Le principal facteur qui doit déterminer la méthode de configuration de la sécurité de votre organisation ArcGIS Enterprise est la source des utilisateurs et, éventuellement, les groupes. Cette source d'utilisateurs et les groupes constituent votre magasin d'identifiants. Les utilisateurs et les groupes internes ou externes à votre organisation sont gérés via le magasin d'identifiants.
- Présentation des magasins d’identités
- Configurer des utilisateurs intégrés à l’aide du magasin d’identités du portail
- Configurer des identifiants de connexion d’organisation à l’aide de SAML
Présentation des magasins d’identités
Le magasin d’identités de votre organisation définit l’emplacement où sont conservées les informations d’identification des comptes de votre portail, le processus d’authentification et le mode de gestion de l’appartenance à un groupe. L’organisation ArcGIS Enterprise prend en charge deux types de magasins d’identités : les magasins d’identités intégrés et les magasins d’identités d’organisation.
Magasin d'identifiants intégré
Lorsque vous créez des comptes et des groupes intégrés dans l’organisation, vous utilisez le magasin d’identités intégré ; celui-ci procède à l’authentification et enregistre les noms d’utilisateur, les mots de passe, les rôles et l’appartenance au groupe des comptes. Vous devez utiliser le magasin d’identités intégré pour créer le compte d’administrateur initial de votre organisation, mais vous êtes libre, par la suite, d’utiliser un magasin d’identités propre à l’organisation. Le magasin d'identifiants intégré est utile pour mettre portail en service, ainsi qu'à des fins de développement et de test. Cependant, les environnements de production font généralement appel à un magasin d’identités propre à l’organisation.
Magasin d’identités propre à l’organisation
ArcGIS Enterprise est conçu pour vous permettre d’utiliser les comptes et les groupes propres à l’organisation afin de contrôler l’accès à votre organisation ArcGIS. Ce processus est décrit dans la documentation comme la définition d’identifiants de connexion d’organisation.
L’avantage de cette approche est que vous ne devez pas créer de comptes supplémentaires sur le portail. Les membres utilisent l’identifiant déjà défini dans le magasin d’identités de l’organisation. La gestion des identifiants de connexion des comptes, y compris les stratégies relatives à la complexité et à l’expiration des mots de passe, est entièrement externe au portail. L’authentification peut être gérée au niveau du portail avec l’authentification au niveau du portail ou via un fournisseur d’identités externe avec SAML.
De la même façon, vous pouvez également créer des groupes sur le portail qui sont liés à des groupes Active Directory, LDAP ou SAML de votre magasin d’identités. Cela permet de gérer l’appartenance aux groupes entièrement en dehors du portail. Lorsque les membres se connectent au portail, l’accès au contenu, aux éléments et aux données est déterminé par les règles d’appartenance définies dans le groupe Active Directory, LDAP ou SAML. Par ailleurs, il est possible d’ajouter plusieurs comptes d’organisation à la fois à partir de groupes Active Directory, LDAP ou SAML de votre organisation.
Par exemple, il est recommandé de désactiver l’accès anonyme à votre portail, de connecter votre portail aux groupes Active Directory, LDAP ou SAML souhaités dans votre organisation et d’ajouter les comptes spécifiques de l’organisation en fonction de ces groupes. Ainsi, vous limitez l’accès au portail en fonction de groupes Active Directory, LDAP ou SAML spécifiques au sein de votre organisation.
Prendre en charge plusieurs magasins d’identités
Avec SAML 2.0, vous pouvez autoriser l'accès à votre portail à l'aide de plusieurs magasins d'identifiants. Les utilisateurs peuvent se connecter avec des comptes intégrés et des comptes gérés par plusieurs fournisseurs d'identités compatibles avec SAML configurés pour se faire confiance. Cette méthode est conseillée pour gérer les utilisateurs qui peuvent se trouver dans ou hors de l’organisation. Pour des détails, reportez-vous à la rubrique Configurer un fournisseur d’identités compatible avec SAML avec votre portail.
