Haut

Utiliser LDAP et la méthode d’authentification au niveau du Web

Dans cette rubrique

  1. Configurer votre organisation avec LDAP
  2. Ajouter des comptes spécifiques de l’organisation
  3. Configurer ArcGIS Web Adaptor pour utiliser l’authentification au niveau du Web
  4. Vérifier que vous pouvez accéder au portail à l'aide de LDAP
  5. Empêcher les utilisateurs de créer leurs propres comptes intégrés

Vous pouvez sécuriser l’accès à votre organisation à l’aide du protocole LDAP (Lightweight Directory Access Protocol). Lorsque vous utilisez LDAP, les identifiants sont gérés via le serveur LDAP de votre organisation.

Pour utiliser LDAP, vous pouvez configurer l’authentification au niveau du portail ou l’authentification au niveau du Web à l’aide de ArcGIS Web Adaptor (Java Platform) déployé sur un serveur d’applications Java. Vous ne pouvez pas utiliser ArcGIS Web Adaptor (IIS) pour effectuer l’authentification au niveau du Web avec LDAP.

Configurer votre organisation avec LDAP

Par défaut, ArcGIS Enterprise applique le chiffrement HTTPS pour toutes les communications. Si vous avez déjà changé cette option de façon à autoriser à la fois la communication HTTP et HTTPS, vous devez reconfigurer le portail pour utiliser uniquement les communications HTTPS en procédant comme suit :

Configurer l’organisation de façon à utiliser le protocole HTTPS pour toutes les communications

Pour configurer l’organisation de façon à utiliser le protocole HTTPS, procédez comme suit :

  1. Connectez-vous au site Web de l’organisation en tant qu’administrateur.

    Le format de l’URL est https://organization.example.com/<context>/home.

  2. Cliquez sur Organization (Organisation), cliquez ensuite sur l’onglet Settings (Paramètres), puis sur Security (Sécurité) dans la partie gauche de la page.
  3. Activez Allow access to the portal through HTTPS only (Autoriser l’accès au portail via HTTPS uniquement).

Configurez votre magasin d’identités à l’aide des utilisateurs et des groupes LDAP.

Ensuite, mettez à jour le magasin d’identités de votre organisation pour qu’il utilise des utilisateurs et groupes LDAP.

  1. Connectez-vous à ArcGIS Enterprise Manager en tant qu’administrateur de votre organisation. L’URL est au format suivant : https://organization.example.com/<context>/manager.
  2. Cliquez sur Security (Sécurité) > Identity Store (Magasin d’identités).
  3. Les options situées sous User store (Magasin d’utilisateurs) et Group store (Magasin de groupes) vous permettent de sélectionner la manière dont les utilisateurs et les groupes sont gérés pour votre organisation.
  4. Sélectionnez LDAP sous User store (Magasin d’utilisateurs). Avec les utilisateurs LDAP, vous pouvez utiliser le magasin de groupes intégré ou un magasin de groupes LDAP. Les zones en entrée figurant dans la section User store and group store configuration (Configuration du magasin d’utilisateurs et du magasin de groupes) changent en fonction du type de magasin de groupes sélectionné.
  5. Dans la section User store and group store configuration (Configuration du magasin d’utilisateurs et du magasin de groupes), entrez les informations appropriées dans chaque champ. Les descriptions de chaque zone de texte sont les suivantes :

    • Type—LDAP ou LDAPS.
    • Hostname (Required)—Nom de la machine hôte sur laquelle le répertoire LDAP s’exécute.
    • Port (Required)—Numéro de port sur la machine hôte au niveau duquel le répertoire LDAP écoute les connexions entrantes.
      Remarque :

      Pour des connexions sécurisées, ce numéro est généralement 636.

