Utiliser LDAP ou Active Directory et l’authentification au niveau du portail

Configurer l’organisation de façon à utiliser le protocole HTTPS pour toutes les communications

Par défaut, ArcGIS Enterprise applique le chiffrement HTTPS pour toutes les communications. Si vous avez déjà changé cette option de façon à autoriser à la fois la communication HTTP et HTTPS, vous devez reconfigurer l’organisation pour utiliser uniquement les communications HTTPS en procédant comme suit :

  1. Connectez-vous au site web du portail en tant qu'administrateur de votre organisation. Le format de l’URL est https://organization.example.com/<context>/home.
  2. Sur la page Organization (Organisation), cliquez sur l’onglet Settings (Paramètres) puis sur Security (Sécurité).
  3. Sélectionnez Autoriser l'accès au portail via HTTPS uniquement.
  4. Cliquez sur Enregistrer pour appliquer les modifications.

Mettre à jour le magasin d’identités de votre organisation

Mettre à jour le magasin d’identités avec LDAP

  1. Connectez-vous au répertoire administrateur de ArcGIS Enterprise en tant qu’administrateur de votre organisation. L’URL est au format suivant : https://organization.example.com/context/admin.
  2. Cliquez sur Security (Sécurité) > Configuration > Update Identity Store (Mettre à jour le magasin d’identités).
  3. Dans la zone de texte Configuration du magasin d'utilisateurs (au format JSON), collez les informations de configuration des utilisateurs LDAP de votre organisation (au format JSON). Vous pouvez également actualiser l'exemple suivant avec les informations d'utilisateur propres à votre organisation.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "userFullnameAttribute": "cn",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
        "userEmailAttribute": "mail",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "uid"
      }
    }

    Dans la plupart des cas, vous ne devrez modifier que les valeurs des paramètres user, userPassword et ldapURLForUsers . L'URL de votre annuaire LDAP doit être fournie par votre administrateur LDAP.

    Dans l'exemple ci-dessus, l'URL LDAP fait référence aux utilisateurs au sein d'un OU spécifique (ou=utilisateurs). Si des utilisateurs sont présents dans plusieurs OU, l’URL LDAP peut pointer vers un OU de niveau supérieur ou même vers le niveau racine si cela est nécessaire. Dans ce cas, l’URL ressemble à ce qui suit :

    "ldapURLForUsers": "ldaps://myLdapServer:10636/dc=example,dc=com",

    Le compte que vous utilisez pour le paramètre user doit disposer d'autorisations pour rechercher l'adresse électronique et les noms d'utilisateur correspondant aux utilisateurs dans votre organisation. Même si vous saisissez le mot de passe en texte clair, il est chiffré lorsque vous cliquez sur Update Identity Store (Mettre à jour le magasin d’identités) (ci-dessous).

    Si votre LDAP est configuré pour respecter la casse, définissez le paramètre caseSensitive sur true.

  4. Pour créer des groupes sur le portail qui exploitent les groupes LDAP existants de votre magasin d’identités, collez les informations de configuration du groupe LDAP de votre organisation (au format JSON) dans la zone de texte Group store configuration (in JSON format) (Configuration du magasin de groupes (au format JSON)) comme indiqué ci-dessous. Vous pouvez également actualiser l'exemple suivant avec les informations de groupe propres à votre organisation. Si vous souhaitez uniquement utiliser les groupes intégrés dans le portail, supprimez les informations figurant dans la zone de texte et ignorez cette étape.

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin,ou=system",
        "ldapURLForUsers": "ldaps://myLdapServer:10636/ou=users,ou=ags,dc=example,dc=com",
        "ldapURLForRoles": "ldaps://myLdapServer:10636/dc=example,dc=com",
        "usernameAttribute": "uid",
        "caseSensitive": "false",
        "userSearchAttribute": "uid",
        "memberAttributeInRoles": "member",
        "rolenameAttribute":"cn"
      }
    }

    Dans la plupart des cas, vous ne devrez modifier que les valeurs des paramètres user, userPassword et ldapURLForUsers . L'URL de votre annuaire LDAP doit être fournie par votre administrateur LDAP.

