Skip To Content

Configurer des identifiants de connexion d'entreprise

La configuration des identifiants de connexion d'entreprise permet aux membres de votre organisation de se connecter à ArcGIS Online avec les mêmes identifiants de connexion que ceux qu'ils utilisent pour accéder aux systèmes informatiques de votre entreprise. Grâce à la configuration d'identifiants de connexion d'entreprise, les membres n'ont pas besoin de créer d'identifiants de connexion supplémentaires dans le système ArcGIS Online. Ils peuvent utiliser à la place l'identifiant de connexion qui est déjà configuré dans leur système d'entreprise. Lorsque des membres se connectent à ArcGIS Online, ils saisissent le nom d’utilisateur et le mot de passe d’entreprise directement dans votre gestionnaire d’identifiants de connexion d’entreprise, également connu sous le nom de fournisseur d’identités d’entreprise. Au terme de la vérification des identifiants de connexion des membres, le fournisseur d’identités d’entreprise informe ArcGIS Online que l’identité du membre qui se connecte a été vérifiée. Vous pouvez configurer la page de connexion de l’organisation pour afficher uniquement l’option des identifiants de connexion d’entreprise ou à la fois les options des identifiants de connexion d’entreprise et de connexion ArcGIS.

ArcGIS Online prend en charge SAML 2.0 (Security Assertion Markup Language) pour configurer les identifiants de connexion d'entreprise. SAML est une norme ouverte permettant d’échanger de manière sécurisée des données d’authentification et d’autorisation entre un fournisseur d’identités (votre organisation) et un fournisseur de services – dans ce cas, ArcGIS Online. ArcGIS Online est conforme avec la norme SAML 2.0 et s’intègre aux fournisseurs d’identités d’entreprise prenant en charge l’authentification unique web SAML 2.

Le plus souvent, les organisations configurent leurs identifiants de connexion d’entreprise SAML à l’aide d’un seul fournisseur d’identités. Ce fournisseur authentifie les utilisateurs accédant à des ressources sécurisées qui sont hébergées à travers plusieurs fournisseurs de services. Le fournisseur d’identités et tous les fournisseurs de services sont gérés par la même organisation.

Une autre manière d’authentifier les utilisateurs avec des identifiants d’entreprise consiste à configurer votre organisation pour utiliser une fédération SAML de fournisseurs d’identités. Dans une fédération SAML entre plusieurs organisations, chaque organisation membre continue à utiliser sont propre fournisseur d’identités mais configure un ou plusieurs de ses fournisseurs de services de sorte qu’ils travaillent exclusivement dans la fédération. Pour accéder à une ressource sécurisée partagée dans la fédération, un utilisateurs authentifie son identité auprès du fournisseur d’identité de son organisation d’accueil. Une fois authentifiée, cette identité validée est présentée au fournisseur de services hébergeant la ressource sécurisée. Le fournisseur de services accorde alors l’accès à la ressource après avoir vérifié les privilèges d’accès de l’utilisateur.

Connexion SAML

ArcGIS Online prend en charge les identifiants de connexion d’entreprise initiés par les fournisseurs de services et par les fournisseurs d’identités. La procédure de connexion varie selon le cas.

identifiants de connexion initiés par les fournisseurs de services

Avec ce type de connexion, les membres accèdent au site web de leur organisation directement. Des options leur permettent d’utiliser leur identifiant de connexion de fournisseur de services d’entreprise ou leur identifiant de connexion ArcGIS. Si le membre sélectionne l’option du fournisseur de services, il est redirigé vers une page web (connue sous le nom de gestionnaire d’identifiants de connexion d’entreprise) où il est invité à saisir son nom d’utilisateur et son mot de passe d’entreprise. Au terme de la vérification de l’identifiant de connexion du membre, le fournisseur d’identités d’entreprise informe ArcGIS Online que l’identité du membre qui se connecte a été vérifiée et le membre est redirigé vers le site web de son organisation.

