Configurer des identifiants de connexion OpenID Connect

La configuration d’identifiants de connexion d’organisation tels que les identifiants OpenID Connect permet aux membres de votre organisation de se connecter à ArcGIS Online en utilisant les mêmes identifiants que ceux qu’ils utilisent pour accéder aux systèmes internes de votre organisation. Grâce à la configuration d'identifiants de connexion d'organisation, les membres n'ont pas besoin de créer des identifiants de connexion supplémentaires dans le système ArcGIS Online. Ils peuvent utiliser à la place l'identifiant de connexion qui est déjà configuré avec l'organisation. Lorsque des membres se connectent à ArcGIS Online, ils indiquent leur nom d’utilisateur et leur mot de passe d’organisation dans le gestionnaire d’identifiants de connexion de l’organisation, également appelé fournisseur d’identités de l’organisation. Au terme de la vérification des identifiants de connexion des membres, le fournisseur d’identités informe ArcGIS Online que l’identité du membre qui se connecte a été vérifiée.

ArcGIS Online accepte le protocole d’authentification OpenID Connect et l'intégration avec des fournisseurs d’identités tels que Okta et Google, qui prennent en charge OpenID Connect.

Vous pouvez configurer la page de connexion ArcGIS Online pour qu’elle affiche uniquement l’identifiant de connexion OpenID Connect ou l’identifiant de connexion OpenID Connect, ainsi que les options suivantes : identifiant de connexion ArcGIS, identifiant de connexion SAML (s’il est configuré) et de réseaux sociaux (s’ils sont configurés).

Configurer des identifiants de connexion OpenID Connect

La procédure de configuration du fournisseur d’identités OpenID Connect dans ArcGIS Online est décrite ci-dessous. Avant de continuer, il est conseillé de contacter l’administrateur du fournisseur d’identités pour obtenir les paramètres nécessaires à la configuration. Vous pouvez également accéder et participer à la documentation détaillée sur la configuration des fournisseurs d’identités tiers dans le référentiel GitHub ArcGIS/idp.

Remarque :

Actuellement, vous ne pouvez configurer qu’un seul fournisseur d’identités OpenID Connect pour votre organisation ArcGIS Online. Il sera possible de configurer des fournisseurs d’identités supplémentaires ultérieurement.

  1. Vérifiez que vous êtes connecté en tant qu'administrateur de votre organisation.
  2. En haut du site, cliquez sur Organization (Organisation), puis sur l’onglet Settings (Paramètres).
  3. Si vous envisagez d’autoriser les membres à se joindre automatiquement à l’organisation sans envoyer d’invitations, configurez les paramètres par défaut des nouveaux membres d’abord. Dans le cas contraire, ignorez cette étape.

    S’il y a lieu, vous pouvez modifier ces paramètres pour des membres spécifiques après qu’ils ont rejoint l’organisation.

    1. Cliquez sur New member defaults (Paramètres par défaut des nouveaux membres) sur le côté de la page.
    2. Sélectionnez le type d’utilisateur et le rôle par défaut des nouveaux membres.
    3. Sélectionnez les licences additionnelles à attribuer automatiquement aux membres qui rejoignent l’organisation.
    4. Sélectionnez les groupes auxquels les membres sont ajoutés lorsqu’ils rejoignent l’organisation.
    5. Si la budgétisation des crédits est activée pour l’organisation, attribuez à chaque nouveau membre un nombre de crédits spécifié ou ne définissez aucune limite.
    6. Indiquez si vous souhaitez activer l’accès à Esri pour les nouveaux membres.

      Un membre dont le compte a accès à Esri peut utiliser My Esri, suivre des formations, participer à Esri Community, ajouter des commentaires sur le Blog ArcGIS et gérer les communications par-mail envoyées par Esri. Le membre ne peut pas activer ou désactiver son propre accès à ces ressources Esri.

  4. Cliquez sur Security (Sécurité) sur le côté de la page.
  5. Dans la section Logins (Identifiants de connexion), cliquez sur New OpenID Connect login (Nouvel identifiant de connexion OpenID Connect).
  6. Dans le champ Login button label (Étiquette du bouton de connexion), saisissez le texte que les membres verront apparaître sur le bouton qui leur permettra de se connecter avec leurs identifiants OpenID Connect.
  7. Choisissez la façon dont les membres dotés d’identifiants de connexion OpenID Connect rejoindront votre organisation  : automatiquement ou en réponse à une invitation.

    L’option Automatically (Automatiquement) permet aux membres de rejoindre l’organisation en se connectant avec leurs identifiants de connexion OpenID Connect. Avec l’option Upon invitation from an Admin (Sur invitation d’un administrateur), vous générez des invitations électroniques via ArcGIS Online qui contiennent les instructions sur la procédure à suivre pour rejoindre l’organisation. L’option Automatically (Automatiquement) vous permet tout de même d’inviter des membres à rejoindre l’organisation ou de les ajouter directement à l’aide de leur identifiant OpenID Connect. Pour plus d’informations, reportez-vous à la rubrique Inviter et ajouter des membres.

