Configurer Active Directory Federation Services

Active Directory Federation Services (AD FS) est un fournisseur d'identités compatible avec Security Assertion Markup Language SAML. Vous pouvez le configurer dans le système d’exploitation Microsoft Windows Server en tant que fournisseur d’identités pour les identifiants de connexion SAML dans ArcGIS Online. Le processus de configuration comporte deux étapes principales : l'enregistrement du fournisseur d'identités SAML auprès de ArcGIS Online et l'enregistrement de ArcGIS Online auprès du fournisseur d'identités SAML.

Remarque :

Pour faire en sorte que vos identifiants de connexion SAML soient configurés en toute sécurité, passez en revue les bonnes pratiques pour la sécurité SAML.

Informations requises

ArcGIS Online requiert la réception de certaines informations attributaires de la part du fournisseur d’identités lorsqu’un utilisateur se connecte à l’aide d’identifiants SAML. L’attribut NameID est obligatoire. Il doit être envoyé par votre fournisseur d’identités dans la réponse SAML afin que la fédération fonctionne avec ArcGIS Online. Puisqu’ArcGIS Online utilise la valeur de NameID pour identifier de manière unique un utilisateur nommé, il est recommandé d’utiliser une valeur constante qui identifie l’utilisateur de manière unique. Lorsqu'un utilisateur IDP se connecte, un nouvel utilisateur appelé NameID_<url_key_for_org> est créé par ArcGIS Online dans son magasin d'utilisateurs. Les caractères autorisés pour la valeur envoyée par l’attribut NameID sont les caractères alphanumériques, le trait de soulignement (_), (le point) et @ (le symbole arobase). Tous les autres caractères seront désactivés pour contenir des traits de soulignement dans le nom d'utilisateur créé par ArcGIS Online.

ArcGIS Online prend en charge le flux entrant de l’adresse électronique d’un utilisateur, les appartenances aux groupes, le nom et le prénom indiqués par le fournisseur d’identités SAML. Il est conseillé de transmettre l’adresse électronique reçue du fournisseur d’identités d’entreprise SAML afin que l’utilisateur puisse recevoir les notifications. Cela peut s'avérer utile si l'utilisateur devient plus tard administrateur. Le fait d'avoir une adresse électronique dans le compte autorise l'utilisateur à recevoir des notifications concernant les activités administratives et à envoyer des invitations à d'autres utilisateurs pour rejoindre l'organisation.

Enregistrez AD FS en tant que fournisseur d'identités SAML auprès de ArcGIS Online

  1. Vérifiez que vous êtes connecté en tant qu'administrateur de votre organisation.
  2. En haut du site, cliquez sur Organization (Organisation), puis sur l’onglet Settings (Paramètres).
  3. Cliquez sur Sécurité dans la partie gauche de la page.
  4. Dans la section Logins (Connexions), sous SAML login (Connexion SAML), cliquez sur le bouton Set up SAML login (Configurer une connexion SAML) et sélectionnez l’option One identity provider (Un fournisseur d’identités). Sur la page Specify properties (Spécifier les propriétés), saisissez le nom de votre organisation (par exemple Ville de Redlands). Lorsque les utilisateurs accèdent au site Web de l’organisation, ce texte est intégré dans le nom de l’option de connexion SAML (par exemple, Utilisation de votre compte Ville de Redlands).
    Remarque :

    Sélectionner l’option One identity provider (Un fournisseur d’identités) vous permet d’inscrire un fournisseur d’identités SAML pour votre organisation ArcGIS Online. Pour authentifier des utilisateurs ayant des identifiants de connexion SAML issus de plusieurs fournisseurs d’identités, inscrivez une fédération SAML au lieu d’un fournisseur d’identités unique.