Si le membre choisit l’option ArcGIS, la page de connexion au site web de l’organisation apparaît. Le membre peut alors saisir son nom d'utilisateur et son mot de passe ArcGIS pour accéder au site Web. L’option d’identifiant de connexion ArcGIS ne peut pas être désactivée.

identifiants de connexion initiés par les fournisseurs d’identités

Avec ce type de connexion, les membres accèdent directement à leur gestionnaire d’identifiants de connexion d’entreprise et se connectent avec leur compte. Lorsque le membre envoie ses informations de compte, le fournisseur d’identités envoie la réponse SAML directement à ArcGIS Online. Le membre est ensuite connecté et redirigé vers le site Web de son organisation, où il peut immédiatement accéder aux ressources sans se reconnecter à l’organisation.

Avec les connexions initiées par les fournisseurs d’identités, l’option de connexion avec un compte ArcGIS directement à partir du gestionnaire d’identifiants de connexion d’entreprise n’est pas disponible. Pour se connecter à l'organisation avec un compte ArcGIS, les membres doivent accéder directement au site Web de leur organisation.

Fournisseurs d’identités SAML

Les didacticiels suivants expliquent comment utiliser les fournisseurs d’identités compatibles SAML avec ArcGIS Online :

Configurer les identifiants de connexion d'entreprise

La procédure de configuration des fournisseurs d’entreprise avec ArcGIS Online est décrite ci-dessous. Avant de continuer, il est conseillé de contacter l’administrateur du fournisseur d’identités ou de la fédération de fournisseurs d’identités de votre entreprise pour obtenir les paramètres nécessaires à la configuration. Par exemple, si votre organisation utilise Microsoft Active Directory, vous devez contacter l’administrateur qui en est responsable pour configurer ou activer SAML côté fournisseur d’identités d’entreprise et obtenir les paramètres nécessaires à la configuration côté ArcGIS Online.

  1. Vérifiez que vous êtes connecté en tant qu'administrateur de votre organisation.
  2. En haut du site, cliquez sur Organization (Organisation), puis sur l’onglet Settings (Paramètres).
  3. Cliquez sur Sécurité dans la partie gauche de la page.
  4. Sous Enterprise Logins (Identifiants de connexion d’entreprise), procédez de l’une des manières suivantes :
    • One identity provider (Un fournisseur d’identités) : permet aux utilisateurs de se connecter avec leurs identifiants de connexion d’entreprise existants gérés par votre organisation. Il s’agit de la configuration la plus courante.
    • A federation of identity providers (Une fédération de fournisseurs d’identités) : permet aux utilisateurs appartenant à une fédération interorganisationnelle, telle que la fédération SWITCHaai, de se connecter avec des identifiants de connexion pris en charge par la fédération.
  5. Cliquez sur le bouton Set Enterprise Login (Définir l’identifiant de connexion d’entreprise).
  6. Dans la fenêtre qui s’affiche, procédez de l’une des manières suivantes :
    • Si vous avez sélectionné One identity provider (Un fournisseur d’identités), entrez le nom de votre organisation.
    • Si vous avez sélectionné A federation of identity providers (Une fédération de fournisseurs d’identités), entrez le nom de votre fédération.
  7. Choisissez la façon dont les membres avec des identifiants de connexion d'entreprise rejoindront votre organisation ArcGIS Online : automatiquement ou en réponse à une invitation.

    L'option automatique permet aux membres de rejoindre l'organisation en se connectant avec leurs identifiants de connexion d'entreprise. Avec l'option d'invitation, vous générez des invitations électroniques via ArcGIS Online contenant des instructions sur la procédure à suivre pour se joindre à l'organisation. L’option automatique vous permet tout de même d’inviter des membres à rejoindre l’organisation ou de les ajouter directement à l’aide de leur identifiant d’entreprise.

