Utiliser Windows Active Directory et l’authentification de certificat client pour sécuriser l’accès—ArcGIS Enterprise sur Kubernetes

Lorsque vous utilisez Windows Active Directory pour authentifier des utilisateurs, vous pouvez faire appel à l’authentification de certificat client reposant sur l’infrastructure à clé publique (PKI) pour sécuriser l’accès à votre organisation.

Pour utiliser l’authentification Windows intégrée et l’authentification de certificat client, vous devez utiliser ArcGIS Web Adaptor (IIS) déployé sur le serveur Web IIS de Microsoft. Vous ne pouvez pas utiliser ArcGIS Web Adaptor (Java Platform) pour effectuer l’authentification Windows intégrée. Si ce n’est pas déjà fait, installez et configurez ArcGIS Web Adaptor (IIS) avec votre organisation.

Configurer votre portail avec Windows Active Directory

Commencez par configurer le portail de façon à utiliser le protocole SSL pour toutes les communications. Ensuite, mettez à jour le magasin d’identités de votre portail pour utiliser des utilisateurs et des groupes Windows Active Directory.

Configurer l’organisation de façon à utiliser le protocole HTTPS pour toutes les communications

Pour configurer l’organisation de façon à utiliser le protocole HTTPS, procédez comme suit :

Connectez-vous au site Web de l’organisation en tant qu’administrateur.
Le format de l’URL est https://organization.example.com/<context>/home.
Cliquez sur Organization (Organisation), cliquez ensuite sur l’onglet Settings (Paramètres), puis sur Security (Sécurité) dans la partie gauche de la page.
Activez Allow access to the portal through HTTPS only (Autoriser l’accès au portail via HTTPS uniquement).

Configurez votre magasin d’identités avec des utilisateurs et des groupes Active Directory.

Ensuite, mettez à jour le magasin d’identités de votre organisation pour utiliser des utilisateurs et groupes Windows Active Directory.

Connectez-vous à ArcGIS Enterprise Manager en tant qu’administrateur de votre organisation.
L’URL est au format suivant : https://site.example.com/<site context>/manager.
Cliquez sur Security (Sécurité) > Identity Store (Magasin d’identités).
Les boutons d’option situées sous User store (Magasin d’utilisateurs) et Group store (Magasin de groupes) vous permettent de sélectionner la manière dont les utilisateurs et les groupes sont gérés pour votre organisation.
Sélectionnez Windows sous User store (Magasin d’utilisateurs).
Pour les utilisateurs Windows, vous pouvez utiliser le magasin de groupes intégré ou un magasin de groupes Windows. Les zones de texte figurant dans la section User store and group store configuration (Configuration du magasin d’utilisateurs et du magasin de groupes) changent en fonction du type de magasin de groupes sélectionné.
Dans la section User store and group store configuration (Configuration du magasin d’utilisateurs et du magasin de groupes), entrez les informations appropriées dans chaque zone de texte.
Les descriptions de chaque zone de texte sont les suivantes :
- Nom d’utilisateur (obligatoire)
- Mot de passe (obligatoire)
- Les noms d’utilisateur sont-ils sensibles à la casse ? — Oui ou Non
- Attribut de prénom de l’utilisateur (obligatoire) — Attribut de serveur d’annuaire pour le prénom d’un utilisateur
- Attribut de nom de l’utilisateur (obligatoire) — Attribut de serveur d’annuaire pour le nom d’un utilisateur
- Attribut d’e-mail de l’utilisateur (obligatoire) — Attribut de serveur d’annuaire pour l’adresse e-mail d’un utilisateur
- Contrôleur de domaine (obligatoire)
- Appariement du contrôleur de domaine
Cliquez sur Save (Enregistrer) lorsque vous avez terminé de saisir les informations de configuration de votre magasin d’identités.

Ajouter des comptes spécifiques de l’organisation

Par défaut, les utilisateurs spécifiques d’une organisation peuvent accéder à l’organisation ArcGIS Enterprise. Toutefois, ils peuvent uniquement afficher les éléments qui ont été partagés avec tout le monde dans l'organisation. En effet, les comptes d’organisation n’ont pas été ajoutés et ils ne disposent pas des privilèges d’accès.

Ajoutez des comptes à votre organisation selon l’une des méthodes suivantes :

Individuellement ou par lots (un par un, par lots à partir d’un fichier .csv ou de groupes Active Directory existants)
Automatiquement

Nous vous recommandons de désigner au moins un compte d’organisation pour administrer votre portail. Pour ce faire, sélectionnez le rôle Administrateur lorsque vous ajoutez le compte. Lorsque vous disposez d'un autre compte d'administrateur sur le portail, vous pouvez attribuer le compte d'administrateur initial au rôle Utilisateur ou supprimer ce compte. Pour plus d'informations, reportez-vous à la rubrique A propos du compte d'administrateur initial.

Une fois les comptes ajoutés et les étapes ci-dessous terminées, les utilisateurs peuvent se connecter à l’organisation et accéder au contenu.