  5. Sélectionnez Automatically (Automatiquement) ou Upon invitation from an administrator (Sur invitation d’un administrateur) pour préciser comment les utilisateurs peuvent rejoindre l’organisation. Si vous choisissez la première option, les utilisateurs peuvent se connecter à l’organisation avec leur identifiant de connexion SAML sans qu’un administrateur n’intervienne. Leur compte est automatiquement enregistré auprès de l’organisation lors de leur première connexion. La seconde option suppose que l'administrateur invite les utilisateurs nécessaires à rejoindre l'organisation. Lorsque l’utilisateur reçoit l’invitation, il peut se connecter à l’organisation.
  6. Indiquez des informations de métadonnées concernant le fournisseur d'identités à l'aide d'une des options ci-dessous :
    • URL : si l'URL des métadonnées de la fédération AD FS est accessible, sélectionnez cette option et entrez l'URL (par exemple, https://<adfs-server>/federationmetadata/2007-06/federationmetadata.xml).
    • File (Fichier) : sélectionnez cette option si l'URL n'est pas accessible. Téléchargez et obtenez une copie du fichier de métadonnées de la fédération auprès d'AD FS et chargez le fichier dans ArcGIS Online à l'aide de l'option File (Fichier).
    • Parameters specified here (Paramètres spécifiés ici) : sélectionnez cette option si l’URL ou le fichier de métadonnées de la fédération n’est pas accessible. Entrez les valeurs manuellement et fournissez les paramètres demandés : l’URL de connexion et le certificat, chiffrés au format BASE 64. Contactez votre administrauteur AD FS pour les obtenir.
  7. Configurez les paramètres avancés comme il convient :
    • Encrypt Assertion (Chiffrer l’assertion) : activez cette option pour chiffrer les réponses d’assertion SAML d’AD FS.
    • Enable Signed Request (Activer la demande signée) : activez cette option pour que ArcGIS Online signe la demande d’authentification SAML envoyée à AD FS.
    • Propagate logout to Identity Provider (Propager la déconnexion au fournisseur d’identités) : activez cette option pour que ArcGIS Online utilise une URL de déconnexion pour déconnecter l’utilisateur du fournisseur d’identités AD FS. Indiquez l'URL à utiliser dans le paramètre URL de déconnexion. Si le fournisseur d’identités exige que l’URL de déconnexion soit signée, vous devez sélectionner l’option Enable signed request (Activer la demande signée).
      Remarque :

      Puisque, par défaut, AD FS exige que les demandes de déconnexion soient signées avec la fonction de hachage SHA-256, vous devez activer le bouton bascule Enable Signed Request (Activer la demande signée) et l'option Sign using SHA256 (Ouvrir une session avec SHA256).

    • Update profiles on sign in (Mettre à jour les profils lors de la connexion) : sélectionnez cette option pour synchroniser automatiquement les informations de compte (nom complet et adresse électronique) stockées dans les profils d’utilisateur de ArcGIS Online avec les dernières informations reçues de la part du fournisseur d’identités. L’activation de cette case à cocher permet à votre organisation de vérifier, lorsqu’un utilisateur se connecte avec l’identifiant de connexion SAML, si les informations relatives au fournisseur d’identités ont changé depuis la création du compte et, si tel est le cas, de mettre à jour le profil du compte ArcGIS Online de l’utilisateur en conséquence.
    • Enable SAML based group membership (Activer l’adhésion au groupe SAML) : activez cette option pour autoriser les membres de l’organisation à relier des groupes d’entreprises SAML spécifiés à des groupes ArcGIS Online pendant le processus de création de groupe.
    • Logout URL (URL de déconnexion) : l’URL du fournisseur d’identités à utiliser pour déconnecter l’utilisateur actuellement connecté.
    • Entity ID (ID d’entité) : mettez cette valeur à jour pour utiliser un nouvel ID d’entité qui identifie de manière unique votre organisation ArcGIS Onlineauprès de AD FS.
  8. Cliquez sur Save (Enregistrer).