  8. Si vous avez choisi d’autoriser les membres à rejoindre l’organisation automatiquement, procédez comme suit :
    1. Sélectionnez le type d’utilisateur par défaut et le rôle qui seront affectés aux membres. Vous pouvez changer le type d’utilisateur et le rôle une fois que le membre a rejoint l’organisation, si nécessaire.
    2. Attribuez à chaque nouveau membre un nombre de crédits spécifié ou la limite par défaut de l’organisation.
    3. Indiquez si vous souhaitez activer ou désactiver l’accès à Esri pour les nouveaux membres.

      Si l'accès à Esri a été activé sur le compte d'un membre, il peut utiliser My Esri et Community and Forums (GeoNet), accéder aux cours e-Learning du site Web de formation, puis gérer les communications électroniques envoyées par Esri. Le membre ne peut pas activer ou désactiver son propre accès à ces ressources Esri.

    4. Vous pouvez également cliquer sur Specify Groups (Spécifier des groupes) et sélectionner les groupes ArcGIS Online auxquels les membres vont être ajoutés lorsqu’ils rejoignent l’organisation.
  9. Si vous avez sélectionné One identity provider (Un fournisseur d’identités), fournissez des informations de métadonnées sur votre fournisseur d’identités d’entreprise ArcGIS Online.

    Pour ce faire, spécifiez la source à laquelle ArcGIS Online accédera pour obtenir les informations de métadonnées concernant le fournisseur d’identités d’entreprise. Trois sources sont possibles pour ces informations :

    • A URL (URL) : entrez une URL qui renvoie des informations de métadonnées concernant le fournisseur d’identités.
    • A File (Fichier) : chargez un fichier contenant des informations de métadonnées concernant le fournisseur d’identités.
    • Parameters specified here (Paramètres spécifiés ici) : entrez directement les informations de métadonnées concernant le fournisseur d’identités en fournissant les paramètres suivants :
      • Login URL (Redirect) (URL de connexion (Redirection)) : entrez l’URL du fournisseur d’identités (qui prend en charge la liaison de redirection HTTP) qu’ArcGIS Online doit utiliser pour autoriser un membre à se connecter.
      • Login URL (POST) (URL de connexion (POST)) : entrez l’URL du fournisseur d’identités (qui prend en charge la liaison HTTP POST) qu’ArcGIS Online doit utiliser pour autoriser un membre à se connecter.
      • Certificate (Certificat) : indiquez le certificat du fournisseur d’identités d’entreprise, encodé en base 64. Il s’agit du certificat qui permet à ArcGIS Online de vérifier la signature numérique dans les réponses SAML qui lui sont envoyées par le fournisseur d’identités d’entreprise.
    Remarque :

    Contactez l’administrateur du fournisseur d’identités pour obtenir de l’aide sur l’identification de la source des informations de métadonnées que vous devez communiquer.

