Configurer un fournisseur d’identités compatible avec SAML avec un portail

Security Assertion Markup Language (SAML) est une norme ouverte qui permet un échange en toute sécurité des données d’authentification et d’autorisation entre le fournisseur d’identités spécifique d’une organisation et un fournisseur de services (en l’occurrence, votre organisation ArcGIS Enterprise). C’est ce que l’on appelle l’authentification unique Web SAML.

Le portail est conforme à SAML 2.0 et s’intègre avec les fournisseurs d’identités qui prennent en charge l’authentification unique Web 2 SAML. Grâce à la configuration de SAML, vous n’avez pas besoin de créer des identifiants de connexion supplémentaires pour que les utilisateurs accèdent à votre organisation. Ils utilisent à la place l’identifiant de connexion qui est déjà configuré dans un magasin d’identités. Ce processus est décrit dans la documentation comme la définition d’identifiants de connexion d’organisation.

Vous pouvez également transmettre au portail des métadonnées concernant les groupes SAML de votre magasin d’identités. Cela vous permet de créer des groupes sur le portail qui utilisent les groupes SAML de votre magasin d’identités.

Lorsque les membres se connectent au portail, l’accès au contenu, aux éléments et aux données est déterminé par les règles d’appartenance définies dans le groupe SAML. Si vous ne communiquez pas les métadonnées requises concernant les groupes SAML, vous pouvez toujours créer des groupes. Toutefois, les règles d’appartenances sont déterminées par le portail ArcGIS Enterprise et non par le magasin d’identités.

Remarque :

Vous pouvez également configurer une fédération de fournisseurs d’identités SAML avec votre portail.

Apparier les noms d’utilisateurs ArcGIS Online dans le portail ArcGIS Enterprise

Si le même fournisseur d’identités compatibles avec SAML est utilisé dans votre organisation ArcGIS Online et sur votre portail, vous pouvez configurer les noms des utilisateurs spécifiques de l’organisation pour les apparier. Le nom court de l’organisation est ajouté à la fin de tous les noms d’utilisateur de l’organisation dans ArcGIS Online. Les mêmes noms d’utilisateur de l’organisation peuvent être utilisés dans votre portail en définissant la propriété defaultIDPUsernameSuffix au sein de la configuration de sécurité du portail ArcGIS Enterprise et en la configurant de façon à être appariée avec le nom court de l’organisation. Ceci est nécessaire si le suivi de l’éditeur est activé sur un service d’entités qui est mis à jour par les utilisateurs de l’organisation à la fois depuis ArcGIS Online et votre portail.

Connexion SAML

ArcGIS Enterprise prend en charge les identifiants de connexion de l’organisation initiés par les fournisseurs de services et les identifiants de connexion de l’organisation initiés par les fournisseurs d’identités. Chaque type de connexion est différent.

Identifiants de connexion initiés par les fournisseurs de services

Avec les identifiants de connexion initiés par les fournisseurs de services, les utilisateurs accèdent directement au portail et peuvent utiliser des options leur permettant de se connecter via des comptes intégrés (gérés par le portail) ou des comptes gérés par un fournisseur d’identités compatible avec SAML. Si l’utilisateur sélectionne l’option du fournisseur d’identités SAML, il est redirigé vers une page Web (nommée gestionnaire d’identifiants de connexion) où il est invité à fournir son nom d’utilisateur SAML et le mot de passe associé. Au terme de la vérification des identifiants de connexion de l’utilisateur, le fournisseur d’identités SAML signale à ArcGIS Enterprise l’identité vérifiée de l’utilisateur qui se connecte, et l’utilisateur est redirigé vers le site Web du portail.

Si l’utilisateur choisit l’option du compte intégré, la page de connexion au site Web du portail ArcGIS Enterprise s’ouvre. L’utilisateur saisit alors son nom d’utilisateur et son mot de passe de compte intégré pour accéder au site Web. L’option du compte intégré peut être utilisée en cas d’indisponibilité du fournisseur d’identités compatible avec SAML, à condition que l’option permettant de se connecter avec un compte ArcGIS n’ait pas été désactivée.