Configurer des utilisateurs et des groupes intégrés à l’aide du magasin d’identités du portail
Aucune configuration n'est nécessaire pour que le portail soit utilisé par des groupes et des utilisateurs intégrés. En effet, il est prêt pour ceux-ci immédiatement après l'installation du logiciel. Dans le cas d’utilisateurs spécifiques de l’organisation, reportez-vous aux sections suivantes et cliquez sur les liens associés pour obtenir plus d’informations.
Configurer des identifiants de connexion propres à l’organisation
Il est possible de configurer les fournisseurs d’identités spécifiques de l’organisation suivants avec le portail.
Authentification au niveau du portail
Si vous voulez autoriser l’accès à votre portail avec à la fois des magasins d’identifiants d’organisation et intégrés sans utiliser SAML, vous pouvez utiliser l’authentification au niveau du portail. Pour ce faire, configurez le portail avec votre magasin d’identités Active Directory ou LDAP. Lorsqu’un utilisateur accède à la page de connexion au portail, il est en mesure de se connecter en utilisant les identifiants de connexion intégrés ou les identifiants de connexion de l’organisation. Les utilisateurs spécifiques de l’organisation devront indiquer les identifiants de connexion de leur compte chaque fois qu’ils se connectent au portail. Aucune connexion unique ou automatique n’est possible.
Lorsque vous utilisez l’authentification au niveau du portail, les membres se connectent avec la syntaxe suivante :
- Si vous utilisez le portail avec votre déploiement d’Active Directory, la syntaxe peut être domain\username ou username@domain. Quelle que soit la façon dont le membre se connecte, le nom d’utilisateur apparaît toujours au format username@domain sur le site Web du portail.
- Si vous utilisez le portail avec LDAP, la syntaxe peut être définie par l’administrateur. Le site Web du portail affiche également le compte sous ce format.
Configurer des identifiants de connexion d’organisation à l’aide de SAML
Le portail ArcGIS Enterprise prend en charge tous les fournisseurs d’identités compatibles avec SAML. Pour plus d’informations, reportez-vous à la rubrique Configurer un fournisseur d’identités compatible avec SAML à l’aide de votre portail.
Stratégie de verrouillage de compte
Les logiciels appliquent souvent une stratégie de verrouillage de compte pour protéger les utilisateurs face aux nombreuses tentatives automatiques effectuées pour deviner leurs mots de passe. Si, durant un intervalle donné, un utilisateur essaie plusieurs fois de se connecter sans y parvenir, l'accès lui sera refusé pendant un laps de temps défini. Ces stratégies tiennent compte du fait que les utilisateurs n’arrivent pas toujours à se connecter s’ils ont oublié leur nom de connexion et leur mot de passe.
La stratégie de verrouillage de portail appliquée dépend du type de magasin d’identités que vous utilisez.
Magasin d'identifiants intégré
Le magasin d’identifiants intégré verrouille l’accès d’un utilisateur s’il essaie de se connecter plus de cinq fois, sans y parvenir. Le verrouillage dure 15 minutes. Cette stratégie s'applique à tous les comptes du magasin d'identifiants, y compris le compte d'administrateur initial. Elle ne peut pas être modifiée ni remplacée.
Magasin d’identités propre à l’organisation
Lorsque vous utilisez un magasin d’identités propre à l’organisation, la stratégie de verrouillage des comptes appliquée est celle du magasin. Vous pourrez sans doute modifier la stratégie de verrouillage de compte du magasin. Consultez la documentation propre au type de magasin pour savoir comment modifier la stratégie de verrouillage de compte.
Contrôler les tentatives de connexion infructueuses
Vous pouvez contrôler les tentatives de connexion infructueuses en consultant les journaux de l’organisation dans ArcGIS Enterprise Manager. Toute tentative infructueuse se traduit par l’affichage d’un message d’avertissement indiquant que l’utilisateur n’a pas réussi à se connecter en raison d’une combinaison nom d’utilisateur/mot de passe non valide. Si l’utilisateur dépasse le nombre maximal autorisé de tentatives de connexion, un message grave indiquant que le compte a été verrouillé est consigné. Les journaux permettent de consigner les tentatives de connexion infructueuses et vous aident à déterminer si votre système peut être victime d’une attaque de mot de passe.
Pour plus d’informations, reportez-vous à la rubrique Utiliser les journaux système.
Vous avez un commentaire à formuler concernant cette rubrique ?