Sécurisation de services avec des utilisateurs et des rôles issus d'un serveur LDAP

ArcGIS Server peut exploiter les informations sur les utilisateurs et les rôles stockées dans un serveur LDAP tel que Microsoft Active Directory ou Apache Directory Server. ArcGIS Server traite le serveur LDAP comme une source en lecture seule d'informations sur les utilisateurs/rôles. Par conséquent, vous ne pouvez pas utiliser ArcGIS Server Manager pour ajouter ou supprimer des utilisateurs et des rôles, ou encore modifier leurs attributs.

Vous pouvez procéder comme suit pour sécuriser les services Web ArcGIS avec des utilisateurs et des rôles provenant d'un serveur LDAP :

  1. Configurez les paramètres de sécurité.
  2. Passez en revue les utilisateurs et les rôles.
  3. Définissez des autorisations pour les services.

Configuration des paramètres de sécurité

Procédez comme suit pour configurer la sécurité à l'aide du gestionnaire :

Etapes :
  1. Ouvrez le gestionnaire et connectez-vous en tant qu'administrateur de site principal ou en tant qu'utilisateur doté d'un accès administratif. Si vous avez besoin d'aide pour cette étape, reportez-vous à la rubrique Connexion au gestionnaire.
  2. Cliquez surSécurité > Paramètres.
  3. Cliquez sur le bouton Modifier Mise à jour en regard de l'option Paramètres de configuration.
  4. Sur la page Gestion des utilisateurs et des rôles , sélectionnez l'option Utilisateurs et rôles d'un systèmes d'entreprise existant (LDAP ou Domaine Windows), puis cliquez sur Suivant.
  5. Sur la page Type de magasin d'entreprise, sélectionnez l'option LDAP, puis cliquez sur Suivant.
  6. Sur la page suivante, vous devez saisir les paramètres de connexion au serveur LDAP. Cliquez sur Test de connexion pour créer un test de connexion au serveur LDAP. Si la tentative de connexion aboutit, cliquez sur Suivant. Le tableau ci-dessous décrit les paramètres de cette page :

    Paramètre

    Description

    Exemple

    Nom d’hôte

    Nom de la machine hôte sur laquelle le serveur LDAP s'exécute.

    myservername

    Port

    Numéro de port de la machine hôte sur lequel le serveur LDAP écoute les connexions entrantes. Si le serveur LDAP prend en charge les connexions sécurisées (ldaps), ArcGIS Server passe automatiquement au protocole ldaps. Si le port spécifié est 10389, ArcGIS Server établit une connexion sécurisée au port 10636. Si le port spécifié est 389, ArcGIS Server établit une connexion sécurisée au port 636.

    10389

    389

    DN de base

    Nom distinctif (DN) du nœud sur le serveur de répertoires sous lequel sont conservées les informations sur l'utilisateur.

    ou=users,ou=arcgis,dc=mydomain,dc=com

    URL

    URL LDAP qui sera utilisée pour se connecter au serveur LDAP (elle est générée automatiquement). Modifiez cette URL si elle est incorrecte ou si elle nécessite des modifications. Si votre serveur LDAP n'utilise pas le port 636 standard pour les connexions sécurisées, vous devez spécifier ici le numéro de port personnalisé.

    ldap://myservername:389/ou=users,ou=arcgis,dc=mydomain,dc=com

    ldap://myservername:10389/ou=users,ou=arcgis,dc=mydomain,dc=com

    ldaps://myservername:10300/ou=users,ou=arcgis,dc=mydomain,dc=com

    Attribut RDN

    Attribut de nom distinctif relatif (RDN) relatif aux entrées utilisateur dans le serveur LDAP.

    Pour le DN "cn=john,ou=users,ou=arcgis,dc=mydomain,dc=com", le RDN est "cn=john" et l'attribut RDN est cn.

    Pour le DN "uid=john,ou=users,ou=arcgis,dc=mydomain,dc=com", le RDN est "uid=john" et l'attribut RDN est uid.

    DN de l’administrateur

    DN d'un compte d'administrateur LDAP qui a accès au nœud contenant des informations sur l'utilisateur.