Identifiants de connexion initiés par les fournisseurs d'identités

Avec les identifiants de connexion initiés par les fournisseurs de services, les utilisateurs accèdent directement au gestionnaire d’identifiants et se connectent avec leur compte. Lorsque le membre envoie ses informations de compte, le fournisseur d’identités envoie la réponse SAML directement à ArcGIS Enterprise. L’utilisateur est ensuite connecté et redirigé vers le site Web du portail, où il peut immédiatement accéder aux ressources sans avoir à se reconnecter à l’organisation.

L’option de connexion avec un compte intégré n’est pas disponible à partir du gestionnaire d’identifiants de connexion. Pour se connecter à l’organisation avec un compte intégré, les membres doivent accéder directement au site Web du portail.

Remarque :

Si les identifiants SAML ne fonctionnent pas en raison de problèmes avec le fournisseur d’identités et que l’option de compte intégré est désactivée, vous ne pourrez pas accéder à votre portail ArcGIS Enterprise tant que vous n’avez pas réactivé cette option. Consultez cette question dans Problèmes courants et solutions pour en savoir plus.

Fournisseurs d'identités SAML

ArcGIS Enterprise prend en charge tous les fournisseurs d’identités compatibles avec SAML. Vous trouverez des instructions détaillées sur la configuration de certains fournisseurs d’identités courants compatibles avec SAML dans le référentiel ArcGIS/IdP GitHub.

La procédure de configuration des fournisseurs d’identités avec ArcGIS Enterprise est décrite ci-dessous. Avant de continuer, il est conseillé de contacter l’administrateur du fournisseur d’identités de votre SAML pour obtenir les paramètres nécessaires à la configuration.

Informations requises

ArcGIS Enterprise requiert la réception de certaines informations attributaires de la part du fournisseur d’identités lorsqu’un utilisateur se connecte à l’aide d’identifiants SAML. L’attribut NameID est obligatoire. Il doit être envoyé par votre fournisseur d’identités dans la réponse SAML afin que la fédération fonctionne. Puisque ArcGIS Enterprise utilise la valeur de NameID pour identifier de manière unique un utilisateur nommé, il est recommandé d’utiliser une valeur constante qui identifie sans équivoque l’utilisateur. Lorsqu’un utilisateur du fournisseur d’identités se connecte, un nouvel utilisateur doté du nom d’utilisateur NameID est créé par l’organisation ArcGIS Enterprise dans son magasin d’utilisateurs. Les caractères autorisés pour la valeur envoyée par NameID sont les caractères alphanumériques, _ (trait de soulignement), . (point) et @ (symbole arobase). Tous les autres caractères sont désactivés pour contenir des traits de soulignement dans le nom d’utilisateur créé par ArcGIS Enterprise.

ArcGIS Enterprise prend en charge le flux de l’adresse électronique, de l’adhésion à des groupes, du nom donné et du prénom d’un utilisateur provenant du fournisseur d’identités SAML.

Appariements de profils utilisateur

Le tableau suivant répertorie les appariements des valeurs d’assertion SAML aux propriétés utilisateur du portail :

Propriété utilisateur ArcGISAttribut de revendication défini par le fournisseur d’identités

Adresse électronique

Adresse électronique

emailaddress

courrier

urn:oid:0.9.2342.19200300.100.1.3

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

Prénom

givenName

urn:oid:2.5.4.42

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname

Nom

surname

urn:oid:2.5.4.4

http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname

Groupes

Groupe

Groupes

Rôle

Rôles

MemberOf

member-of

http://wso2.com/claims/role

http://schemas.xmlsoap.org/claims/Group

urn:oid:1.3.6.1.4.1.5923.1.5.1.1

urn:oid:2.16.840.1.113719.1.1.4.1.25

Remarque :
Vous ne devez spécifier qu’un seul nom d’attribut pour plusieurs revendications de groupe.

Configurer le portail avec un fournisseur d’identités SAML

Vous pouvez configurer votre portail de sorte que les utilisateurs puissent se connecter en utilisant les mêmes nom d’utilisateur et mot de passe qu’ils utilisent pour vos systèmes existants sur site. Avant de définir des identifiants de connexion d’organisation, vous devez configurer un type d’utilisateur par défaut pour votre organisation.

