Configurer NetIQ Access Manager

NetIQ Access Manager est un fournisseur d'identités compatible avec Security Assertion Markup Language SAML. Vous pouvez configurer NetIQ Access Manager 3.2 et versions ultérieures en tant que fournisseur d’identités pour les identifiants de connexion SAML dans ArcGIS Online. Le processus de configuration comporte deux étapes principales : l'enregistrement du fournisseur d'identités SAML auprès de ArcGIS Online et l'enregistrement de ArcGIS Online auprès du fournisseur d'identités SAML. Vous pouvez configurer

Remarque :

Pour faire en sorte que vos identifiants de connexion SAML soient configurés en toute sécurité, passez en revue les bonnes pratiques pour la sécurité SAML.

Informations requises

ArcGIS Online requiert la réception de certaines informations attributaires de la part du fournisseur d’identités lorsqu’un utilisateur se connecte à l’aide d’identifiants SAML. L’attribut NameID est obligatoire. Il doit être envoyé par votre fournisseur d’identités dans la réponse SAML afin que la fédération fonctionne avec ArcGIS Online. Puisqu’ArcGIS Online utilise la valeur de NameID pour identifier de manière unique un utilisateur nommé, il est recommandé d’utiliser une valeur constante qui identifie l’utilisateur de manière unique. Lorsqu'un utilisateur IDP se connecte, un nouvel utilisateur appelé NameID_<url_key_for_org> est créé par ArcGIS Online dans son magasin d'utilisateurs. Les caractères autorisés pour la valeur envoyée par l’attribut NameID sont les caractères alphanumériques, le trait de soulignement (_), (le point) et @ (le symbole arobase). Tous les autres caractères seront désactivés pour contenir des traits de soulignement dans le nom d'utilisateur créé par ArcGIS Online.

ArcGIS Online prend en charge le flux entrant de l’adresse électronique d’un utilisateur, les appartenances aux groupes, le nom et le prénom indiqués par le fournisseur d’identités SAML. Il est conseillé de transmettre l’adresse électronique reçue du fournisseur d’identités d’entreprise SAML afin que l’utilisateur puisse recevoir les notifications. Cela peut s'avérer utile si l'utilisateur devient plus tard administrateur. Le fait d'avoir une adresse électronique dans le compte autorise l'utilisateur à recevoir des notifications concernant les activités administratives et à envoyer des invitations à d'autres utilisateurs pour rejoindre l'organisation.

Enregistrez NetIQ Access Manager en tant que fournisseur d'identités SAML auprès de ArcGIS Online

  1. Vérifiez que vous êtes connecté en tant qu'administrateur de votre organisation.
  2. En haut du site, cliquez sur Organization (Organisation), puis sur l’onglet Settings (Paramètres).
  3. Cliquez sur Sécurité dans la partie gauche de la page.
  4. Dans la section Logins (Connexions), sous SAML login (Connexion SAML), cliquez sur le bouton Set up SAML login (Configurer une connexion SAML) et sélectionnez l’option One identity provider (Un fournisseur d’identités). Sur la page Specify properties (Spécifier les propriétés), saisissez le nom de votre organisation (par exemple Ville de Redlands). Lorsque les utilisateurs accèdent au site Web de l’organisation, ce texte est intégré dans le nom de l’option de connexion SAML (par exemple, Utilisation de votre compte Ville de Redlands).
    Remarque :

    Sélectionner l’option One identity provider (Un fournisseur d’identités) vous permet d’inscrire un fournisseur d’identités SAML pour votre organisation ArcGIS Online. Pour authentifier des utilisateurs ayant des identifiants de connexion SAML issus de plusieurs fournisseurs d’identités, inscrivez une fédération SAML au lieu d’un fournisseur d’identités unique.

