Utilisation du protocole LDAP et d'une infrastructure à clé publique (PKI) pour sécuriser l'accès à votre portail
Vous pouvez faire appel à une infrastructure à clé publique (PKI) pour sécuriser l'accès à votre portail lorsque vous authentifiez les utilisateurs à l'aide du protocole LDAP (Lightweight Directory Access Protocol).
Les sections suivantes expliquent comment configurer Portal for ArcGIS et ArcGIS Web Adaptor (Java Platform) pour l'utilisation d'une PKI. Vous devez effectuer toutes les opérations dans l'ordre exposé ci-dessous.
Cette procédure suppose que vous avez déjà installé ArcGIS Web Adaptor (Java Platform) et Portal for ArcGIS, et configuré l'adaptateur Web avec votre portail.
Configuration de Portal for ArcGIS pour les utilisateurs LDAP
Configurez d'abord votre portail en vue d'utiliser exclusivement SSL. Utilisez pour cela la page Sécurité sur le site Web du portail.
- Connectez-vous au site Web du portail en tant qu'administrateur du portail.
- Cliquez sur Modifier les paramètres sur la page Mon organisation.
- Cliquez sur Sécurité.
- Sélectionnez Autoriser l'accès au portail uniquement via SSL.
- Cliquez sur Enregistrer pour appliquer les modifications.
Pour ajouter un site ArcGIS Server à votre portail et utiliser une authentification au niveau du Web avec le site, vous devez désactiver l'authentification au niveau du Web (Basic ou Digest) et activer l'accès anonyme sur ArcGIS Web Adaptor qui est configuré sur votre site avant de l'ajouter au portail. Même si elle ne semble pas intuitive, cette démarche est nécessaire pour que votre site puisse être fédéré librement avec le portail et puisse lire les utilisateurs et rôles du portail. Si votre site ArcGIS Server n'utilise pas encore l'authentification au niveau du Web, aucune action n'est requise de votre part. Pour savoir comment ajouter un serveur sur votre portail, reportez-vous à la rubrique Fédération d'un site ArcGIS for Server avec votre portail.
Ensuite, mettez à jour le magasin d'identifiants de votre portail afin d'utiliser l'annuaire LDAP de votre organisation.
- Connectez-vous au répertoire Portal for ArcGIS avec un compte doté des privilèges d'administrateur. L'URL est au format suivant : https://webadaptor.domain.com/arcgis/portaladmin.
- Cliquez sur Sécurité > Config > Mettre à jour le magasin d'identifiants.
- Placez le code JSON de configuration LDAP dans la zone de texte Configuration du magasin d'utilisateurs (au format JSON).
Vous pouvez copier le texte suivant et le modifier pour l'adapter à votre site :
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin\,ou=system", "userFullnameAttribute": "cn", "ldapURLForUsers": "ldap://bar2:10389/ou=users\,ou=ags\,dc=example\,dc=com", "userEmailAttribute": "email", "usernameAttribute": "cn", "caseSensitive": "false", "userSearchAttribute": "dn" } }
Dans la plupart des cas, vous ne devez modifier que les valeurs des paramètres userSearchAttribute, user, userPassword et ldapURLForUsers. userSearchAttribute est la valeur du paramètre Subject du certificat PKI. Si votre organisation utilise un autre attribut dans le certificat PKI, tel qu'email, vous devez mettre à jour la valeur userSearchAttribute pour qu'elle corresponde au paramètre Subject du certificat PKI.
L'URL de votre annuaire LDAP doit être fournie par votre administrateur LDAP. Le compte que vous utilisez pour le paramètre user doit disposer d'autorisations pour rechercher l'adresse électronique et les noms d'utilisateur correspondant aux utilisateurs dans votre organisation. Même si vous entrez le mot de passe en texte clair, il sera chiffré lorsqu'il sera affiché ou stocké dans le répertoire de configuration du portail.
- Une fois que vous avez terminé d'entrer le code JSON pour la configuration du magasin d'utilisateurs, cliquez sur Mettre à jour la configuration pour enregistrer vos modifications.
Lorsque vous cliquez sur Mettre à jour la configuration, votre portail redémarre automatiquement. Cette opération peut prendre quelques minutes.
Configurer l'authentification PKI sur l'adaptateur Web de votre portail
L'annuaire LDAP nécessite une authentification de niveau Web, qui doit être réalisée à l'aide d'ArcGIS Web Adaptor (Java Platform). L'adaptateur Web utilise le serveur d'application Java pour authentifier l'utilisateur et fournir à l'adaptateur Web le nom du compte de l'utilisateur. Une fois qu'il dispose du nom du compte, il le transmet au portail.
Après avoir installé et configuré ArcGIS Web Adaptor (Java Platform) avec votre portail, vous devez configurer un domaine LDAP sur votre serveur d'applications Java et configurer l'authentification PKI basée sur le certificat client pour l'adaptateur Web. Pour obtenir des instructions, reportez-vous à la documentation produit du serveur d'application Java ou consultez votre administrateur système.