    • User Base DN (Required)—Nom distingué (DN) sur le serveur d’annuaire de nœud sur lequel les informations d’utilisateur sont conservées ; par exemple, ou=users,dc=example,dc=com.
    • Group base DN (Required)—Nom distingué (DN) sur le serveur d’annuaire de nœud sur lequel les informations de groupe sont conservées ; par exemple, ou=groups,dc=example,dc=com.
    • Username (Required)—Nom distingué (DN) d’un compte d’utilisateur LDAP ayant accès au nœud qui contient les informations d’utilisateur. Ce compte n’a pas besoin d’un accès administratif.
    • Password (Required)—Mot de passe du compte d’utilisateur LDAP utilisé pour accéder au serveur d’annuaire.
    • LDAP URL for users— URL LDAP des utilisateurs qui va être utilisée pour se connecter à l’annuaire LDAP.
      Remarque :
      Cet URL est automatiquement généré mais peut être changé si nécessaire.
    • LDAP URL for groups—URL LDAP des groupes allant être utilisé pour se connecter à l’annuaire LDAP.
      Remarque :
      Cet URL est automatiquement généré mais peut être changé si nécessaire.
    • Are usernames case sensitive?—Yes ou No.
    • User first name attribute (Required)—Attribut de serveur d’annuaire du prénom d’un utilisateur.
    • User last name attribute (Required)—Attribut de serveur d’annuaire du nom d’un utilisateur.
    • User email attribute (Required)—Attribut de serveur d’annuaire de l’adresse e-mail d’un utilisateur.
    • Username attribute (Required)—Attribut de serveur d’annuaire d’un nom d’utilisateur.
    • User search attribute—Ce champ est facultatif et n’est obligatoire que lors de la configuration de Enterprise pour utiliser l’authentification au niveau du Web sur un adaptateur Web Java. Dans certains scénarios, l’adaptateur Web Java peut retourner le nom d’utilisateur authentifié dans un format différent du nom d’utilisateur spécifié ci-dessus. C’est par exemple le cas lorsqu’un adaptateur Web Java est configuré pour utiliser l’authentification du certificat client et que le serveur Web renvoie le nom distingué complet de l’utilisateur plutôt que simplement le nom d’utilisateur. Dans cet exemple, l’attribut de recherche d’utilisateur doit être défini sur distinguishedName.
    • Member attribute (Required)—Attribut de serveur d’annuaire de la liste des utilisateurs membres d’un groupe spécifique.
    • Group name attribute (Required)—Attribut de serveur d’annuaire du nom d’un groupe.

  6. Cliquez sur Save (Enregistrer) lorsque vous avez terminé de saisir les informations de configuration de votre magasin d’identités.

Ajouter des comptes spécifiques de l’organisation

Par défaut, les utilisateurs spécifiques d’une organisation peuvent accéder à l’organisation ArcGIS Enterprise. Toutefois, ils peuvent uniquement afficher les éléments qui ont été partagés avec tout le monde dans l'organisation. En effet, les comptes d’organisation n’ont pas été ajoutés et ils ne disposent pas des privilèges d’accès.

Ajoutez des comptes à votre organisation selon l’une des méthodes suivantes :

  • Individuellement ou par lots (un par un, par lots à partir d’un fichier .csv ou de groupes Active Directory existants)
  • Automatiquement

Nous vous recommandons de désigner au moins un compte d’organisation pour administrer votre portail. Pour ce faire, sélectionnez le rôle Administrateur lorsque vous ajoutez le compte. Lorsque vous disposez d'un autre compte d'administrateur sur le portail, vous pouvez attribuer le compte d'administrateur initial au rôle Utilisateur ou supprimer ce compte. Pour plus d'informations, reportez-vous à la rubrique A propos du compte d'administrateur initial.

Une fois les comptes ajoutés et les étapes ci-dessous terminées, les utilisateurs peuvent se connecter à l’organisation et accéder au contenu.

Configurer ArcGIS Web Adaptor pour utiliser l’authentification au niveau du Web

Une fois que vous avez installé et configuré ArcGIS Web Adaptor (Java Platform) avec votre organisation en suivant le guide d’installation approprié, vous devez configurer votre serveur d’applications Java par deux tâches principales :

  1. Intégrer avec votre magasin d’identifiants LDAP. Cela permettra à votre serveur d’application Java d’authentifier les utilisateurs gérés dans ce magasin LDAP.
  2. Activer un mécanisme d’authentification basé sur le navigateur, tel que l’authentification basée sur un formulaire ou un dialogue, pour le contexte ArcGIS Web Adaptor de l’organisation.

Pour obtenir des instructions, consultez votre administrateur système, la documentation produit du serveur d'applications Java ou les services professionnels Esri.

Vérifier que vous pouvez accéder au portail à l'aide de LDAP

  1. Ouvrez le portail.

    Le format de l’URL est https://organization.example.com/<context>/home.

  2. Vérifiez que vous êtes invité à saisir vos informations d’identification de compte LDAP. Si vous ne constatez pas ce comportement, vérifiez que le compte LDAP que vous avez utilisé pour vous connecter à la machine a été ajouté au portail.

Empêcher les utilisateurs de créer leurs propres comptes intégrés

Vous pouvez empêcher les utilisateurs de créer leurs propres comptes intégrés en désactivant la possibilité pour les utilisateurs de créer des comptes intégrés dans les paramètres de l’organisation.

Vous avez un commentaire à formuler concernant cette rubrique ?

Dans cette rubrique
  1. Configurer votre organisation avec LDAP
  2. Ajouter des comptes spécifiques de l’organisation
  3. Configurer ArcGIS Web Adaptor pour utiliser l’authentification au niveau du Web
  4. Vérifier que vous pouvez accéder au portail à l'aide de LDAP
  5. Empêcher les utilisateurs de créer leurs propres comptes intégrés