La configuration d’identifiants de connexion d’organisations tels que les identifiants OpenID Connect permet aux membres de votre organisation de se connecter à ArcGIS Enterprise en utilisant les mêmes identifiants que ceux qu’ils utilisent pour accéder aux systèmes internes de votre organisation. Grâce à la configuration d'identifiants de connexion d'organisation, les membres n'ont pas besoin de créer des identifiants de connexion supplémentaires dans le système ArcGIS Enterprise. Ils peuvent utiliser à la place l'identifiant de connexion qui est déjà configuré avec l"organisation. Lorsque des membres se connectent à ArcGIS Enterprise, ils indiquent leur nom d’utilisateur et leur mot de passe d’organisation dans le gestionnaire d’identifiants de connexion de l’organisation, également appelé fournisseur d’identités de l’organisation. Au terme de la vérification des identifiants de connexion des membres, le fournisseur d’identités informe ArcGIS Enterprise que l’identité du membre qui se connecte a été vérifiée.
ArcGIS Enterprise accepte le protocole d’authentification OpenID Connect et l'intégration avec des fournisseurs d’identités tels que Okta et Google, qui prennent en charge OpenID Connect.
Vous pouvez configurer la page de connexion de votre organisation pour qu’elle affiche uniquement l’identifiant de connexion OpenID Connect ou l’identifiant de connexion OpenID Connect, ainsi que l’identifiant de connexion ArcGIS et l’identifiant de connexion SAML (s’il est configuré).
Configurer des identifiants de connexion OpenID Connect
La procédure de configuration du fournisseur d’identités OpenID Connect dans ArcGIS Enterprise est décrite ci-dessous. Avant de continuer, il est conseillé de contacter l’administrateur du fournisseur d’identités pour obtenir les paramètres nécessaires à la configuration. Vous pouvez également accéder et participer à la documentation détaillée sur la configuration des fournisseurs d’identités tiers dans le référentiel GitHub ArcGIS/idp.
- Vérifiez que vous êtes connecté en tant qu'administrateur de votre organisation.
- En haut du site, cliquez sur Organization (Organisation), puis sur l’onglet Settings (Paramètres).
- Si vous envisagez d’autoriser les membres à se joindre automatiquement à l’organisation, configurez les paramètres par défaut des nouveaux membres d’abord.
S’il y a lieu, vous pouvez modifier ces paramètres pour des membres spécifiques après qu’ils ont rejoint l’organisation.
- Cliquez sur New member defaults (Paramètres par défaut des nouveaux membres) sur le côté de la page.
- Sélectionnez le type d’utilisateur et le rôle par défaut des nouveaux membres.
- Sélectionnez les licences additionnelles à attribuer automatiquement aux membres qui rejoignent l’organisation.
- Sélectionnez les groupes auxquels les membres sont ajoutés lorsqu’ils rejoignent l’organisation.
- Sélectionnez les catégories auxquelles les membres sont ajoutés lorsqu’ils rejoignent l’organisation.
- Cliquez sur Security (Sécurité) sur le côté de la page.
- Dans la section Logins (Identifiants de connexion), cliquez sur New OpenID Connect login (Nouvel identifiant de connexion OpenID Connect).
- Dans le champ Login button label (Étiquette du bouton de connexion), saisissez le texte que les membres verront apparaître sur le bouton qui leur permettra de se connecter avec leurs identifiants OpenID Connect.
- Choisissez la façon dont les membres dotés d’identifiants de connexion OpenID Connect rejoindront votre organisation : automatiquement ou suite à l’ajout par l’administration.
L'option automatique permet aux membres de rejoindre l'organisation en se connectant avec leurs identifiants de connexion OpenID Connect. L’autre option permet aux administrateurs d’ajouter des membres à l’organisation. L’option automatique vous permet tout de même ajouter directement des membres à l’aide de leurs identifiants de connexion OpenID Connect. Pour plus d’informations, reportez-vous à la rubrique Ajouter des membres à votre portail.
- Dans le champ Registered client ID (ID client enregistré), saisissez l’ID client du fournisseur d’identités.
- Dans le champ Registered client secret (Clé secrète client enregistrée), indiquez la clé secrète client du fournisseur d’identités.
- Dans le champ Provider scopes/permissions (Portées/autorisations du fournisseur), indiquez les portées à envoyer avec la requête au point de terminaison de l’autorisation.
Remarque :
ArcGIS Enterprise prend en charge les portées correspondant aux attributs de l’identifiant OpenID Connect, du courrier électronique et du profil utilisateur. Vous pouvez utiliser la valeur standard de openid profile email pour les portées si elle est prise en charge par votre fournisseur OpenID Connect. Consultez la documentation de votre fournisseur OpenID Connect pour en savoir plus sur les portées prises en charge. - Dans le champ Provider issuer ID (ID d’émetteur du fournisseur), indiquez l’identifiant du fournisseur OpenID Connect.