Si vous envisagez d'ajouter un site ArcGIS Server dans votre portail et souhaitez utiliser une PKI avec le serveur, par exemple LDAP, vous devez désactiver l'authentification au niveau du Web sur votre site ArcGIS Server et activer l'accès anonyme avant de l'ajouter au portail. Même si elle ne semble pas intuitive, cette démarche est nécessaire pour que votre site puisse être fédéré librement avec le portail et puisse lire les utilisateurs et rôles du portail. Si votre site ArcGIS Server n'utilise pas encore l'authentification au niveau du Web, aucune action n'est requise de votre part. Pour savoir comment ajouter un serveur sur votre portail, reportez-vous à la rubrique Fédération d'un site ArcGIS for Server avec votre portail.
Désigner un compte LDAP comme administrateur
La façon dont vous ajoutez un compte LDAP sur votre portail est différente si votre portail est configuré pour intégrer automatiquement des identifiants de connexion d'entreprise lorsque des utilisateurs se connectent ou si les comptes doivent être ajoutés à partir du répertoire Portal for ArcGIS. Pour plus d'informations sur ce paramètre, consultez la rubrique Configuration de la création d'un compte.
Si votre portail est configuré pour intégrer automatiquement des comptes d'entreprise, ouvrez la page d'accueil du site Web du portail alors que vous être connecté avec le compte LDAP que vous souhaitez utiliser comme administrateur du portail. Selon votre navigateur et vos paramètres, vous pouvez être invité à vous connecter.
Inscription manuelle de comptes pour les utilisateurs d'une entreprise
Si votre portail est configuré pour que vous y ajoutiez des comptes à l'aide de l'outil CreateUsers, suivez les instructions de la rubrique Ajout de membres sur votre portail pour ajouter le compte LDAP en tant qu'administrateur de votre portail. Veillez à sélectionner le rôle Administrateur lorsque vous inscrivez le compte d'entreprise.
Inscription automatique de comptes pour les utilisateurs d'une entreprise
Si votre portail est configuré de sorte que les comptes d'entreprise sont enregistrés auprès du portail la première fois qu'ils accèdent au portail, vous devez accéder au portail avec le compte LDAP pour l'enregistrer auprès du portail, puis vous connecter au portal avec le compte d’administrateur initial et affecter l'utilisateur LDAP au rôle Administrateur.
Lorsqu'un compte est ajouté pour la première fois au portail, le rôle Utilisateur lui est attribué. Seul un administrateur peut changer le rôle d'un compte. Par conséquent, vous devez vous connecter au portail à l'aide du compte d'administrateur initial et affecter un compte LDAP au rôle Administrateur. Votre adaptateur Web étant configuré pour l'authentification LDAP, vous devez vous connecter au portail via le port 7443 plutôt que via l'URL de l'adaptateur Web pour ouvrir une session à l'aide du compte d'administrateur initial.
- Connectez-vous au site Web du portail alors que vous êtes connecté sur votre ordinateur avec le compte LDAP. Si ce compte appartient à un autre utilisateur, demandez-lui de se connecter au portail pour que son compte soit enregistré auprès du portail.
- Une fois le compte LDAP ajouté au portail, ouvrez un navigateur et connectez-vous au site Web de votre portail via le port 7443. Par exemple, https://portal.domain.com:7443/arcgis/home.
- Connectez-vous à l'aide du compte d’administrateur initial que vous avez créé lors de la première configuration de votre portail.
- Pour le compte LDAP que vous utilisez pour administrer votre portail, changez le rôle en Administrateur.
- Déconnectez-vous du site Web.
Une fois que vous êtes connecté à votre ordinateur avec ce compte LDAP, vous pouvez vous connecter à votre portail via l'URL de l'adaptateur Web et administrer le portail.
Rétrogradation ou suppression du compte d'administrateur initial
Maintenant que vous disposez d'un autre compte d'administrateur sur le portail, vous pouvez attribuer le compte d'administrateur initial au rôle Utilisateur ou supprimer ce compte. Pour plus d'informations, reportez-vous à la rubrique A propos du compte d'administrateur initial.
Empêcher les utilisateurs de créer leurs propres comptes
Après avoir sécurisé l'accès à votre portail, vous pouvez désactiver le bouton Créer un compte et la page de connexion (signup.html) sur le site Web du portail de façon à empêcher les utilisateurs de créer leurs propres comptes. Cela permet à tous les membres de se connecter au portail avec leurs informations d'identification d'entreprise et d'empêcher la création de comptes de membre inutiles.
Procédez comme suit pour empêcher les utilisateurs de créer leurs propres comptes :
- Accédez à <Portal for ArcGIS installation directory>\customizations\10.2.2\webapps\arcgis#home\js\esri\arcgisonline et ouvrez config.js dans un éditeur de texte.
- Recherchez la propriété showSignUp et définissez la valeur comme false.
- Enregistrez et fermez le fichier.
- Pour appliquer vos modifications, redémarrez votre portail.
- Après le redémarrage du portail, effacez le cache de votre navigateur (y compris les cookies) pour voir les changements sur le site Web du portail.