Installer et activer l'authentification par mappage de certificat client Active Directory

Le mappage de certificat client Active Directory n’est pas disponible dans l’installation par défaut de IIS. Vous devez installer et activer la fonctionnalité.

Installation avec Windows Server 2016

Procédez comme suit pour installer l’authentification par mappage de certificat client avec Windows Server 2016 :

Ouvrez Outils d'administration et cliquez sur Gestionnaire de serveur.
Dans le volet de l'arborescence du Gestionnaire de serveur, développez Rôles et cliquez sur Serveur Web (IIS).
Développez les rôles Web Server (Serveur web) et Security (Sécurité).
Dans la section du rôle Security (Sécurité), sélectionnez Client Certificate Mapping Authentication (Authentification par mappage de certificat client) et cliquez sur Next (Suivant).
Cliquez sur Next (Suivant) dans l’onglet Select Features (Sélectionner des entités) puis cliquez sur Install (Installer).

Installation avec Windows Server 2019 ou 2022

Procédez comme suit pour installer l’authentification par mappage de certificat client avec Windows Server 2019 ou 2022 :

Ouvrez Outils d'administration et cliquez sur Gestionnaire de serveur.
Dans le tableau de bord Server Manager (Gestionnaire de serveur), cliquez sur Add roles and features (Ajouter des rôles et des fonctionnalités).
Acceptez les paramètres par défaut et cliquez sur Next (Suivant) sur les pages Before You Begin (Avant de commencer), Installation Type (Type d’installation) et Server Selection (Sélection du serveur).
Sur la page Server Roles (Rôles de serveur), activez Web Server (IIS) (Serveur Web [IIS]) et cliquez sur Next (Suivant).
Sur la page Features (Fonctionnalités), cliquez sur Next (Suivant).
Sur la page Web Server Role (IIS) (Rôle de serveur Web [IIS]), cliquez sur Next (Suivant).
Sur la page Role Services (Services de rôle), développez la section Security (Sécurité).
Dans la section Security (Sécurité), sélectionnez IIS Client Certificate Mapping Authentication (Authentification par mappage de certificat client IIS) et cliquez sur Next (Suivant).
Sur la page Confirmation, cliquez sur Install (Installer).

Activer l'authentification par mappage de certificat client Active Directory

Une fois le mappage de certificat client Active Directory installé, activez la fonctionnalité en procédant comme suit :

Démarrez Internet Information Server (IIS) Manager.
Dans le nœud Connexions, cliquez sur le nom de votre serveur Web.
Double-cliquez sur Authentification dans la fenêtre Vue des fonctionnalités.
Vérifiez que l'option Authentification du certificat client Active Directory est affichée.
Si la fonctionnalité n'est pas affichée ou disponible, vous pouvez être amené à redémarrer votre serveur Web pour terminer l'installation de la fonctionnalité Authentification du certificat client Active Directory.
Double-cliquez sur Authentification du certificat client Active Directory et sélectionnez Activer dans la fenêtre Actions.

Un message s’affiche, indiquant que l’authentification SSL doit être activée pour que vous puissiez utiliser l’authentification du certificat client Active Directory. Ceci fait l'objet de la section suivante.

Configurer ArcGIS Web Adaptor pour demander des certificats SSL et clients

Procédez comme suit afin de configurer ArcGIS Web Adaptor pour demander des certificats SSL et clients :

Démarrez le Gestionnaire des services Internet (IIS).
Développez le nœud Connections (Connexions) et sélectionnez votre site ArcGIS Web Adaptor.
Double-cliquez sur Authentification dans la fenêtre Vue des fonctionnalités.
Désactivez toutes les formes d'authentification.
Sélectionnez de nouveau votre instance ArcGIS Web Adaptor dans la liste Connections (Connexions).
Double-cliquez sur Paramètres SSL.
Activez l'option Exiger SSL et sélectionnez l'option Demander sous Certificats clients.
Cliquez sur Appliquer pour enregistrer les modifications.

Remarque :

Pour que l’authentification de certificat client fonctionne sur Microsoft Windows Server 2022, TLS 1.3 doit être désactivé dans les liaisons de site HTTPS.

Vérifier que vous pouvez accéder au portail à l’aide de Windows Active Directory et de l’authentification de certificat client.

Procédez comme suit pour vérifier que vous pouvez accéder au portail à l’aide de Windows Active Directory et de l’authentification de certificat client :

Ouvrez le portail.
L’URL est au format suivant : https://organization.example.com/<context>/home.
Vérifiez que vous êtes invité à saisir vos informations d'identification de sécurité et pouvez accéder au site Web.

Empêcher les utilisateurs de créer leurs propres comptes intégrés

Vous pouvez empêcher les utilisateurs de créer leurs propres comptes intégrés en désactivant la possibilité pour les utilisateurs de créer des comptes intégrés dans les paramètres de l’organisation.

Vous avez un commentaire à formuler concernant cette rubrique ?