  1. Connectez-vous au site web du portail avec le rôle Administration de votre organisation et cliquez sur Organization (Organisation) > Settings (Paramètres) > Security (Sécurité).
  2. Dans la section Logins (Connexions), cliquez sur le bouton New SAML login (Nouvelle connexion SAML) et sélectionnez l’option One identity provider (Un fournisseur d’identités). Sur la page Specify properties (Spécifier les propriétés), saisissez le nom de votre organisation (par exemple Ville de Redlands).

    Lorsque les utilisateurs accèdent au site web du portail, ce texte est intégré dans le nom de l'option de connexion SAML (par exemple, Utilisation de votre compte Ville de Redlands).

  3. Sélectionnez Automatically (Automatiquement) ou Upon invitation from an administrator (Sur invitation d’un administrateur) pour préciser siles utilisateurs peuvent rejoindre l’organisation automatiquement ou sur invitation.
    La première option permet aux utilisateurs de se connecter à l’organisation avec leurs identifiants de connexion d’organisation sans intervention de l’administrateur. Leur compte est automatiquement enregistré auprès de l'organisation lors de leur première connexion. La seconde option exige que l’administrateur inscrive les comptes nécessaires auprès de l’organisation à l’aide d’un utilitaire de ligne de commande. Une fois les comptes enregistrés, les utilisateurs peuvent se connecter à l’organisation.
    Conseil :

    Nous vous recommandons de désigner au moins un compte SAML pour administrer votre portail et de rétrograder ou supprimer le compte d’administrateur initial. Nous vous conseillons également de désactiver le bouton Create an account (Créer un compte) sur le site Web du portail pour empêcher les utilisateurs de créer leurs propres comptes. Pour plus d’informations, consultez la section Désigner un compte d’organisation comme administrateur ci-dessous.

  4. Spécifiez la source à laquelle le portail accédera pour obtenir les informations de métadonnées. Vous obtiendrez ainsi les informations de métadonnées nécessaires concernant votre fournisseur d’identités compatible SAML. Vous trouverez des instructions sur l’obtention des métadonnées auprès des fournisseurs certifiés dans le référentiel ArcGIS/IdP GitHub. Trois sources sont possibles pour obtenir des informations sur les métadonnées :
    • Une URL : fournissez une URL qui renvoie des informations de métadonnées concernant le fournisseur d'identités.
      Remarque :

      Si votre fournisseur d’identités inclut un certificat auto-signé, il se peut qu’une erreur ait lieu lorsque vous spécifiez l’URL HTTPS des métadonnées. Cela se produit parce que ArcGIS Enterprise ne peut pas vérifier le certificat auto-signé du fournisseur d’identités. Vous pouvez également utiliser HTTP dans l’URL, une des autres options ci-dessous ou configurer votre fournisseur d’identités avec un certificat approuvé.

    • Un fichier : chargez un fichier contenant des informations de métadonnées concernant le fournisseur d'identités.
    • arameters specified here (Paramètres spécifiés ici) : entrez directement les informations de métadonnées concernant le fournisseur d’identités en fournissant les paramètres suivants :
      • Login URL (Redirect) (URL de connexion [Redirection]) : fournissez l’URL du fournisseur d’identités (qui prend en charge la liaison de redirection HTTP) que ArcGIS Enterprise va utiliser pour autoriser un membre à se connecter.
      • Login URL (POST) (URL de connexion [POST]) : fournissez l’URL du fournisseur d’identités (qui prend en charge la liaison HTTP POST) que ArcGIS Enterprise va utiliser pour autoriser un membre à se connecter.
      • Certificate (Certificat) : indiquez le certificat du fournisseur d’identités, encodé en base 64. Il s’agit du certificat qui permet à ArcGIS Enterprise de vérifier la signature numérique dans les réponses SAML qui lui sont envoyées par le fournisseur d’identités.
    Remarque :

    Contactez l'administrateur du fournisseur d'identités pour obtenir de l'aide sur l'identification de la source des informations de métadonnées que vous devez communiquer.