  5. Sélectionnez Automatically (Automatiquement) ou Upon invitation from an administrator (Sur invitation d’un administrateur) pour préciser comment les utilisateurs peuvent rejoindre l’organisation. Si vous choisissez la première option, les utilisateurs peuvent se connecter à l’organisation avec leur identifiant de connexion SAML sans qu’un administrateur n’intervienne. Leur compte est automatiquement enregistré auprès de l’organisation lors de leur première connexion. La seconde option suppose que l'administrateur invite les utilisateurs nécessaires à rejoindre l'organisation. Lorsque l’utilisateur reçoit l’invitation, il peut se connecter à l’organisation.
  6. Indiquez des informations de métadonnées concernant le fournisseur d'identités à l'aide d'une des trois options ci-dessous :
    • URL : sélectionnez cette option si l'URL des métadonnées de fédération NetIQ Access Manager est accessible par ArcGIS Online. L’URL est en général http(s)://<host>:<port>/nidp/saml2/metadatasur la machine où fonctionne NetIQ Access Manager.
    • File (Fichier) : sélectionnez cette option si l’URL n’est pas accessible via ArcGIS Online. Obtenez les métadonnées depuis l’URL ci-dessus, enregistrez-les comme fichier XML et téléchargez le fichier.
    • Parameters specified here (Paramètres spécifiés ici) : sélectionnez cette option si l’URL ou le fichier de métadonnées de la fédération n’est pas accessible. Entrez les valeurs manuellement et fournissez les paramètres demandés : l’URL de connexion et le certificat, chiffrés au format BASE 64. Contactez votre administrateur NetIQ Access Manager pour les obtenir.
  7. Configurez les paramètres avancés comme il convient :
    • Encrypt Assertion (Chiffrer l’assertion) : activez cette option si NetIQ Access Manager doit être configuré pour chiffrer les réponses d’assertion SAML.
    • Enable Signed Request (Activer la demande signée) : activez cette option pour que ArcGIS Online signe la demande d’authentification SAML envoyée à NetIQ Access Manager.
    • Propagate logout to Identity Provider (Propager la déconnexion au fournisseur d’identités) : activez cette option pour que ArcGIS Onlineutilise le paramètre Logout URL (URL de déconnexion) pour déconnecter l’utilisateur de Net IQ Access Manager. Indiquez l'URL à utiliser dans le paramètre URL de déconnexion. Si le fournisseur d’identités exige la signature du paramètre Logout URL (URL de déconnexion), vous devez activer Enable signed request (Activer la demande signée).
    • Update profiles on sign in (Mettre à jour les profils lors de la connexion) : sélectionnez cette option pour synchroniser automatiquement les informations de compte (nom complet et adresse électronique) stockées dans les profils d’utilisateur de ArcGIS Online avec les dernières informations reçues de la part du fournisseur d’identités. L’activation de cette case à cocher permet à votre organisation de vérifier, lorsqu’un utilisateur se connecte avec l’identifiant de connexion SAML, si les informations relatives au fournisseur d’identités ont changé depuis la création du compte et, si tel est le cas, de mettre à jour le profil du compte ArcGIS Online de l’utilisateur en conséquence.
    • Enable SAML based group membership (Activer l’adhésion au groupe SAML) : activez cette option pour autoriser les membres de l’organisation à relier des groupes d’entreprises SAML spécifiés à des groupes ArcGIS Online pendant le processus de création de groupe.
    • URL de déconnexion : l'URL du fournisseur d'identités à utiliser pour déconnecter l'utilisateur actuellement connecté. Cette valeur est renseignée automatiquement si elle est définie dans le fichier de métadonnées du fournisseur d’identités. Vous pouvez mettre à jour cette URL le cas échéant.
    • Entity ID (ID d'entité) : mettez cette valeur à jour pour utiliser un nouvel ID d'entité qui identifie de manière unique votre organisation ArcGIS Online auprès de NetIQ Access Manager.
  8. Cliquez sur Save (Enregistrer).

Enregistrez ArcGIS Online en tant que fournisseur de services approuvé auprès de NetIQ Access Manager

  1. Configurez un jeu d'attributs.

    Procédez comme suit pour créer un jeu d'attributs de façon à ce que les attributs puissent être envoyés à ArcGIS Online dans le cadre de l'assertion SAML après l'authentification de l'utilisateur. S'il existe un jeu d'attributs déjà configuré dans votre NetIQ Access Manager, vous pouvez l'utiliser.

    1. Connectez-vous à la console d'administration NetIQ Access Manager. Elle est généralement accessible sur http(s)://<host>:<port>/nps.
    2. Accédez à votre serveur d'identité dans la console d'administration NetIQ et cliquez sur l'onglet Shared Settings (Paramètres partagés). Sous Attribute Sets (Jeux d'attributs), les jeux d'attributs que vous avez déjà créés doivent apparaître. Cliquez sur New (Nouveau) et créez un nouveau jeu d'attributs. Entrez ArcGISOnline sous Set Name (Nom du jeu) et cliquez sur Next (Suivant).

      Créer un jeu d'attributs

    3. Définissez les appariements d'attributs et ajoutez-les au jeu d'attributs que vous avez créé à l'étape précédente.

    Cliquez sur le lien Nouveau et ajoutez les nouveaux appariements d'attributs. Les captures d'écran ci-dessous illustrent l'ajout d'un appariement d'attribut pour givenName, email address et uid. Vous pouvez choisir n'importe quel attribut dans votre source d'authentification à la place de ces exemples.

    attribut givenName
    attribute
    attribut email
    attribut uid

    Cliquez sur Terminer dans l'assistant Créer un jeu d'attributs. Cette opération crée un jeu d'attributs nommé ArcGISOnline.