  8. Dans le champ Registered client ID (ID client enregistré), saisissez l’ID client du fournisseur d’identités.
  9. Dans Authentication method (Méthode d’authentification), spécifiez l’une des options suivantes :
    • Client secret (Clé secrète client) : indiquez la clé secrète client enregistrée du fournisseur d’identités.
    • Public key / Private key (Clé publique/clé privée) : choisissez cette option pour générer une clé publique ou une URL de clé publique en vue de l’authentification.
      Remarque :

      La génération d’une nouvelle paire de clés publique/privée invalide les paires de clés publiques/privées existantes. Si votre configuration IdP utilise une clé publique enregistrée au lieu de l’URL de clé publique, la génération d’une nouvelle paire de clés exige que vous mettiez à jour la clé publique dans votre configuration IdP pour empêcher toute interruption de connexion.

  10. Dans le champ Provider scopes/permissions (Portées/autorisations du fournisseur), indiquez les portées à envoyer avec la requête au point de terminaison de l’autorisation.
    Remarque :

    ArcGIS Online prend en charge les portées correspondant aux attributs de l’identifiant OpenID Connect, du courrier électronique et du profil utilisateur. Vous pouvez utiliser la valeur standard de openid profile email pour les portées si elle est prise en charge par votre fournisseur OpenID Connect. Consultez la documentation de votre fournisseur OpenID Connect pour en savoir plus sur les portées prises en charge.

  11. Dans le champ Provider issuer ID (ID d’émetteur du fournisseur), indiquez l’identifiant du fournisseur OpenID Connect.
  12. Renseignez les URL du fournisseur d’identité OpenID Connect comme suit :
    Conseil :

    Pour plus d’informations sur la façon de renseigner les informations ci-dessous, reportez-vous au document de configuration officiel du fournisseur d’identités, https:/[IdPdomain]/.well-known/openid-configuration par exemple.

    1. Pour OAuth 2.0 authorization endpoint URL (URL du point de terminaison de l’autorisation OAuth 2.0), indiquez l’URL du point de terminaison de l’autorisation OAuth 2.0 du fournisseur d’identités.
    2. Pour Token endpoint URL (URL du point de terminaison du jeton), indiquez l’URL du point de terminaison du jeton du fournisseur d’identités pour obtenir les jetons d’identifiant et d’accès.
    3. Éventuellement, pour JSON web key set (JWKS) URL (URL du jeu de clés Web JSON (JWKS)), indiquez l’URL du document de jeu de clés Web JSON du fournisseur d’identités.

      Ce document contient les clés de signature utilisées pour valider les signatures du fournisseur. Cette URL n’est utilisée que si l’option User profile endpoint URL (recommended) (URL du point de terminaison du profil utilisateur [recommandée]) n’est pas configurée.

    4. Pour User profile endpoint URL (recommended) (URL du point de terminaison du profil utilisateur (recommandée)), indiquez le point de terminaison pour obtenir les informations sur l’identité de l’utilisateur.

      Si vous ne spécifiez pas cette URL, l’URL indiquée dans l’option JSON web key set (JWKS) URL (URL du jeu de clés Web JSON [JWKS]) est utilisée à la place.

    5. Éventuellement, pour Logout endpoint URL (optional) (URL du point de terminaison de déconnexion (facultative)), indiquez l’URL du point de terminaison de déconnexion sur le serveur d’autorisations.

      Lorsque le membre se déconnecte d’ArcGIS, cette URL sert à le déconnecter aussi du fournisseur d’identités.

  13. Activez le bouton bascule Send access token in header (Envoyer le jeton d'accès dans l'en-tête) si vous voulez que le jeton soit envoyé dans un en-tête plutôt que dans une chaîne de requête.
  14. Éventuellement, utiliser le bouton Use PKCE enhanced Authorization Code Flow (Flux de code d’autorisation amélioré PKCE)

    Si cette option est activée, le protocole Proof Key for Code Exchange (PKCE) est utilisé pour sécuriser le flux de code d’autorisation OpenID Connect. Chaque demande d’autorisation crée un vérificateur de code unique, dont la valeur transofrmée, le défi de code, est envoyé au serveur d’autorisations pour obtenir le code d’autorisation. La méthode du défi de code utilisée pour cette transformation est S256, ce qui signifie que le défi de code est une URL codée Base64, un hachage SHA-256 du vérificateur de code.

  15. Activez éventuellement le bouton Enable OpenID Connect login based group membership (Activer la connexion OpenID Connect en fonction de l’appartenance à un groupe) pour autoriser les membres à lier des groupes OpenID Connect donnés à des groupes ArcGIS Online pendant le processus de création de groupe.

