Utilisation de Windows Active Directory et d'une infrastructure PKI pour sécuriser l'accès à votre portail

Vous pouvez faire appel à une infrastructure à clé publique (PKI) pour sécuriser l'accès à votre portail lorsque des comptes d'utilisateurs sont gérés par Windows Active Directory.

Les sections suivantes expliquent comment configurer Portal for ArcGIS et ArcGIS Web Adaptor (IIS) pour l'utilisation d'une PKI. Vous devez effectuer toutes les opérations dans l'ordre exposé ci-dessous. Si vous avez besoin d'assistance pour configurer d'autres serveurs Web afin d'utiliser une PKI avec ArcGIS Web Adaptor, contactez les Services professionnels Esri.

Cette procédure suppose que vous avez déjà installé ArcGIS Web Adaptor (IIS) et Portal for ArcGIS, et que vous avez inscrit votre portail auprès de l'adaptateur Web.

HéritageHéritage :

Versions précédentes : dans la version 10.2, la configuration de la sécurité de votre portail impliquait la modification préalable d'un fichier de propriétés sur disque. Cette opération n'est plus nécessaire dans les versions 10.2.1 et ultérieures. Les instructions suivantes ne s'appliquent qu'aux versions 10.2.1 et ultérieures. Pour obtenir de l'aide sur ces instructions concernant la version 10.2, consultez la documentation de la version 10.2.

Configuration de Portal for ArcGIS pour qu'il utilise des utilisateurs de Windows Active Directory

Configurez d'abord votre portail en vue d'utiliser exclusivement SSL. Utilisez pour cela la page Sécurité sur le site Web du portail.

Etapes :
  1. Connectez-vous au site Web du portail en tant qu'administrateur du portail.
  2. Cliquez sur Modifier les paramètres sur la page Mon organisation.
  3. Cliquez sur Sécurité.
  4. Sélectionnez Autoriser l'accès au portail uniquement via SSL.
  5. Cliquez sur Enregistrer pour appliquer les modifications.
RemarqueRemarque :

Pour ajouter un site ArcGIS Server à votre portail et utiliser une authentification au niveau du Web avec le site, vous devez désactiver l'authentification au niveau du Web (Basic ou Digest) et activer l'accès anonyme sur ArcGIS Web Adaptor qui est configuré sur votre site avant de l'ajouter au portail. Même si elle ne semble pas intuitive, cette démarche est nécessaire pour que votre site puisse être fédéré librement avec le portail et puisse lire les utilisateurs et rôles du portail. Si votre site ArcGIS Server n'utilise pas encore l'authentification au niveau du Web, aucune action n'est requise de votre part. Pour savoir comment ajouter un serveur sur votre portail, reportez-vous à la rubrique Fédération d'un site ArcGIS for Server avec votre portail.

Mettez ensuite à jour le magasin d'identifiants de votre portail pour qu'il utilise des comptes Windows Active Directory.

Etapes :
  1. Connectez-vous au répertoire du portail avec un compte doté des privilèges d'administrateur. L'URL est au format suivant : https://webadaptor.domain.com/arcgis/portaladmin.
  2. Cliquez sur Sécurité > Config > Mettre à jour le magasin d'identifiants.
  3. Placez le code JSON de configuration Windows Active Directory dans la zone de texte Configuration du magasin d'utilisateurs (au format JSON).

    Vous pouvez copier le texte suivant et le modifier pour l'adapter à votre site :

    {
  "type": "WINDOWS",
  "properties": {
    "userPassword": "secret",
    "isPasswordEncrypted": "false",
    "user": "mydomain\\winaccount",
    "userFullnameAttribute": "cn",
    "userEmailAttribute": "email",
    "caseSensitive": "false"
  }
}

    Dans la plupart des cas, vous ne devrez modifier que les valeurs des paramètres user et userPassword. Même si vous entrez le mot de passe en texte clair, il sera chiffré lorsqu'il sera affiché ou stocké dans le répertoire de configuration du portail. Le compte que vous utilisez pour le paramètre user doit disposer d'autorisations uniquement pour consulter l'adresse électronique et le nom complet correspondant à des comptes Windows sur le réseau. Si cela est possible, utilisez un compte dont le mot de passe n'expire pas.

