Utilisation de votre portail avec LDAP et avec la méthode d'authentification par le serveur Web.

Vous pouvez configurer votre portail pour qu'il utilise le même protocole LDAP (Lightweight Directory Access Protocol) que votre organisation pour l'authentification des utilisateurs. Pour pouvoir utiliser LDAP avec votre portail, vous devez effectuer les opérations suivantes dans l'ordre indiqué :

Pour commencer, suivez les étapes décrites dans les sections ci-dessous.

HéritageHéritage :

Versions précédentes : dans la version 10.2, la configuration de la sécurité de votre portail impliquait la modification préalable d'un fichier de propriétés sur disque. Cette opération n'est plus nécessaire dans les versions 10.2.1 et ultérieures. Les instructions suivantes ne s'appliquent qu'aux versions 10.2.1 et ultérieures. Pour obtenir de l'aide sur ces instructions concernant la version 10.2, consultez la documentation de la version 10.2.

Configurer votre portail avec LDAP

Configurez d'abord votre portail en vue d'utiliser exclusivement SSL. Utilisez pour cela la page Sécurité sur le site Web du portail.

Etapes :
  1. Connectez-vous au site Web du portail en tant qu'administrateur du portail.
  2. Cliquez sur Modifier les paramètres sur la page Mon organisation.
  3. Cliquez sur Sécurité.
  4. Sélectionnez Autoriser l'accès au portail uniquement via SSL.
  5. Cliquez sur Enregistrer pour appliquer les modifications.

Ensuite, mettez à jour le magasin d'identifiants de votre portail afin d'utiliser l'annuaire LDAP de votre organisation.

Etapes :
  1. Connectez-vous au répertoire Portal for ArcGIS avec un compte doté des privilèges d'administrateur. L'URL est au format suivant : https://webadaptor.domain.com/arcgis/portaladmin.
  2. Cliquez sur Sécurité > Config > Mettre à jour le magasin d'identifiants.
  3. Placez le code JSON de configuration LDAP dans la zone de texte Configuration du magasin d'utilisateurs (au format JSON).

    Vous pouvez copier le texte suivant et le modifier pour l'adapter à votre site :

    {
      "type": "LDAP",
      "properties": {
        "userPassword": "secret",
        "isPasswordEncrypted": "false",
        "user": "uid=admin\,ou=system",
        "userFullnameAttribute": "cn",
        "ldapURLForUsers": "ldap://bar2:10389/ou=users\,ou=ags\,dc=example\,dc=com",
        "userEmailAttribute": "email",
        "usernameAttribute": "cn",
        "caseSensitive": "false",
        "userSearchAttribute": "cn"
      }
    }

    Dans la plupart des cas, vous ne devrez modifier que les valeurs des paramètres user, userPassword et ldapURLForUsers. L'URL de votre annuaire LDAP doit être fournie par votre administrateur LDAP. Le compte que vous utilisez pour le paramètre user doit disposer d'autorisations pour rechercher l'adresse électronique et les noms d'utilisateur correspondant aux utilisateurs dans votre organisation. Même si vous entrez le mot de passe en texte clair, il sera chiffré lorsqu'il sera affiché ou stocké dans le répertoire de configuration du portail.

    Si votre annuaire LDAP est configuré pour ne pas respecter la casse, définissez le paramètre caseSensitive sur false.

  4. Une fois que vous avez terminé d'entrer le code JSON pour la configuration du magasin d'utilisateurs, cliquez sur Mettre à jour la configuration pour enregistrer vos modifications.

    Lorsque vous cliquez sur Mettre à jour la configuration, votre portail redémarre automatiquement. Cette opération peut prendre quelques minutes.

Paramétrer la méthode d'authentification par le serveur Web sur l'adaptateur Web de votre portail

L'annuaire LDAP nécessite une authentification de niveau Web, qui doit être réalisée à l'aide d'ArcGIS Web Adaptor (Java Platform). L'adaptateur Web utilise le serveur d'application Java pour authentifier l'utilisateur et fournir à l'adaptateur Web le nom du compte de l'utilisateur. Une fois qu'il dispose du nom du compte, il le transmet au portail.

Après avoir installé et configuré ArcGIS Web Adaptor (Java Platform) avec votre portail, vous devez configurer un domaine LDAP sur votre serveur d'application Java et configurer la méthode d'authentification pour l'adaptateur Web. Pour obtenir des instructions, reportez-vous à la documentation produit du serveur d'application Java ou consultez votre administrateur système.