    Lorsque cette option est activée, les membres de l’organisation dotés du privilège de liaison à des groupes OpenID Connect ont la possibilité de créer un groupe ArcGIS Online dont l’appartenance est contrôlée par un fournisseur d’identités OpenID Connect géré en externe. Une fois qu’un groupe est lié à un groupe OpenID Connect externe, l’adhésion de chaque utilisateur au groupe est définie dans la réponse à la revendication des groupes OpenID Connect reçue du fournisseur d’identités chaque fois que l’utilisateur se connecte.

    Pour s’assurer que le groupe ArcGIS Online est lié au groupe OpenID Connect externe, le créateur du groupe doit indiquer la valeur exacte du groupe OpenID Connect externe qui est renvoyée en tant que valeur attributaire dans la revendication des groupes OpenID Connect. Affichez la réponse à la revendication des groupes reçue de votre fournisseur d’identités OpenID Connect afin de déterminer la valeur utilisée pour référencer le groupe.

    Si vous activez le bouton Enable OpenID Connect login based group membership (Activer la connexion OpenID Connect en fonction de l’appartenance à un groupe), veillez à ajouter le champ d’application des groupes dans la zone Provider scopes/permissions (Portées/autorisations du fournisseur). Consultez la documentation de votre fournisseur OpenID Connect pour en savoir plus sur les portées prises en charge.

  16. Si vous le souhaitez, pour ArcGIS username claim (Revendication du nom d’utilisateur ArcGIS), indiquez le nom de la revendication du jeton d’identifiant qui servira à configurer le nom d’utilisateur ArcGIS.

    La valeur indiquée doit correspondre aux critères de nom d’utilisateur d’Esri. Un nom d’utilisateur ArcGIS doit contenir entre 6 et 128 caractères et ne peut contenir que les caractères spéciaux suivants : . (point), _ (trait de soulignement) et @ (symbole arobase). Les autres caractères spéciaux, les caractères non alphanumériques et les espaces ne sont pas autorisés.

    Si vous indiquez une valeur de moins de 6 caractères, or si la valeur correspond à un nom d’utilisateur existant, des nombres sont ajoutés à la valeur. Si vous laissez ce champ vide, le nom d’utilisateur est créé à partir du préfixe de l’e-mail s’il est disponible. Sinon, la revendication d’identifiant est utilisée pour créer le nom d’utilisateur.

  17. Si vous utilisez un identifiant de connexion OpenID Connect, conservez l’attribut d’identifiant d’objet (sub) par défaut envoyé dans le jeton d’identifiant par le fournisseur OpenID Connect comme identifiant d’utilisateur. Si vous devez utiliser une revendication personnalisée pour l’identifiant d’utilisateur, spécifiez le nom de la revendication du jeton d’identifiant qui servira à configurer l’identifiant d’utilisateur.
    Remarque :

    La revendication de l’identifiant d’utilisateur ne doit être configurée qu’une seule fois lors de la configuration initiale de l’identifiant de connexion OpenID Connect. Si vous changez d’identifiant d’utilisateur après avoir configuré l’identifiant de connexion OpenID Connect, en remplaçant la valeur par défaut par une valeur personnalisée ou une valeur personnalisée par une autre, les comptes d’utilisateurs créés avant ce changement ne fonctionnent plus.

  18. Lorsque vous avez terminé, cliquez sur Save (Enregistrer).
  19. Cliquez sur le lien Configure login (Configurer la connexion) en regard de OpenID Connect login (Connexion OpenID Connect).
  20. Pour terminer le processus de configuration, copiez les URI de redirection de connexion (option Login Redirect URI) et URI de redirection de déconnexion (option Logout Redirect URI) générées (le cas échéant) et ajoutez-les à la liste des URL de rappel autorisées pour le fournisseur d’identités OpenID Connect. Le cas échéant, copiez la clé publique ou l’URL de clé publique pour le fournisseur d’identités OpenID Connect.

Modifier ou supprimer le fournisseur d’identités OpenID Connect

Une fois que vous avez configuré un fournisseur d’identités OpenID Connect, vous pouvez mettre à jour ses paramètres en cliquant sur Configure login (Configurer la connexion) en regard du fournisseur d’identités actuellement inscrit. Mettez à jour les paramètres dans la fenêtre Edit OpenID Connect login (Modifier la connexion OpenID Connect).

Pour supprimer le fournisseur d’identités actuellement inscrit, cliquez sur Configure login (Configurer la connexion) en regard du fournisseur d’identités, puis cliquez sur Delete login (Supprimer un identifiant de connexion) dans la fenêtre Edit OpenID Connect login (Modifier un identifiant de connexion OpenID Connect).

Remarque :

Une connexion OpenID Connect ne peut être supprimée que si tous les membres du fournisseur sont retirés.