  2. Procédez comme suit pour ajouter ArcGIS Onlineen tant que fournisseur approuvé auprès de NetIQ Access Manager.
    1. Connectez-vous à la console d'administration NetIQ, choisissez votre serveur d'identité et cliquez sur le lien Edit (Modifier).
      Console d'administration

      L'onglet General (Général) apparaît.

    2. Cliquez sur l’onglet SAML 2.0, puis sur New (Nouveau) > Service Provider (Fournisseur de services).

      La fenêtre Service Provider (Fournisseur de services) permet d'ajouter ArcGIS Online en tant que fournisseur de services approuvé auprès de NetIQ Access Manager.

    3. Dans l'assistant Create Trusted Service Provider (Créer un fournisseur de services approuvé), sélectionnez Metadata Text (Texte des métadonnées) comme Source et collez les métadonnées de votre organisation ArcGIS Online dans la zone Text (Texte).

      Pour récupérer les métadonnées de votre organisation ArcGIS Online, connectez-vous à votre organisation en tant qu’administrateur, cliquez sur l’onglet Settings (Paramètres), puis sur Security (Sécurité) à gauche de la page. Dans la section Logins (Identifiants de connexion), sous SAML Login (Identifiant de connexion SAML), cliquez sur le bouton Download service provider metadata (Télécharger les métadonnées du fournisseur de services) pour télécharger le fichier de métadonnées pour votre organisation.

      Créer un fournisseur de services approuvé

      Cliquez sur Suivant et sur Terminer pour terminer l'ajout du fournisseur de services approuvé.

      Fournisseur approuvé
  3. Procédez comme suit pour configurer les propriétés de fédération de ArcGIS Online et de NetIQ Access Manager.
    1. Sous l'onglet SAML 2.0, cliquez sur le lien du fournisseur de services sous Fournisseurs de services.(Par exemple, dans la capture d'écran ci-dessus, le lien s'appelle ArcGISOnlineSAMLTest.) L'onglet Configuration s'ouvre. Cliquez sur l'onglet Metadata (Métadonnées) et vérifiez que les métadonnées de votre organisation ArcGIS Online sont correctes.
    2. Cliquez sur le bouton Configuration et revenez à la section Trust (Approbation) de la configuration. Sélectionnez l’option Encrypt assertions (Chiffrer les assertions) si vous avez choisi le paramètre avancé Encrypt Assertion (Chiffrer l’assertion) lorsque vous avez enregistré NetIQ Access Manager en tant que fournisseur d’identités SAML auprès de ArcGIS Online.
    3. Cliquez sur l'onglet Attributs.

      Au cours de cette étape, ajoutez l'appariement d'attributs du jeu créé précédemment de façon à ce que NetIQ Access Manager puisse envoyer les attributs à ArcGIS Online dans l'assertion SAML.

      Sélectionnez le jeu d'attributs que vous avez défini à l'étape 2.1 ci-dessus. Une fois votre jeu d'attributs sélectionné, les attributs que vous avez définis dans le jeu apparaissent dans la zone Available (Disponible). Déplacez vos attributs givenName et email vers la zone Send with authentication (Envoyer avec authentification).

      Jeu d'attributs
    4. Cliquez sur l'onglet Authentication Response (Réponse d'authentification) sous l'onglet Configuration du fournisseur de services et configurez la réponse d'authentification.

      Cliquez sur Post dans le menu déroulant Binding (Liaison).

      Dans la colonne Name Identifier (Identifiant de nom), cochez la case en regard de Unspecified (Non spécifié).

      Dans la colonne Default (Par défaut), sélectionnez la case d'option en regard de Unspecified (Non spécifié).

      Dans la colonne Value (Valeur), choisissez Ldap Attribute uid (UID d'attribut LDAP).

      Remarque :

      Vous pouvez configurer n'importe quel autre attribut unique dans le jeu d'attributs de votre source d'authentification à envoyer comme NameID. La valeur de ce paramètre sera utilisée comme nom d'utilisateur dans l'organisation.

      Cliquez sur Appliquer. Vérifiez que votre page correspond à la capture d'écran ci-dessous.

      Réponse de l'authentification
    5. Sous Configuration, cliquez sur l'onglet Options et choisissez votre contrat d'authentification des utilisateurs, par exemple Name/Password - Form (Nom/Mot de passe - Formulaire), puis cliquez sur Apply (Appliquer).

      Options de configuration

  4. Redémarrez NetIQ Access Manager en naviguant vers le serveur d’identité et en cliquant sur le lien Update All (Tout mettre à jour).

    Redémarrer NetIQ