Utilisation de l'authentification Windows intégrée avec votre portail

Vous pouvez sécuriser l'accès à votre portail à l'aide de l'authentification Windows intégrée (IWA). Lorsque vous utilisez IWA, les identifiants sont gérés via le service Microsoft Windows Active Directory. Les utilisateurs ne se connectent pas au site Web du portail et ne s'en déconnectent pas. En revanche, lorsqu'ils ouvrent le site Web, ils sont connectés avec les comptes qu'ils utilisent pour ouvrir une session Windows.

Trois étapes principales permettent de configurer IWA sur votre portail. Vous devez les exécuter dans l'ordre suivant :

  1. Configurer Portal for ArcGIS pour qu'il utilise des utilisateurs de Windows Active Directory
  2. Configurer ArcGIS Web Adaptor pour qu'il utilise l'authentification Windows
  3. Désigner un compte Windows comme administrateur
HéritageHéritage :

Versions précédentes : dans la version 10.2, la configuration de la sécurité de votre portail impliquait la modification préalable d'un fichier de propriétés sur disque. Cette opération n'est plus nécessaire dans les versions 10.2.1 et ultérieures. Les instructions suivantes ne s'appliquent qu'aux versions 10.2.1 et ultérieures. Pour obtenir de l'aide sur ces instructions concernant la version 10.2, consultez la documentation de la version 10.2.

Configuration de Portal for ArcGIS pour qu'il utilise des utilisateurs de Windows Active Directory

Configurez d'abord votre portail en vue d'utiliser exclusivement SSL. Utilisez pour cela la page Sécurité sur le site Web du portail.

Etapes :
  1. Connectez-vous au site Web du portail en tant qu'administrateur du portail.
  2. Cliquez sur Modifier les paramètres sur la page Mon organisation.
  3. Cliquez sur Sécurité.
  4. Sélectionnez Autoriser l'accès au portail uniquement via SSL.
  5. Cliquez sur Enregistrer pour appliquer les modifications.

Mettez ensuite à jour le magasin d'identifiants de votre portail pour qu'il utilise des comptes Windows Active Directory.

Etapes :
  1. Connectez-vous au répertoire du portail avec un compte doté des privilèges d'administrateur. L'URL est au format suivant : https://webadaptor.domain.com/arcgis/portaladmin.
  2. Cliquez sur Sécurité > Config > Mettre à jour le magasin d'identifiants.
  3. Indiquez la configuration JSON de l'authentification Windows intégrée dans la zone de texte Configuration du magasin d'utilisateurs (au format JSON).

    Vous pouvez copier le texte suivant et le modifier pour l'adapter à votre site :

    {
      "type": "WINDOWS",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "mydomain\\winaccount",
        "userFullnameAttribute": "cn",
        "userEmailAttribute": "email",
        "caseSensitive": "false"
      }
    }

    Dans la plupart des cas, vous ne devrez modifier que les valeurs des paramètres user et userPassword. Même si vous entrez le mot de passe en texte clair, il sera chiffré lorsqu'il sera affiché ou stocké dans le répertoire de configuration du portail. Le compte que vous utilisez pour le paramètre user doit disposer d'autorisations uniquement pour consulter l'adresse électronique et le nom complet correspondant à des comptes Windows sur le réseau. Si cela est possible, utilisez un compte dont le mot de passe n'expire pas.

    Dans les rares cas où votre instance Active Directory est configurée pour respecter la casse, définissez le paramètre caseSensitive sur true.

  4. Lorsque vous avez entré, au format JSON, les informations concernant la configuration du magasin d'utilisateurs, cliquez sur Mettre à jour la configuration pour enregistrer vos modifications et redémarrer le portail.

Configuration d'ArcGIS Web Adaptor pour qu'il utilise l'authentification Windows

Configurez ensuite ArcGIS Web Adaptor de manière à utiliser l'authentification Windows. Pour ArcGIS Web Adaptor (IIS), définissez la méthode d'authentification dans le gestionnaire des services Internet.

Etapes :
  1. Lancez le Gestionnaire des services Internet.
  2. Accédez au site Web d'ArcGIS Web Adaptor dans le volet Connexions.

    Développez <votre serveur> > Sites > Site Web par défaut et cliquez sur votre adaptateur Web. Si vous avez utilisé le nom par défaut, le site est nommé arcgis.