  4. Une fois que vous avez terminé d'entrer le code JSON pour la configuration du magasin d'utilisateurs, cliquez sur Mettre à jour la configuration pour enregistrer vos modifications.

Installer et activer l'authentification par mappage de certificat client Active Directory

Vous devez installer et activer l'authentification par mappage de certificat client Active Directory dans IIS.

Installer l'authentification par mappage de certificat client

Le mappage de certificat client Active Directory n'est pas disponible dans l'installation par défaut d'IIS. Les instructions d'installation de cette fonctionnalité varient selon votre système d'exploitation.

Windows Server 2008/R2 et 2012/R2

Etapes :
  1. Ouvrez Outils d'administration et cliquez sur Gestionnaire de serveur.
  2. Dans le volet de l'arborescence du Gestionnaire de serveur, développez Rôles et cliquez sur Serveur Web (IIS).
  3. Faites défiler l'affichage jusqu'à la section Services de rôle et cliquez sur Ajouter des services de rôle.
  4. Dans la page Sélectionner des services de rôle de l'Assistant Ajout de services de rôle, sélectionnez Authentification par mappage de certificat client et cliquez sur Suivant.
  5. Cliquez sur Installer.

Windows 7, 8 et 8.1

Etapes :
  1. Ouvrez le Panneau de configuration et cliquez sur Programmes et fonctionnalités > Activer ou désactiver des fonctionnalités Windows.
  2. Développez Services Internet (IIS) > Services World Wide Web > Sécurité et sélectionnez Authentification par mappage de certificat client.
  3. Cliquez sur OK.

Activer l'authentification par mappage de certificat client Active Directory

Le mappage de certificat client Active Directory n'est pas automatiquement activé après l'installation de la fonctionnalité sur Windows. Vous devez l'activer dans IIS en suivant la procédure ci-dessous.

Etapes :
  1. Démarrez le Gestionnaire des services Internet (IIS).
  2. Dans le nœud Connexions, cliquez sur le nom de votre serveur Web.
  3. Double-cliquez sur Authentification dans la fenêtre Vue des fonctionnalités.
  4. Vérifiez que l'option Authentification du certificat client Active Directory est affichée. Si la fonctionnalité n'est pas affichée ou disponible, vous pouvez être amené à redémarrer votre serveur Web pour terminer l'installation de la fonctionnalité Authentification du certificat client Active Directory.
  5. Double-cliquez sur Authentification du certificat client Active Directory et sélectionnez Activer dans la fenêtre Actions.

Un message s'affiche, indiquant que l'authentification SSL doit être activée pour que vous puissiez utiliser l'authentification du certificat client Active Directory. Ceci fait l'objet de la section suivante.

Configurez l'adaptateur Web de manière à exiger SSL

Modifiez les paramétrer d'authentification et SSL de votre adaptateur Web.

Etapes :
  1. Démarrez le Gestionnaire des services Internet (IIS).
  2. Développez le nœud Connexions et sélectionnez le site de votre adaptateur Web.
  3. Double-cliquez sur Authentification dans la fenêtre Vue des fonctionnalités.
  4. Désactivez toutes les formes d'authentification.
  5. Sélectionnez à nouveau votre adaptateur Web dans la liste Connexions.
  6. Double-cliquez sur Paramètres SSL.
  7. Activez l'option Exiger SSL et sélectionnez l'option Demander sous Certificats clients.
  8. Cliquez sur Appliquer pour enregistrer les modifications.

Désigner un compte Active Directory comme administrateur

La façon dont vous ajoutez un compte Active Directory sur votre portail est différente si votre portail est configuré pour intégrer automatiquement des comptes lorsque des utilisateurs se connectent via un identifiant de connexion d'entreprise ou si les comptes doivent être ajoutés à partir du répertoire Portal for ArcGIS. Pour plus d'informations sur ce paramètre, consultez la rubrique Configuration de la création d'un compte.