- Renseignez les URL du fournisseur d’identité OpenID Connect comme suit :
Conseil :
Pour plus d’informations sur la façon de renseigner les informations ci-dessous, reportez-vous au document de configuration officiel du fournisseur d’identités, https:/[IdPdomain]/.well-known/openid-configuration par exemple.
- Pour OAuth 2.0 authorization endpoint URL (URL du point de terminaison de l’autorisation OAuth 2.0), indiquez l’URL du point de terminaison de l’autorisation OAuth 2.0 du fournisseur d’identités.
- Pour Token endpoint URL (URL du point de terminaison du jeton), indiquez l’URL du point de terminaison du jeton du fournisseur d’identités pour obtenir les jetons d’identifiant et d’accès.
- Éventuellement, pour JSON web key set (JWKS) URL (URL du jeu de clés Web JSON (JWKS)), indiquez l’URL du document de jeu de clés Web JSON du fournisseur d’identités.
Ce document contient les clés de signature utilisées pour valider les signatures du fournisseur. Cette URL n’est utilisée que si l’option User profile endpoint URL (recommended) (URL du point de terminaison du profil utilisateur (recommandée)) n’est pas configurée.
- Pour User profile endpoint URL (recommended) (URL du point de terminaison du profil utilisateur (recommandée)), indiquez le point de terminaison pour obtenir les informations sur l’identité de l’utilisateur.
Si vous n'indiquez pas cette URL, c'est l'URL indiquée dans le champ JSON web key set (JWKS) URL (URL du jeu de clés Web JSON (JWKS) qui est utilisée à la place.
- Éventuellement, pour Logout endpoint URL (optional) (URL du point de terminaison de déconnexion (facultative), indiquez l’URL du point de terminaison de déconnexion sur le serveur d’autorisations.
Lorsque le membre se déconnecte d’ArcGIS, cette URL sert à le déconnecter aussi du fournisseur d’identités.
- Activez le bouton bascule Send access token in header (Envoyer le jeton d'accès dans l'en-tête) si vous voulez que le jeton soit envoyé dans un en-tête plutôt que dans une chaîne de requête.
- Éventuellement, utiliser le bouton Use PKCE enhanced Authorization Code Flow (Flux de code d’autorisation amélioré PKCE)
Si cette option est activée, le protocole Proof Key for Code Exchange (PKCE) est utilisé pour sécuriser le flux de code d’autorisation OpenID Connect. Chaque demande d’autorisation crée un vérificateur de code unique, dont la valeur transofrmée, le défi de code, est envoyé au serveur d’autorisations pour obtenir le code d’autorisation. La méthode du défi de code utilisée pour cette transformation est S256, ce qui signifie que le défi de code est une URL codée Base64, un hachage SHA-256 du vérificateur de code.
- Si vous le souhaitez, vous pouvez indiquer dans ArcGIS username field/claim name (Champ de nom d’utilisateur ArcGIS/nom de revendication) le nom de la revendication du jeton d’identifiant qui servira à configurer le nom d’utilisateur ArcGIS.
La valeur indiquée doit correspondre aux critères de nom d’utilisateur d’Esri. Un nom d’utilisateur ArcGIS doit contenir entre 6 et 128 caractères et ne peut contenir que les caractères spéciaux suivants : . (point), _ (trait de soulignement) et @ (symbole arobase). Les autres caractères spéciaux, les caractères non alphanumériques et les espaces ne sont pas autorisés.
Si vous indiquez une valeur de moins de 6 caractères, or si la valeur correspond à un nom d’utilisateur existant, des nombres sont ajoutés à la valeur. Si vous laissez ce champ vide, le nom d’utilisateur est créé à partir du préfixe de l’e-mail s’il est disponible. Sinon, la revendication d’identifiant est utilisée pour créer le nom d’utilisateur.
- Pour terminer le processus de configuration, copiez les URI de redirection de connexion (option Login Redirect URI) et URI de redirection de déconnexion (option Logout Redirect URI) générées (le cas échéant) et ajoutez-les à la liste des URL de rappel autorisées pour le fournisseur d’identités OpenID Connect.
- Lorsque vous avez terminé, cliquez sur Save (Enregistrer).
Modifier ou supprimer le fournisseur d’identités OpenID Connect
Une fois que vous avez configuré un fournisseur d’identités OpenID Connect, vous pouvez mettre à jour ses paramètres en cliquant sur Configure login (Configurer la connexion) en regard du fournisseur d’identités actuellement inscrit. Mettez à jour les paramètres dans la fenêtre Edit OpenID Connect login (Modifier la connexion OpenID Connect).
Pour supprimer le fournisseur d’identités actuellement inscrit, cliquez sur Configure login (Configurer la connexion) en regard du fournisseur d’identités, puis cliquez sur Delete login (Supprimer un identifiant de connexion) dans la fenêtre Edit OpenID Connect login (Modifier un identifiant de connexion OpenID Connect).
Remarque :
Une connexion OpenID Connect ne peut être supprimée que si tous les membres du fournisseur sont retirés.
Vous avez un commentaire à formuler concernant cette rubrique ?