Enregistrez ArcGIS Online en tant que fournisseur de services approuvé auprès de AD FS

  1. Ouvrez la console de gestion AD FS.
  2. Choisissez Relying Party Trusts (Approbations des parties de confiance) > Add Relying Party Trust (Ajouter une approbation de la partie de confiance).
  3. Dans l'assistant Add Relying Party Trust Wizard (ajout d'une approbation de la partie de confiance), cliquez sur le bouton Start (démarrer).
  4. Dans Select Data Source (Sélectionner la source de données), choisissez une option d'obtention des données concernant la partie de confiance : importation à partir d'une URL, importation à partir d'un fichier ou saisie manuelle. Les options d'URL et de fichier nécessitent que vous obteniez les métadonnées auprès de votre organisation. Si vous n'avez pas accès à l'URL ou au fichier de métadonnées, vous pouvez saisir ces informations manuellement. Dans certains cas, la saisie manuelle de données peut être l'option la plus facile.
    • Importer des données concernant la partie de confiance publiées en ligne ou sur un réseau local.

      Cette option utilise les métadonnées de l'URL de votre organisation ArcGIS Online. L'URL est https://<url_key_for_org>.maps.arcgis.com/sharing/rest/portals/self/sp/metadata?token=<token>, par exemple, https://samltest.maps.arcgis.com/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY.

      Générez un jeton avec https://www.arcgis.com/sharing/rest/generateToken. Vous devez générer un jeton à l'aide de HTTP POST par programme avec une sortie au format JSON. Pour plus d'informations, reportez-vous à la rubrique API REST d'ArcGIS.

    • Import data about the relying party from a file (importer des données concernant la partie de confiance à partir d'un fichier)

      Cette option utilise un fichier metadata.xml issu de votre organisation ArcGIS Online. Vous pouvez obtenir un fichier XML de métadonnées de deux manières :

      • Sur la page de l’organisation, cliquez sur l’onglet Settings (Paramètres) et sur Security (Sécurité) à gauche de la page. Dans la section Logins (Identifiants de connexion), sous SAML Login (Identifiant de connexion SAML), cliquez sur le bouton Download service provider metadata (Télécharger les métadonnées du fournisseur de services) pour télécharger le fichier de métadonnées pour votre organisation.
      • Ouvrez l’URL du fichier de métadonnées et enregistrez-le en tant que fichier XML sur votre ordinateur. Vous pouvez afficher et copier l’URL dans la fenêtre Edit SAML login (Modifier un identifiant de connexion SAML) sous Link to download the service provider metadata (Lien permettant de télécharger les métadonnées du fournisseur de services).
    • Enter data about the relying party manually (entrer manuellement des données concernant la partie de confiance)

      Avec cette option, l'Assistant d'ajout d'une approbation de la partie de confiance présente des fenêtres supplémentaires dans lesquelles vous pouvez saisir manuellement les données. Ces fenêtres font l'objet d'une explication dans les étapes 6 à 8 ci-dessous.

  5. Pour Specify Display Name (spécifier le nom complet), entrez le nom complet.

    Le nom complet permet d’identifier la partie de confiance dans AD FS. Il n'a aucune signification en dehors de ce contexte. Il doit être défini sur ArcGIS ou sur le nom de l'organisation au sein d'ArcGIS, par exemple, ArcGIS—SamlTest.

    Astuce :

    Si vous choisissez d’importer la source de données à partir d’une URL ou d’un fichier, passez à l’étape 9.

  6. (Source de données manuelle uniquement) Pour Choose Profile (Choix d'un profil), sélectionnez le profil AD FS applicable à votre environnement.
  7. Manual data source only (Source de données manuelle uniquement) Pour Configure URL (Configurer l'URL), cochez la case Enable support for the SAML 2.0 WebSSO protocol (Activer la prise en charge du protocole WebSSO SAML 2.0) et entrez l’URL du service SSO SAML 2.0 de la partie de confiance.

    L’URL de la partie de confiance doit être l’URL à laquelle AD FS envoie la réponse SAML après l’authentification de l’utilisateur. Il doit s'agir d'une URL HTTPS : https://<url_key_for_org>.maps.arcgis.com/sharing/rest/oauth2/saml/signin.

  8. (Source de données manuelle uniquement) Pour Configure Identifiers (Configurer les identifiants), saisissez l'URL de l'identifiant de l'approbation de la partie de confiance.

    Cela doit être <url_key_for_org>.maps.arcgis.com.