Inscription manuelle de comptes pour les utilisateurs d'une entreprise

Si votre portail est configuré pour que vous y ajoutiez des comptes à l'aide de l'outil CreateUsers, suivez les instructions de la rubrique Ajout de membres sur votre portail pour ajouter le compte Active Directory en tant qu'administrateur de votre portail. Veillez à sélectionner le rôle Administrateur lorsque vous inscrivez le compte d'entreprise.

Inscription automatique de comptes pour les utilisateurs d'une entreprise

Si votre portail est configuré pour intégrer automatiquement des comptes d'entreprise, ouvrez la page d'accueil du site Web du portail alors que vous être connecté avec le compte Active Directory que vous souhaitez utiliser comme administrateur du portail. Selon votre navigateur et vos paramètres, vous pouvez être invité à vous connecter.

Lorsqu'un compte est automatiquement ajouté pour la première fois au portail, le rôle Utilisateur lui est attribué. Seul un administrateur peut changer le rôle d'un compte. Par conséquent, vous devez vous connecter au portail à l'aide du compte d'administrateur initial et affecter le compte Active Directory au rôle Administrateur. Votre adaptateur Web étant configuré pour l'authentification Windows, vous devez vous connecter au portail via le port 7443 plutôt que via l'adaptateur Web pour ouvrir une session à l'aide du compte d'administrateur initial.

Etapes :
  1. Connectez-vous au portail alors que vous êtes connecté avec le compte d'entreprise que vous souhaitez utiliser en tant qu'administrateur. Si ce compte appartient à un autre utilisateur, demandez-lui de se connecter au portail pour que son compte soit enregistré auprès du portail.
  2. Une fois le compte ajouté sur le portail, ouvrez un navigateur et connectez-vous au portail via le port 7443. Par exemple, https://portal.domain.com:7443/arcgis/home.
  3. Connectez-vous à l'aide du compte d'administrateur initial que vous avez créé lors de la première configuration de Portal for ArcGIS.
  4. Recherchez le compte Active Directory que vous utiliserez pour administrer votre portail et changez le rôle en spécifiant Administrateur. Le compte apparaît au format nomutilisateur@domaine.
  5. Déconnectez-vous du site Web.

Maintenant, lorsque vous êtes connecté à votre ordinateur avec ce compte Active Directory, vous pouvez vous connecter à votre portail via l'adaptateur Web et administrer le portail.

Rétrogradation ou suppression du compte d'administrateur initial

Maintenant que vous disposez d'un autre compte d'administrateur sur le portail, vous pouvez attribuer le compte d'administrateur initial au rôle Utilisateur ou supprimer ce compte. Pour plus d'informations, reportez-vous à la rubrique A propos du compte d'administrateur initial.

Empêcher les utilisateurs de créer leurs propres comptes

Après avoir sécurisé l'accès à votre portail, vous pouvez désactiver le bouton Créer un compte et la page de connexion (signup.html) sur le site Web du portail de façon à empêcher les utilisateurs de créer leurs propres comptes. Cela permet à tous les membres de se connecter au portail avec leurs informations d'identification d'entreprise et d'empêcher la création de comptes de membre inutiles.

Procédez comme suit pour empêcher les utilisateurs de créer leurs propres comptes :

Etapes :
  1. Accédez à <Portal for ArcGIS installation directory>\customizations\10.2.2\webapps\arcgis#home\js\esri\arcgisonline et ouvrez config.js dans un éditeur de texte.
  2. Recherchez la propriété showSignUp et définissez la valeur comme false.
  3. Enregistrez et fermez le fichier.
  4. Pour appliquer vos modifications, redémarrez votre portail.
  5. Après le redémarrage du portail, effacez le cache de votre navigateur (y compris les cookies) pour voir les changements sur le site Web du portail.
Copyright © 1995-2014 Esri. All rights reserved.
5/10/2014