Développez le nœud Connections (Connexions) et sélectionnez votre site ArcGIS Web Adaptor.
  3. Double-cliquez sur Authentification dans la fenêtre Vue des fonctionnalités.
  4. Désactivez toutes les formes d'authentification.
  5. Sélectionnez de nouveau votre instance ArcGIS Web Adaptor dans la liste Connections (Connexions).
  6. Double-cliquez sur Paramètres SSL.
  7. Activez l'option Exiger SSL et sélectionnez l'option Demander sous Certificats clients.
  8. Cliquez sur Appliquer pour enregistrer les modifications.

Vérifiez que vous pouvez accéder au portail avec Windows Active Directory et PKI

Procédez comme suit pour vérifier que vous pouvez accéder au portail à l’aide de Windows Active Directory et de PKI :

  1. Ouvrez le portail ArcGIS Enterprise.

    L’URL est au format suivant : https://organization.example.com/<context>/home.

  2. Vérifiez que vous êtes invité à saisir vos informations d'identification de sécurité et pouvez accéder au site Web.

Empêcher les utilisateurs de créer leurs propres comptes intégrés

Vous pouvez empêcher les utilisateurs de créer leurs propres comptes intégrés en désactivant la possibilité pour les utilisateurs de créer de nouveaux comptes intégrés dans les paramètres de l’organisation.

Vous avez un commentaire à formuler concernant cette rubrique ?

Dans cette rubrique
  1. Configurer votre portail avec Windows Active Directory
  2. Ajouter des comptes spécifiques de l’organisation
  3. Installer et activer l'authentification par mappage de certificat client Active Directory
  4. Configurer ArcGIS Web Adaptor pour demander des certificats SSL et clients
  5. Vérifiez que vous pouvez accéder au portail avec Windows Active Directory et PKI
  6. Empêcher les utilisateurs de créer leurs propres comptes intégrés