  5. Inscrivez les métadonnées du fournisseur de services du portail auprès de votre fournisseur d’identités pour terminer le processus de configuration et établir une relation de confiance avec le fournisseur d’identités. Pour obtenir les métadonnées du portail, procédez comme suit :
    • Dans la section Security (Sécurité) de l’onglet Settings (Paramètres) de votre organisation, cliquez sur le bouton Download service provider metadata (Télécharger les métadonnées du fournisseur de services) pour télécharger le fichier de métadonnées de votre organisation.
    • Ouvrez l’URL des métadonnées et enregistrez-les en tant que fichier .xml sur votre ordinateur. L’URL est https://webadaptorhost.domain.com/webadaptorname/sharing/rest/portals/self/sp/metadata?token=<token>, par exemple, https://samltest.domain.com/arcgis/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Vous pouvez générer un jeton avec https://webadaptorhost.domain.com/webadaptorname/sharing/rest/generateToken. Lorsque vous saisissez l’URL sur la page Generate Token (Générer un jeton), indiquez le nom de domaine complet du serveur du fournisseur d’identités dans la zone de texte Webapp URL (URL de l’application Web). Aucune autre option, telle que IP Address (Adresse IP) ou Address of this request's origin (Adresse IP de l’origine de cette requête), n’est prise en charge et ne risque de générer un jeton incorrect.

    Vous trouverez des instructions sur l’enregistrement des métadonnées des fournisseurs de services du portail auprès des fournisseurs certifiés dans le référentiel ArcGIS/IdP GitHub.

  6. Configurez les paramètres avancés comme il convient :
    • Allow Encrypted Assertion (Autoriser l’assertion chiffrée) : permet d’indiquer au fournisseur d’identités SAML que ArcGIS Enterprise prend en charge les réponses d’assertion SAML chiffrées. Lorsque cette option est sélectionnée, le fournisseur d'identités chiffre la section d'assertion des réponses SAML. Tout le trafic SAML en direction et en provenance de ArcGIS Enterprise est déjà chiffré à l’aide du protocole HTTPS, mais cette option ajoute une couche de chiffrement.
      Conseil :

      Certains fournisseurs d’identités ne chiffrent pas les assertions par défaut. Il est recommandé de vérifier auprès de l’administrateur du fournisseur d’identités que les assertions chiffrées sont prises en charge.

    • Enable signed request (Activer la demande signée) : permet à ArcGIS Enterprise de signer la demande d’authentification SAML envoyée au fournisseur d’identités. La signature de la demande de connexion initiale envoyée par ArcGIS Enterprise autorise le fournisseur d’identités à vérifier que toutes les demandes de connexion proviennent d’un fournisseur de services approuvé.
    • Propagate logout to Identity Provider (Propager la déconnexion au fournisseur d’identités) : permet d’indiquer à ArcGIS Enterprise d’utiliser une URL de déconnexion pour déconnecter l’utilisateur du fournisseur d’identités. Indiquez l'URL à utiliser dans le paramètre URL de déconnexion. Si le fournisseur d’identités exige que l’URL de déconnexion soit signée, le paramètre Activer la demande signée doit également être sélectionné. Lorsque ce paramètre n’est pas sélectionné, cliquer sur Sign Out (Se déconnecter) dans ArcGIS Enterprise a pour effet de déconnecter l’utilisateur de ArcGIS Enterprise mais pas du fournisseur d’identités. Si le cache du navigateur Web de l’utilisateur n’est pas vidé, une reconnexion immédiate à ArcGIS Enterprise en utilisant l’option de connexion spécifique d’une organisation entraînera une connexion sans fournir les identifiants de connexion de l’utilisateur au fournisseur d’identités SAML. Ceci est une faille de sécurité susceptible d’être exploitée lors de l’utilisation d’un ordinateur accessible à des utilisateurs non autorisés ou au grand public.
    • Update profiles on sign in (Mettre à jour les profils lors de la connexion) : permet d’indiquer à ArcGIS Enterprise de mettre à jour les attributs givenName et email address des utilisateurs s’ils ont changé depuis leur dernière connexion. Cette propriété est activée par défaut.
    • Enable SAML based group membership (Activer l’adhésion au groupe SAML) : permet d’autoriser les administrateurs du portail à relier des groupes dans le fournisseur d’identités SAML aux groupes créés dans votre portail ArcGIS Enterprise. Lorsque ce paramètre est sélectionné, ArcGIS Enterprise analyse la réponse d’assertion SAML pour identifier les groupes auxquels un membre appartient. Vous pouvez alors spécifier un ou plusieurs groupes SAML fournis par le fournisseur d’identités sous Who can join this group? (Qui peut rejoindre ce groupe ?) lorsque vous créez un groupe dans votre portail.
      Remarque :

      Lorsque vous créez un groupe dans le portail ArcGIS Enterprise, le nom de groupe que vous saisissez doit correspondre à la valeur exacte du groupe SAML externe, telle qu’elle est renvoyée dans la valeur attributaire de l’assertion SAML. Si vous ne connaissez pas la valeur appropriée, contactez l’administrateur ayant configuré le système SAML de votre organisation.