RemarqueRemarque :

Pour ajouter un site ArcGIS Server à votre portail et utiliser une authentification au niveau du Web avec le site, vous devez désactiver l'authentification au niveau du Web (Basic ou Digest) et activer l'accès anonyme sur ArcGIS Web Adaptor qui est configuré sur votre site avant de l'ajouter au portail. Même si elle ne semble pas intuitive, cette démarche est nécessaire pour que votre site puisse être fédéré librement avec le portail et puisse lire les utilisateurs et rôles du portail. Si votre site ArcGIS Server n'utilise pas encore l'authentification au niveau du Web, aucune action n'est requise de votre part. Pour savoir comment ajouter un serveur sur votre portail, reportez-vous à la rubrique Fédération d'un site ArcGIS for Server avec votre portail.

Désigner un compte LDAP comme administrateur

La façon dont vous ajoutez un compte LDAP sur votre portail est différente si votre portail est configuré pour intégrer automatiquement des identifiants de connexion d'entreprise lorsque des utilisateurs se connectent ou si les comptes doivent être ajoutés à partir du répertoire Portal for ArcGIS. Pour plus d'informations sur ce paramètre, consultez la rubrique Configuration de la création d'un compte.

Si votre portail est configuré pour intégrer automatiquement des comptes d'entreprise, ouvrez la page d'accueil du site Web du portail alors que vous être connecté avec le compte LDAP que vous souhaitez utiliser comme administrateur du portail. Selon votre navigateur et vos paramètres, vous pouvez être invité à vous connecter.

Inscription manuelle de comptes pour les utilisateurs d'une entreprise

Si votre portail est configuré pour que vous y ajoutiez des comptes à l'aide de l'outil CreateUsers, suivez les instructions de la rubrique Ajout de membres sur votre portail pour ajouter le compte LDAP en tant qu'administrateur de votre portail. Veillez à sélectionner le rôle Administrateur lorsque vous inscrivez le compte d'entreprise.

Inscription automatique de comptes pour les utilisateurs d'une entreprise

Si votre portail est configuré de sorte que les comptes d'entreprise sont enregistrés auprès du portail la première fois qu'ils accèdent au portail, vous devez accéder au portail avec le compte LDAP pour l'enregistrer auprès du portail, puis vous connecter au portal avec le compte d’administrateur initial et affecter l'utilisateur LDAP au rôle Administrateur.

Lorsqu'un compte est ajouté pour la première fois au portail, le rôle Utilisateur lui est attribué. Seul un administrateur peut changer le rôle d'un compte. Par conséquent, vous devez vous connecter au portail à l'aide du compte d'administrateur initial et affecter un compte LDAP au rôle Administrateur. Votre adaptateur Web étant configuré pour l'authentification LDAP, vous devez vous connecter au portail via le port 7443 plutôt que via l'URL de l'adaptateur Web pour ouvrir une session à l'aide du compte d'administrateur initial.

Etapes :
  1. Connectez-vous au site Web du portail alors que vous êtes connecté sur votre ordinateur avec le compte LDAP. Si ce compte appartient à un autre utilisateur, demandez-lui de se connecter au portail pour que son compte soit enregistré auprès du portail.
  2. Une fois le compte LDAP ajouté au portail, ouvrez un navigateur et connectez-vous au site Web de votre portail via le port 7443. Par exemple, https://portal.domain.com:7443/arcgis/home.
  3. Connectez-vous à l'aide du compte d’administrateur initial que vous avez créé lors de la première configuration de votre portail.
  4. Pour le compte LDAP que vous utilisez pour administrer votre portail, changez le rôle en Administrateur.
  5. Déconnectez-vous du site Web.

Une fois que vous êtes connecté à votre ordinateur avec ce compte LDAP, vous pouvez vous connecter à votre portail via l'URL de l'adaptateur Web et administrer le portail.

Rétrogradation ou suppression du compte d'administrateur initial

Maintenant que vous disposez d'un autre compte d'administrateur sur le portail, vous pouvez attribuer le compte d'administrateur initial au rôle Utilisateur ou supprimer ce compte. Pour plus d'informations, reportez-vous à la rubrique A propos du compte d'administrateur initial.

Empêcher les utilisateurs de créer leurs propres comptes

Après avoir sécurisé l'accès à votre portail, vous pouvez désactiver le bouton Créer un compte et la page de connexion (signup.html) sur le site Web du portail de façon à empêcher les utilisateurs de créer leurs propres comptes. Cela permet à tous les membres de se connecter au portail avec leurs informations d'identification d'entreprise et d'empêcher la création de comptes de membre inutiles.

Procédez comme suit pour empêcher les utilisateurs de créer leurs propres comptes :

Etapes :
  1. Accédez à <Portal for ArcGIS installation directory>\customizations\10.2.2\webapps\arcgis#home\js\esri\arcgisonline et ouvrez config.js dans un éditeur de texte.
  2. Recherchez la propriété showSignUp et définissez la valeur comme false.
  3. Enregistrez et fermez le fichier.
  4. Pour appliquer vos modifications, redémarrez votre portail.
  5. Après le redémarrage du portail, effacez le cache de votre navigateur (y compris les cookies) pour voir les changements sur le site Web du portail.
5/10/2014