    Nous vous conseillons de spécifier un compte d'administrateur dont le mot de passe n'expire pas. Si ce n'est pas possible, vous devrez répéter les étapes de cette section chaque fois que le mot de passe permettant d'accéder au compte est modifié.

    uid=admin,ou=administrators,dc=mydomain,dc=com

    Mot de passe

    Mot de passe de l’administrateur.

    adminpassword

  7. Sur la page suivante, saisissez les paramètres permettant de récupérer des rôles du serveur LDAP. Vous trouverez une description détaillée des paramètres dans le tableau ci-dessous :

    Paramètre

    Description

    Exemple

    DN de base

    Nom distinctif (DN) du nœud sur le serveur de répertoires sous lequel sont conservées les informations sur le rôle.

    ou=roles,ou=arcgis,dc=mydomain,dc=com

    URL

    URL LDAP qui sera utilisée pour se connecter au serveur (elle est générée automatiquement). Modifiez cette URL si elle est incorrecte ou si elle nécessite des modifications.

    ldap://myservername:10389/ou=roles,ou=arcgis,dc=mydomain,dc=com

    Attribut Utilisateur dans l’entrée Rôle

    Nom de l'attribut dans l'entrée de rôle qui contient le DN des utilisateurs qui sont membres de ce rôle.

    Dans Apache Directory Server, le nom d'attribut le plus fréquemment utilisé est uniqueMember. Dans Microsoft Active Directory, il s'agit de member.

  8. Une fois les paramètres saisis, cliquez sur Suivant.
  9. Sur la page Niveau d'authentification, sélectionnez l'emplacement d'exécution de l'authentification et cliquez sur Suivant. Pour plus d'informations sur cette option, reportez-vous à la rubrique Configuration de la sécurité d'ArcGIS Server.
  10. Passez en revue le récapitulatif des éléments que vous avez sélectionnés. Cliquez sur Précédent pour effectuer des modifications ou sur Terminer pour appliquer la configuration de sécurité et l'enregistrer.

Analyse des utilisateurs et des rôles

Après avoir configuré la sécurité afin d'utiliser le magasin pour la gestion des rôles et des utilisateurs, passez-les en revue afin de vous assurer qu'ils ont été importés correctement. Pour ajouter, modifier ou supprimer des utilisateurs et des rôles, vous devez utiliser les outils de gestion des utilisateurs proposés par votre fournisseur LDAP.

Etapes :
  1. Dans le Gestionnaire, cliquez sur Sécurité > Utilisateurs.
  2. Vérifiez que les utilisateurs ont été récupérés comme prévu du serveur LDAP.
  3. Cliquez sur Rôles pour passer en revue les rôles récupérés du serveur LDAP.
  4. Vérifiez que les rôles ont été récupérés comme prévu du serveur LDAP. Cliquez sur le bouton Mettre à jour en regard d'un rôle pour vérifier l'appartenance à un rôle. Modifiez la valeur Type de rôle suivant vos besoins. Pour en savoir plus sur les types de rôle, reportez-vous à la rubrique Limitation de l'accès à ArcGIS Server.

Définition d'autorisations pour les services Web ArcGIS

Dès que vous avez configuré vos paramètres de sécurité et défini des utilisateurs et des rôles, vous pouvez définir des autorisations pour les services afin de contrôler les utilisateurs autorisés à y accéder.

ArcGIS Server contrôle l'accès aux services Web SIG hébergés sur votre serveur à l'aide d'un modèle de contrôle d'accès basé sur les rôles. Dans ce modèle, l'autorisation d'accès à un service sécurisé est contrôlée en attribuant des rôles à ce service. Pour exploiter un service sécurisé, un utilisateur doit être membre d'un rôle auquel ont été affectées des autorisations d'accès.

Les autorisations peuvent être affectées à un service Web individuel ou au dossier parent contenant un groupe de services. Si vous attribuez des autorisations à un dossier, elles sont également transmises à tout service qu'il contient. Par exemple, si vous accordez à un rôle l'accès au dossier site (racine), les utilisateurs appartenant à ce rôle se voient accorder l'accès à tous les services hébergés sur ce site. Pour remplacer automatiquement les autorisations héritées par un service de son dossier parent, vous pouvez mettre à jour le service et supprimer explicitement ces autorisations.

Pour définir les autorisations d'un service, reportez-vous à la rubrique Mise à jour des autorisations dans le gestionnaire.

5/10/2014