  3. Double-cliquez sur Authentification dans le volet Accueil.
  4. Cliquez sur Authentification anonyme, puis sur Désactiver.
  5. Cliquez sur Authentification Windows, puis sur Activer.
  6. Fermez le Gestionnaire des services Internet.
RemarqueRemarque :

Pour ajouter un site ArcGIS Server à votre portail et utiliser une authentification au niveau du Web avec le site, vous devez désactiver l'authentification au niveau du Web (Basic ou Digest) et activer l'accès anonyme sur ArcGIS Web Adaptor qui est configuré sur votre site avant de l'ajouter au portail. Même si elle ne semble pas intuitive, cette démarche est nécessaire pour que votre site puisse être fédéré librement avec le portail et puisse lire les utilisateurs et rôles du portail. Si votre site ArcGIS Server n'utilise pas encore l'authentification au niveau du Web, aucune action n'est requise de votre part. Pour savoir comment ajouter un serveur sur votre portail, reportez-vous à la rubrique Fédération d'un site ArcGIS for Server avec votre portail.

Désignation d'un compte Windows comme administrateur

La procédure consistant à ajouter un compte Windows à votre portail est différente si votre portail est configuré pour intégrer automatiquement des comptes lorsque des utilisateurs se connectent via un identifiant de connexion d'entreprise ou si les comptes doivent être ajoutés à partir du répertoire du portail ArcGIS. Pour plus d'informations sur ce paramètre, consultez la rubrique Configuration de la création d'un compte.

Inscription manuelle de comptes pour les utilisateurs d'une entreprise

Si votre portail est configuré pour que vous y ajoutiez des comptes à l'aide de l'outil CreateUsers, suivez les instructions de la rubrique Ajout de comptes d'entreprise sur votre portail pour ajouter le compte Windows en tant qu'administrateur de votre portail. Veillez à sélectionner le rôle Administrateur lorsque vous inscrivez le compte d'entreprise.

Inscription automatique de comptes pour les utilisateurs d'une entreprise

Si votre portail est configuré pour inscrire automatiquement des comptes d'entreprise, ouvrez la page d'accueil du site Web du portail alors que vous être connecté avec le compte Windows que vous souhaitez utiliser comme administrateur du portail. Selon votre navigateur et vos paramètres, vous pouvez être invité à vous connecter.

Lorsqu'un compte est automatiquement ajouté pour la première fois au portail, le rôle Utilisateur lui est attribué. Seul un administrateur peut changer le rôle d'un compte. Par conséquent, vous devez vous connecter au portail à l'aide du compte d'administrateur initial et affecter un compte Windows au rôle Administrateur. Votre adaptateur Web étant configuré pour l'authentification Windows, vous devez vous connecter au portail via le port 7443 plutôt que via l'adaptateur Web pour ouvrir une session à l'aide du compte d'administrateur initial.

Etapes :
  1. Connectez-vous au portail alors que vous êtes connecté sur votre ordinateur avec le compte Windows que vous souhaitez utiliser en tant qu'administrateur. Si ce compte appartient à un autre utilisateur, demandez-lui de se connecter au portail pour que le compte soit inscrit auprès du portail.
  2. Une fois le compte Windows ajouté au portail, ouvrez un navigateur et connectez-vous au portail via le port 7443 : par exemple https://portal.domain.com:7443/arcgis/home.
  3. Connectez-vous à l'aide du compte d'administrateur initial que vous avez créé lors de la première configuration de Portal for ArcGIS.
  4. Recherchez le compte Windows que vous allez utiliser pour administrer votre portail et changez le rôle en Administrateur. Le compte apparaît au format nomutilisateur@domaine.
  5. Déconnectez-vous du site Web.

Maintenant, lorsque vous êtes connecté à votre ordinateur avec ce compte Windows, vous pouvez vous connecter à votre portail via l'adaptateur Web et administrer le portail.

Rétrogradation ou suppression du compte d'administrateur initial

Maintenant que vous disposez d'un autre compte d'administrateur sur le portail, vous pouvez attribuer le compte d'administrateur initial au rôle Utilisateur ou supprimer ce compte. Pour plus d'informations, reportez-vous à la rubrique A propos du compte d'administrateur initial.

Empêcher les utilisateurs de créer leurs propres comptes

Après avoir sécurisé l'accès à votre portail, vous pouvez désactiver le bouton Créer un compte et la page de connexion (signup.html) sur le site Web du portail de façon à empêcher les utilisateurs de créer leurs propres comptes. Cela permet à tous les membres de se connecter au portail avec leurs informations d'identification d'entreprise et d'empêcher la création de comptes de membre inutiles.

Procédez comme suit pour empêcher les utilisateurs de créer leurs propres comptes :

Etapes :
  1. Accédez à <Portal for ArcGIS installation directory>\customizations\10.2.2\webapps\arcgis#home\js\esri\arcgisonline et ouvrez config.js dans un éditeur de texte.
  2. Recherchez la propriété showSignUp et définissez la valeur comme false.
  3. Enregistrez et fermez le fichier.
  4. Pour appliquer vos modifications, redémarrez votre portail.
  5. Après le redémarrage du portail, effacez le cache de votre navigateur (y compris les cookies) pour voir les changements sur le site Web du portail.
5/10/2014