  10. Si vous avez sélectionné A federation of identity providers (Une fédération de fournisseurs d’identités), effectuez l’une des tâches suivantes :
    1. Entrez l’URL vers le service de découverte de fournisseur d’identités centralisé hébergé par la fédération (par exemple, https://wayf.samplefederation.com/WAYF).
    2. Entrez l’URL vers les métadonnées de la fédération, qui sont une agrégation des métadonnées de tous les fournisseurs d’identités et fournisseurs de services participant à la fédération.
    3. Copiez et collez le certificat, codé au format Base64, qui permet à l’organisation de vérifier la validité des métadonnées de fédération.
  11. Cliquez sur Show advanced settings (Afficher les paramètres avancés) pour configurer les paramètres avancés suivants selon les besoins :
    • Encrypt Assertion (Chiffrer l’assertion) : choisissez cette option pour indiquer au fournisseur d’identités SAML que ArcGIS Online prend en charge les réponses d’assertion SAML chiffrées. Lorsque cette option est sélectionnée, le fournisseur d’identités chiffre la section d’assertion des réponses SAML. Tout le trafic SAML en direction et en provenance de ArcGIS Online est déjà chiffré à l’aide du protocole HTTPS, mais cette option ajoute une couche de chiffrement.
    • Enable Signed Request (Activer la demande signée) : choisissez cette option pour que ArcGIS Online signe la demande d’authentification SAML envoyée au fournisseur d’identités. La signature de la demande de connexion initiale envoyée par ArcGIS Online autorise le fournisseur d’identités à vérifier que toutes les demandes de connexion proviennent d’un fournisseur de services approuvé.
    • Propagate logout to Identity Provider (Propager la déconnexion au fournisseur d’identités) : choisissez cette option pour que ArcGIS Online utilise une URL de déconnexion pour déconnecter l’utilisateur du fournisseur d’identités. Indiquez l'URL à utiliser dans le paramètre URL de déconnexion. Si le fournisseur d’identités exige que l’URL de déconnexion soit signée, il convient de cocher également l’option Enable Signed Request (Activer la demande signée). Lorsque cette option n’est pas disponible, cliquer sur Sign Out (Se déconnecter) dans ArcGIS Online déconnecte l’utilisateur d’ArcGIS Online mais pas du fournisseur d’identités. Si le cache du navigateur web de l’utilisateur n’est pas vidé, une tentative visant à se reconnecter immédiatement à ArcGIS Online en utilisant l’option de connexion d’entreprise entraînera une connexion immédiate sans qu’il soit nécessaire de fournir les informations d’identification de l’utilisateur au fournisseur d’identités SAML. Ceci est une faille de sécurité susceptible d'être exploitée lors de l'utilisation d'un ordinateur facilement accessible à des utilisateurs non autorisés ou au grand public.
    • Update profiles on sign in (Mettre à jour les profils lors de la connexion) : activez cette case à cocher pour synchroniser automatiquement les informations de compte (nom complet et adresse électronique) stockées dans les profils d’utilisateur d’ArcGIS Online avec les informations de compte les plus récentes reçues de la part du fournisseur d’identités. L’activation de cette case à cocher permet à votre organisation de vérifier, lorsqu’un utilisateur se connecte avec un identifiant d’entreprise, si les informations relatives au fournisseur d’identités ont changé depuis la création du compte et, si tel est le cas, met à jour le profil du compte ArcGIS Online de l’utilisateur en conséquence.
    • Enable SAML based group membership (Activer l’appartenance à un groupe de type SAML) : cochez cette case pour permettre aux membres de l’organisation de lier des groupes d’entreprise SAML spécifiés à ArcGIS Online au cours de la procédure de création des groupes. Si vous cochez cette case, les membres de l’organisation dotés du privilège de liaison à des groupes d’entreprise pourront créer un groupe ArcGIS Online dont l’appartenance est contrôlée par un groupe d’entreprise géré par un fournisseur d’identités SAML externe. Une fois qu’un groupe est lié à un groupe SAML externe, l’appartenance de chaque utilisateur du groupe est définie dans la réponse d’assertion SAML reçue par le fournisseur d’identités chaque fois que l’utilisateur se connecte. Pour s’assurer que le groupe ArcGIS Online est lié au groupe d’entreprise externe, le créateur du groupe doit entrer le nom exact du groupe d’entreprise externe renvoyé en tant que valeur attributaire dans l’assertion SAML. Les noms (non sensibles à la casse) pris en charge pour l’attribut définissant l’adhésion d’un utilisateur à un groupe sont : Group, Groups, Roles, MemberOf, member-of, http://schemas.xmlsoap.org/claims/Group, urn:oid:1.3.6.1.4.1.5923.1.5.1.1 et urn:oid:2.16.840.1.113719.1.1.4.1.25.

      Supposons par exemple qu’un utilisateur qui se connecte fasse partie des groupes d’entreprise FullTimeEmployees et GIS Faculty. Dans l’assertion SAML reçue par le fournisseur d’identités, comme illustré ci-dessous, le nom de l’attribut qui contient les informations de groupe est MemberOf. Dans cet exemple, pour créer un nouveau groupe lié au groupe d’entreprise GIS Faculty, le créateur du groupe doit entrer GIS Faculty comme nom de groupe.