      Cette fonction est désactivée par défaut.
    • URL de déconnexion : entrez l’URL du fournisseur d’identités à utiliser pour déconnecter l’utilisateur actuellement connecté. Si cette propriété est spécifiée dans le fichier de métadonnées du fournisseur d'identités, elle est définie automatiquement.
    • Entity ID (ID d’entité) : mettez à jour cette valeur pour utiliser un nouvel ID d’entité qui identifie de manière unique votre organisation ArcGIS Enterprise auprès du fournisseur d’identités SAML.

Désigner un compte d’organisation comme administrateur

La façon dont vous désignez un compte d’organisation comme administrateur du portail varie selon que la façon dont les utilisateurs peuvent rejoindre l’organisation, à savoir automatiquement ou sur l’invitation d’un administrateur.

Rejoindre l'organisation automatiquement

Si vous choisissez l’option Automatically (Automatiquement) qui permet aux utilisateurs de rejoindre l’organisation de façon automatique, ouvrez la page d’accueil du site Web du portail tout en étant connecté au compte d’organisation à utiliser pour administrer le portail.

Lorsqu’un compte est automatiquement ajouté pour la première fois au portail, le rôle par défaut configuré pour les nouveaux membres lui est attribué. Seul un administrateur de l’organisation peut changer le rôle d’un compte. Vous devez vous connecter au portail à l’aide du compte d’administration initial et affecter un compte d’organisation au rôle Administration.

  1. Ouvrez le site Web du portail, cliquez sur l’option permettant de se connecter à l’aide d’un fournisseur d’identités SAML et saisissez les identifiants de connexion du compte SAML que vous souhaitez utiliser pour l’administration. Si ce compte appartient à un autre utilisateur, demandez-lui de se connecter au portail pour que le compte soit enregistré auprès du portail.
  2. Vérifiez que le compte a été ajouté au portail et cliquez sur Déconnexion. Effacez le cache et les cookies du navigateur.
  3. Dans le navigateur, ouvrez le site Web du portail, cliquez sur l’option permettant de se connecter à l’aide d’un compte de portail intégré et fournissez les identifiants de connexion du compte d’administration initial que vous avez créé lors de la configuration de ArcGIS Enterprise.
  4. Recherchez le compte SAML à utiliser pour administrer le portail, puis changez le rôle en Administrator (Administration). Cliquez sur Sign Out (Déconnexion).

Le compte SAML que vous avez sélectionné est maintenant administrateur du portail.

Ajouter manuellement des comptes d’organisation au portail

Si vous sélectionnez l’option Upon invitation from an administrator (Sur invitation d’un administrateur), vous devez inscrire les comptes nécessaires auprès de l’organisation à l’aide d’un utilitaire de ligne de commande. Sélectionnez le rôle Administrator (Administration) pour le compte SAML utilisé pour administrer le portail.

Rétrogradation ou suppression du compte d'administrateur initial

Maintenant que vous disposez d’un autre compte d’administrateur sur le portail, vous pouvez attribuer le compte d’administrateur initial à un autre rôle ou supprimer ce compte. Pour plus d'informations, reportez-vous à la rubrique A propos du compte d'administrateur initial.

Empêcher les utilisateurs de créer leurs propres comptes

Vous pouvez empêcher les utilisateurs de créer leurs propres comptes intégrés en désactivant la possibilité pour les utilisateurs de créer des comptes intégrés dans les paramètres de l’organisation.

Empêcher les utilisateurs à se connecter avec un compte ArcGIS

Pour empêcher les utilisateurs de se connecter au portail à l’aide d’un compte ArcGIS, désactivez le bouton bascule ArcGIS login (Identifiant ArcGIS) dans la page de connexion.

  1. Connectez-vous au site Web du portail avec le rôle Administration de l’organisation et cliquez sur Organization (Organisation) > Settings (Paramètres) > Security (Sécurité).
  2. Dans la section Logins (Connexions), désactivez le bouton bascule ArcGIS login (Identifiant ArcGIS).