    Dans l'exemple ci-dessus, l'URL LDAP fait référence aux utilisateurs au sein d'un OU spécifique (ou=utilisateurs). Si des utilisateurs sont présents dans plusieurs OU, l’URL LDAP peut pointer vers un OU de niveau supérieur ou même vers le niveau racine si cela est nécessaire. Dans ce cas, l’URL ressemble à ce qui suit :

    "ldapURLForUsers": "ldaps://bar2:10636/dc=example,dc=com",

    Le compte que vous utilisez pour le paramètre user doit disposer d'autorisations pour rechercher l'adresse électronique et les noms d'utilisateur correspondant aux utilisateurs dans votre organisation. Même si vous saisissez le mot de passe en texte clair, il est chiffré lorsque vous cliquez sur Update Identity Store (Mettre à jour le magasin d’identités) (ci-dessous).

    Si votre LDAP est configuré pour respecter la casse, définissez le paramètre caseSensitive sur true.

  5. Cliquez sur Update Identity Store (Mettre à jour le magasin d’identités) pour enregistrer les modifications.

Mettre à jour le magasin d’identités avec Active Directory

  1. Connectez-vous au répertoire administrateur de ArcGIS Enterprise en tant qu’administrateur de votre organisation. L’URL est au format suivant : https://organization.example.com/context/admin.
  2. Cliquez sur Security (Sécurité) > Configuration > Update Identity Store (Mettre à jour le magasin d’identités).
  3. Dans la zone de texte User store configuration (in JSON format) (Configuration du magasin d’utilisateurs [au format JSON]), collez les informations de configuration des utilisateurs Windows Active Directory de votre organisation (au format JSON). Vous pouvez également actualiser l'exemple suivant avec les informations d'utilisateur propres à votre organisation.

    {
      "type": "WINDOWS",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "mydomain\\winaccount",
        "userFullnameAttribute": "cn",
        "userEmailAttribute": "mail",
        "userGivenNameAttribute": "givenName",
        "userSurnameAttribute": "sn",
        "caseSensitive": "false"
      }
    }

    Dans la plupart des cas, seules les valeurs des paramètres userPassword et user doivent être modifiées. Même si vous saisissez le mot de passe en texte clair, il est chiffré lorsque vous cliquez sur Update Identity Store (Mettre à jour le magasin d’identités) (ci-dessous). Le compte que vous spécifiez pour le paramètre utilisateur n’a besoin que des autorisations permettant de consulter l’adresse électronique et le nom complet correspondant à des comptes Windows sur le réseau. Si cela est possible, indiquez un compte dont le mot de passe n'expire pas.

    Dans les rares cas où votre instance Windows Active Directory est configurée pour respecter la casse, définissez le paramètre caseSensitive sur true.

  4. Pour créer des groupes sur le portail qui exploitent les groupes Active Directory existants de votre magasin d’identités, collez les informations de configuration du groupe Windows Active Directory de votre organisation (au format JSON) dans la zone de texte Group store configuration (in JSON format) [Configuration du magasin de groupes (au format JSON)] comme indiqué ci-dessous. Vous pouvez également actualiser l'exemple suivant avec les informations de groupe propres à votre organisation. Si vous souhaitez uniquement utiliser les groupes intégrés dans le portail, supprimez les informations figurant dans la zone de texte et ignorez cette étape.

