Configurer G Suite

G Suite est un fournisseur d'identités compatible avec Security Assertion Markup Language SAML. Vous pouvez le configurer comme fournisseur d’identités pour les identifiants de connexion SAML dans ArcGIS Online. Le processus de configuration comporte deux étapes principales : l'enregistrement du fournisseur d'identités SAML auprès de ArcGIS Online et l'enregistrement de ArcGIS Online auprès du fournisseur d'identités SAML.

Remarque :

Pour faire en sorte que vos identifiants de connexion SAML soient configurés en toute sécurité, passez en revue les bonnes pratiques pour la sécurité SAML.

Informations requises

ArcGIS Online requiert la réception de certaines informations attributaires de la part du fournisseur d’identités lorsqu’un utilisateur se connecte à l’aide d’identifiants SAML. L’attribut NameID est obligatoire. Il doit être envoyé par votre fournisseur d’identités dans la réponse SAML afin que la fédération fonctionne avec ArcGIS Online. Puisqu’ArcGIS Online utilise la valeur de NameID pour identifier de manière unique un utilisateur nommé, il est recommandé d’utiliser une valeur constante qui identifie l’utilisateur de manière unique. Lorsqu'un utilisateur IDP se connecte, un nouvel utilisateur appelé NameID_<url_key_for_org> est créé par ArcGIS Online dans son magasin d'utilisateurs. Les caractères autorisés pour la valeur envoyée par l’attribut NameID sont les caractères alphanumériques, le trait de soulignement (_), (le point) et @ (le symbole arobase). Tous les autres caractères seront désactivés pour contenir des traits de soulignement dans le nom d'utilisateur créé par ArcGIS Online.

ArcGIS Online prend en charge le flux entrant de l’adresse électronique d’un utilisateur, les appartenances aux groupes, le nom et le prénom indiqués par le fournisseur d’identités SAML. Il est conseillé de transmettre l’adresse électronique reçue du fournisseur d’identités d’entreprise SAML afin que l’utilisateur puisse recevoir les notifications. Cela peut s'avérer utile si l'utilisateur devient plus tard administrateur. Le fait d'avoir une adresse électronique dans le compte autorise l'utilisateur à recevoir des notifications concernant les activités administratives et à envoyer des invitations à d'autres utilisateurs pour rejoindre l'organisation.

Configurer les identifiants de connexion SAML

Remarque :

Les étapes suivantes exigent un compte Google avec des privilèges de super administrateur pour l’abonnement G Suite.

  1. Connectez-vous à votre console d’administration Google (http://admin.google.com) pour accéder au tableau de bord de l’administrateur.
  2. Depuis la page d’accueil de la console d’administration, accédez aux Apps (Applications).
    Remarque :

    Pour voir les applications depuis la page d’accueil, vous pouvez avoir besoin de cliquer sur More controls (Autres contrôles) en bas. Vous pouvez également utiliser le menu principal pour accéder aux Apps (Applications).

  3. Cliquez sur SAML Apps (Applications SAML), puis sur le bouton plus (+) dans l’angle inférieur.
  4. Dans la fenêtre qui s’affiche, cliquez sur Set up My Own Custom App (Configurer ma propre application personnalisée).
  5. Dans la fenêtre Google IdP Information (Informations IdP Google), pour Option 2, cliquez sur Download (Télécharger) pour télécharger les métadonnées IDP. Enregistrez ce fichier à un emplacement sur votre espace de stockage local.
  6. Cliquez sur Next (Suivant).
  7. Ouvrez une nouvelle fenêtre de navigateur et accédez à ArcGIS Online.
  8. Vérifiez que vous êtes connecté en tant qu'administrateur de votre organisation.
  9. En haut du site, cliquez sur Organization (Organisation), puis sur l’onglet Settings (Paramètres).
  10. Cliquez sur Sécurité dans la partie gauche de la page.
  11. Dans la section Logins (Identifiants de connexion), sous SAML login (Connexion SAML), cliquez sur le bouton Set up SAML login (Configurer la connexion SAML) et sélectionnez l’option One identity provider (Un fournisseur d’identités). Saisissez le nom de votre organisation dans la fenêtre qui apparaît (par exemple, City of Redlands (Ville de Redlands)). Lorsque les utilisateurs accèdent au site Web de l’organisation, ce texte est intégré dans le nom de l’option de connexion SAML (par exemple, Utilisation de votre compte Ville de Redlands).
  12. Sélectionnez Automatically (Automatiquement) ou Upon invitation from an administrator (Sur invitation d’un administrateur) pour préciser comment les utilisateurs peuvent rejoindre l’organisation. Si vous choisissez la première option, les utilisateurs peuvent se connecter à l’organisation avec leur identifiant de connexion SAML sans qu’un administrateur n’intervienne. Leur compte est automatiquement enregistré auprès de l’organisation lors de leur première connexion. La seconde option suppose que l'administrateur invite les utilisateurs nécessaires à rejoindre l'organisation. Lorsque l’utilisateur reçoit l’invitation, il peut se connecter à l’organisation.
  13. Fournissez les informations de métadonnées pour l’IDP en choisissant l’option File (Fichier). Utilisez le fichier de métadonnées IDP que vous avez précédemment téléchargé.
  14. Laissez les paramètres avancés inchangés et cliquez sur Save (Enregistrer).
  15. Cliquez sur Download service provider metadata (Télécharger les métadonnées du fournisseur de services) et enregistrez le fichier de métadonnées du fournisseur de services en local.

    Les informations de ce fichier seront utilisées pour enregistrer l’organisation comme fournisseur de services approuvé auprès de G Suite.

  16. Ouvrez le fichier dans un éditeur de texte tel que Notepad.
  17. Revenez à la fenêtre du navigateur de la console d’administration Google. Dans la fenêtre Basic Information for your Custom App (Informations de base pour votre application personnalisée), saisissez un nom pour votre application et cliquez sur Next (Suivant).
  18. Dans la fenêtre Service Provider Details (Détails du fournisseur de service), complétez les paramètres suivants à l’aide du contenu depuis le fichier de métadonnées de l’organisation :
    1. Pour l’ACS URL (URL ACS), copiez la valeur de l’élément AssertionConsumerService.

      Exemple : https://[org name].maps.arcgis.com/sharing/rest/oauth2/saml/signin

    2. Pour Entity ID (ID d’entité), copiez la valeur de l’attribut entityID.

      Exemple : [org name].maps.arcgis.com

    3. Pour Start URL (URL de début), copiez la valeur de l’attribut OrganizationURL.

      Exemple : https://[org name].maps.arcgis.com

    4. Laissez Name ID (ID de nom) défini sur Basic Information Primary Email (E-mail principal des informations de base) (ou un autre attribut unique que votre abonnement G Suite utilise).
    5. Laissez Name ID Format (Format de l’ID de nom) défini sur Unspecified (Non spécifié).
  19. Cliquez sur Next (Suivant).
  20. Dans la fenêtre Attribute Mapping (Cartographie des attributs), saisissez givenName, sélectionnez Basic Information (Informations de base), puis First Name (Prénom).
  21. Dans la fenêtre Attribute Mapping (Cartographie des attributs), saisissez surName, sélectionnez Basic Information (Informations de base), puis Last Name (Nom).
  22. Cliquez sur Finish (Terminer) pour finaliser la configuration.
  23. Cliquez sur Edit Service (Modifier les services). Pour Service status (Statut du service), sélectionnez On for everyone (Actif pour tout le monde) et cliquez sur Save (Enregistrer).