      <saml2p:Response>
        ...
        ...
        <saml2:Assertion>
            ...
            ...	  
            <saml2:AttributeStatement>
              ...
              ...	  
              <saml2:Attribute Name="MemberOf">
        	      <saml2:AttributeValue>FullTimeEmployees</saml2:AttributeValue>
      	      <saml2:AttributeValue>GIS Faculty</saml2:AttributeValue>
              </saml2:Attribute>	  
          </saml2:AttributeStatement>
        </saml2:Assertion>
      </saml2p:Response>

    • Logout URL (URL de déconnexion) : si vous avez choisi One identity provider (Un fournisseur d’identités) à une étape précédente, entrez l’URL de fournisseur d’identités à utiliser pour déconnecter l’utilisateur actuellement connecté. Si cette propriété est spécifiée dans le fichier de métadonnées du fournisseur d’identités, elle est définie automatiquement.
    • Entity ID (ID d’entité) : mettez cette valeur à jour pour utiliser un nouvel ID d’entité qui identifie de manière unique votre organisation ArcGIS Online auprès du fournisseur d’identités ou de la fédération SAML.
  12. Lorsque vous avez terminé, cliquez sur Set Identity Provider (Définir le fournisseur d’identités).
  13. Pour terminer le processus de configuration, établissez une relation de confiance avec le service de découverte de la fédération (le cas échéant) et votre fournisseur d’identités en inscrivant les métadonnées du fournisseur de services ArcGIS Online auprès de lui. Vous pouvez obtenir ces métadonnées de deux manières :
    • Cliquez sur le bouton Get Service Provider (Obtenir un fournisseur de services) pour télécharger le fichier de métadonnées de votre organisation.
    • Ouvrez l’URL du fichier de métadonnées et enregistrez le fichier en tant que fichier XML sur votre ordinateur. L’URL est https://<url_key_for_org>.maps.arcgis.com/sharing/rest/portals/self/sp/metadata?token=<token>, par exemple, https://samltest.maps.arcgis.com/sharing/rest/portals/self/sp/metadata?token=G6943LMReKj_kqdAVrAiPbpRloAfE1fqp0eVAJ-IChQcV-kv3gW-gBAzWztBEdFY. Vous pouvez générer un jeton avec https://<url_key_for_org>.maps.arcgis.com/sharing/rest/generateToken. Lorsque vous saisissez l’URL sur la page Generate Token (Générer un jeton), indiquez le nom de domaine complet du serveur AD FS dans le champ Webapp URL (URL de l’application web). Sélectionner une autre option, telle que IP Address (Adresse IP) ou Address of this request’s origin (Adresse IP de l’origine de cette requête) n’est pas pris en charge et risque de générer un jeton incorrect.

    Des liens vers les instructions d’inscription des métadonnées du fournisseur de services auprès des fournisseurs certifiés sont disponibles dans la section Fournisseurs d’identités SAML. Si vous avez sélectionné A federation of identity providers (Une fédération de fournisseurs d’identités), une fois les métadonnées du fournisseur de services téléchargées, contactez les administrateurs de la fédération SAML pour savoir comment intégrer les métadonnées de votre fournisseur de services dans le fichier de métadonnées agrégé de la fédération. Vous aurez également besoin d’instructions concernant l’inscription de votre IDP auprès de la fédération.

Modifier ou supprimer le fournisseur d’identités d’entreprise

Vous pouvez mettre les paramètres de votre fournisseur d’identités d’entreprise à jour à l’aide du bouton Edit Enterprise Login (Mettre à jour l’identifiant de connexion d’entreprise) ou supprimer le fournisseur d’identités actuellement inscrit à l’aide du bouton Remove Enterprise Login (Supprimer l’identifiant de connexion d’entreprise). Ces boutons sont visibles lorsque vous avez configuré un fournisseur d’identités. Une fois que vous avez supprimé un fournisseur d’identités, vous pouvez en configurer un nouveau ou une nouvelle fédération de fournisseurs d’identités.