La page de connexion affiche le bouton permettant de s’identifier sur le portail via un compte de fournisseur d’identités, et le bouton ArcGIS login (Identifiant ArcGIS) n’est pas disponible. Pour réactiver l’identification des membres via les comptes ArcGIS, activez le bouton bascule ArcGIS login (Identifiant ArcGIS) dans la section Logins (Connexions).

Modifier ou supprimer le fournisseur d’identités SAML

Une fois que vous avez configuré un fournisseur d’identités SAML, vous pouvez mettre à jour les paramètres qui le concernent en cliquant sur le bouton Edit (Mettre à jour) Edit (Mettre à jour) en regard du fournisseur d’identités SAML actuellement inscrit. Mettez à jour les paramètres dans la fenêtre Edit SAML login (Mettre à jour un identifiant de connexion SAML).

Pour supprimer le fournisseur d’identités actuellement inscrit, cliquez sur le bouton Edit (Mettre à jour) Edit (Mettre à jour) en regard du fournisseur d’identités, puis cliquez sur Delete login (Supprimer un identifiant de connexion) dans la fenêtre Edit SAML login (Modifier un identifiant de connexion SAML). Une fois que vous avez supprimé un fournisseur d’identités, vous pouvez éventuellement en configurer un nouveau ou configurer une fédération de fournisseurs d’identités.

Pratiques conseillées en matière de sécurité SAML

Pour activer les identifiants de connexion SAML, vous pouvez configurer ArcGIS Enterprise comme fournisseur de services pour votre fournisseur d’identités SAML. Pour une sécurité fiable, étudiez les meilleures pratiques ci-dessous.

Signer numériquement les demandes de connexion et de déconnexion SAML et signer la réponse d’assertion SAML

Les signatures servent à garantir l’intégrité des messages SAML et agissent comme une mesure de protection contre les attaques d’intercepteur. La signature numérique de la demande SAML garantit également que la demande est envoyée par un fournisseur de services approuvé, ce qui permet au fournisseur d’identités de mieux faire face aux attaques de déni de service. Activez l’option Enable signed request (Activer la demande signée) dans les paramètres avancés lors de la configuration des identifiants de connexion SAML.

Remarque :

L’activation des demandes signées nécessite la mise à jour du fournisseur d'identités chaque fois que le certificat de signature utilisé par le fournisseur de services est renouvelé ou remplacé.

Configurez le fournisseur d’identités SAML pour qu’il signe la réponse SAML afin d’empêcher la modification en transit de la réponse d’assertion SAML.

Remarque :

L’activation des demandes signées nécessite la mise à jour du fournisseur de services (ArcGIS Enterprise) chaque fois que le certificat de signature utilisé par le fournisseur d’identités est renouvelé ou remplacé.

Utiliser l’extrémité HTTPS du fournisseur d’identités

Toute communication entre le fournisseur de services, le fournisseur d’identités et le navigateur de l’utilisateur envoyée via un réseau interne ou Internet dans un format non chiffré peut être interceptée par un tiers malveillant. Si votre fournisseur d’identités SAML prend en charge le protocole HTTPS, il est recommandé d’utiliser l’extrémité HTTPS pour garantir la confidentialité des données transmises lors des connexions SAML.

Chiffrer la réponse d’assertion SAML

L’utilisation du protocole HTTPS pour les communications SAML sécurise les messages SAML envoyés entre le fournisseur d'identités et le fournisseur de services. Toutefois, les utilisateurs connectés peuvent tout de même décoder et afficher les messages SAML par l'intermédiaire du navigateur Web. L’activation du chiffrement de la réponse d’assertion empêche les utilisateurs d’afficher les informations confidentielles ou sensibles communiquées entre le fournisseur d’identités et le fournisseur de services.

Remarque :

L’activation des assertions chiffrées nécessite la mise à jour du fournisseur d’identités chaque fois que le certificat de chiffrement utilisé par le fournisseur de services (ArcGIS Enterprise) est renouvelé ou remplacé.

Gérer de manière sécurisée les certificats de signature et de chiffrement

Utilisez des certificats possédant des clés cryptographiques fortes pour signer ou chiffrer numériquement les messages SAML et renouvelez ou remplacez les certificats tous les trois à cinq ans.