    {
      "type": "WINDOWS",
      "properties": {
        "isPasswordEncrypted": "false",
        "userPassword": "secret",
        "user": "mydomain\\winaccount"
      }
    }

    Dans la plupart des cas, seules les valeurs des paramètres userPassword et user doivent être modifiées. Même si vous saisissez le mot de passe en texte clair, il est chiffré lorsque vous cliquez sur Update Identity Store (Mettre à jour le magasin d’identités) (ci-dessous). Le compte que vous spécifiez pour le paramètre utilisateur n’a besoin que des autorisations permettant de consulter les noms des groupes Windows sur le réseau. Si cela est possible, indiquez un compte dont le mot de passe n'expire pas.

  5. Cliquez sur Update Identity Store (Mettre à jour le magasin d’identités) pour enregistrer les modifications.

Vous pouvez également configurer les paramètres d'un magasin d'identités.

Vous pouvez modifier des paramètres de configuration d’un magasin d’identités supplémentaires à l’aide du répertoire administrateur ArcGIS Enterprise. Ces paramètres permettent notamment permettent d’indiquer si des groupes sont actualisés automatiquement lorsqu’un utilisateur d’une organisation spécifique se connecte au portail, de définir l’intervalle d’actualisation des appartenances et de déterminer si plusieurs formats de noms d’utilisateurs doivent être recherchés. Reportez-vous à la rubrique Mettre à jour le magasin d'identités pour en savoir plus.

Configurer l'authentification au niveau du portail

Après avoir configuré l’organisation avec votre magasin d’identités Active Directory ou LDAP, vous devez activer l’accès anonyme via l’adaptateur Web dans IIS ou votre serveur d’application Java.Lorsqu’un utilisateur accède à la page de connexion de l’organisation, il est en mesure de se connecter en utilisant les identifiants de connexion intégrés ou les identifiants de connexion de l’organisation. Les utilisateurs spécifiques de l’organisation devront indiquer les identifiants de connexion de leur compte chaque fois qu’ils se connectent au portail. Aucune connexion unique ou automatique n’est possible. Ce type d’authentification permet également aux utilisateurs anonymes d’accéder aux cartes ou aux autres ressources de l’organisation qui sont partagées avec tout le monde.

Vérifier que vous pouvez accéder au portail à l’aide des identifiants de connexion

  1. Ouvrez le portail ArcGIS Enterprise. Le format de l’URL est : https://organization.example.com/context/home.
  2. Connectez-vous à l’aide des identifiants de connexion de votre compte spécifique à une organisation (exemple de syntaxe ci-dessous).

Lorsque vous utilisez l’authentification au niveau du portail, les membres se connectent avec la syntaxe suivante :

  • Si vous utilisez le portail avec votre déploiement d’Active Directory, la syntaxe peut être domain\username ou username@domain. Quelle que soit la façon dont le membre se connecte, le nom d’utilisateur apparaît toujours au format username@domain, sur le site Web du portail.
  • Si vous utilisez le portail avec LDAP, la syntaxe dépend du usernameAtrribute spécifié dans la configuration de magasin de l’utilisateur. Le site Web du portail affiche également le compte sous ce format.

Ajouter des comptes d’organisation à votre portail

Par défaut, les utilisateurs spécifiques d’une organisation peuvent accéder au site Web du portail. Toutefois, ils peuvent uniquement afficher les éléments qui ont été partagés avec tout le monde dans l'organisation. En effet, les comptes d’organisation n’ont pas été ajoutés dans le portail et ils ne disposent pas des privilèges d’accès.

Ajoutez des comptes à votre organisation selon l’une des méthodes suivantes :

Nous vous recommandons de désigner au moins un compte d’organisation pour administrer votre portail. Pour ce faire, sélectionnez le rôle Administrator (Administrateur) lorsque vous ajoutez le compte. Lorsque vous disposez d'un autre compte d'administrateur sur le portail, vous pouvez attribuer le compte d'administrateur initial au rôle Utilisateur ou supprimer ce compte. Pour plus d'informations, reportez-vous à la rubrique A propos du compte d'administrateur initial.

Une fois les comptes ajoutés, les utilisateurs peuvent se connecter à l’organisation et accéder au contenu.