  9. Pour Choose Issuance Authorization Rules (choisir les règles d'autorisation d'émission), choisissez Permit all users to access this relying party (autoriser tous les utilisateurs à accéder à cette partie de confiance).
  10. Dans la zone Ready to Add Trust (Prêt pour l'ajout d'une approbation), examinez tous les paramètres de la partie de confiance. L'URL des métadonnées est renseignée uniquement si vous avez choisi d'importer la source de données à partir d'une URL.

    Cliquez sur Next (Suivant).

    Astuce :

    Si l’option Monitor relying party (Surveiller la partie de confiance) est activée, AD FS vérifie régulièrement l’URL des métadonnées de fédération et la compare à l’état actuel de l’approbation de la partie de confiance. Cependant, la surveillance échoue lorsque le jeton dans l'URL des métadonnées de fédération expire. Les échecs sont consignés dans le journal des événements AD FS. Pour supprimer ces messages, il est conseillé de désactiver la surveillance ou de mettre à jour le jeton.

  11. Pour Finish (terminer), cochez la case afin d'ouvrir automatiquement la boîte de dialogue Edit Claim Rules (modifier les règles de revendication) après avoir cliqué sur le bouton Close (fermer).
  12. Pour définir les règles de revendication, ouvrez l'assistant Edit Claim Rules et cliquez sur Add Rule (ajouter une règle).
  13. Pour l’étape Select Rule Template (Sélectionner un modèle de règle), sélectionnez le modèle Send LDAP Attributes as Claims (Envoyer les attributs LDAP sous forme de revendications) pour la règle de revendication que vous souhaitez créer. Cliquez sur Next (Suivant).
  14. Pour l’étape Configure Claim Rule (Configurer la règle de revendication), suivez les instructions ci-après pour mettre à jour les règles de revendication.
    1. Pour Claim rule name (Nom de la règle de revendication), spécifiez un nom pour la règle, tel que DefaultClaims.
    2. Pour Attribute store (magasin d'attributs), sélectionnez Active Directory.
    3. Pour Mapping of LDAP attributes to outgoing claim types (Mappage des attributs LDAP avec les types de revendications sortantes), utilisez le tableau ci-après pour vous aider à indiquer la manière dont les attributs LDAP seront mappés aux types de revendications sortantes générés à partir de la règle.

      LDAP attribute (Attribut LDAP)Outgoing claim type (Type de revendication sortante)

      Attribut LDAP qui contient les noms d’utilisateur (par exemple,User-Principal-Name ou SAM-Account-Name)

      NameID

      Given-Name (Nom donné)

      Given Name (Nom donné)

      Surname (Prénom)

      Surname (Prénom)

      E-Mail-Addresses (Adresses électroniques)

      Adresse e-mail

      Token-Groups - Unqualified Names (Groupes de jetons - Nom non qualifiés)

      Groupe

    Configurer la règle - DefaultClaims

    Avec cette revendication, AD FS envoie les attributs portant les noms givenname, surname, email et group membership à ArcGIS Online après avoir authentifié l'utilisateur. ArcGIS Online utilise ensuite les valeurs reçues dans les attributs givenname, surname et email pour renseigner le nom complet et l'adresse électronique du compte d'utilisateur. Les valeurs dans l’attribut de groupe sont utilisées pour mettre à jour l’adhésion de l’utilisateur au groupe.

    Remarque :

    Si vous avez sélectionné l’option Enable SAML based group membership (Activer l’appartenance au groupe SAML) lors de l’enregistrement de AD FS en tant que fournisseur d’identités SAML, l’adhésion de chaque utilisateur est obtenue via la réponse d’assertion SAML reçue du fournisseur d’identités chaque fois que l’utilisateur se connecte avec succès. Pour obtenir des informations sur la liaison de groupes SAML, reportez-vous à la rubrique Créer des groupes.

  15. Cliquez sur Finish (Terminer) pour terminer la configuration du fournisseur d'identités AD FS visant à inclure ArcGIS Online comme partie de confiance.Cliquez sur