Configurer des identifiants de connexion OpenID Connect

La configuration d'identifiants de connexion d'organisations tels que les identifiants OpenID Connect permet aux membres de votre organisation de se connecter à ArcGIS Online en utilisant les mêmes identifiants que ceux qu'ils utilisent pour accéder aux systèmes internes de votre organisation. Grâce à la configuration d'identifiants de connexion d'organisation, les membres n'ont pas besoin de créer des identifiants de connexion supplémentaires dans le système ArcGIS Online. Ils peuvent utiliser à la place l'identifiant de connexion qui est déjà configuré avec l"organisation. Lorsque des membres se connectent à ArcGIS Online, ils saisissent le nom d’utilisateur et le mot de passe d’organisation directement dans le gestionnaire d’identifiants de connexion de l'organisation, également appelé fournisseur d’identités de l'organisation. Au terme de la vérification des identifiants de connexion des membres, le fournisseur d’identités informe ArcGIS Online que l’identité du membre qui se connecte a été vérifiée.

ArcGIS Online accepte le protocole d’authentification OpenID Connect et l'intégration avec des fournisseurs d'identité tels que Okta et Google, qui prennent en charge OpenID Connect.

Vous pouvez configurer la page de connexion ArcGIS Online pour qu'elle affiche uniquement l’identifiant de connexion OpenID Connect ou l'identifiant de connexion OpenID Connect et les options suivantes : identifiant de connexion ArcGIS, SAML (s'il est configuré) et aux réseaux sociaux (s'il est configuré). 

Configurer les identifiants de connexion OpenID Connect

La procédure de configuration du fournisseur d"identités OpenID Connect avec ArcGIS Online est décrite ci-dessous. Avant de continuer, il est conseillé de contacter l’administrateur du fournisseur d’identités pour obtenir les paramètres nécessaires à la configuration.

Remarque :

Actuellement, vous ne pouvez configurer qu'un seul fournisseur d’identités OpenID Connect pour votre organisation ArcGIS Online. Il sera possible de configurer des fournisseurs d'identités supplémentaires ultérieurement.

  1. Vérifiez que vous êtes connecté en tant qu'administrateur de votre organisation ArcGIS Online.
  2. En haut du site, cliquez sur Organization (Organisation), puis sur l’onglet Settings (Paramètres).
  3. Si vous envisagez d’autoriser les membres à se joindre automatiquement à l’organisation, configurez les paramètres par défaut des nouveaux membres d’abord. S’il y a lieu, vous pouvez modifier ces paramètres pour des membres spécifiques après qu’ils ont rejoint l’organisation.
    1. Cliquez sur New member defaults (Paramètres par défaut des nouveaux membres) dans la partie gauche de la page.
    2. Sélectionnez le type d’utilisateur et le rôle par défaut des nouveaux membres.
    3. Sélectionnez les licences additionnelles à attribuer automatiquement aux membres qui rejoignent l’organisation.
    4. Sélectionnez les groupes auxquels les membres sont ajoutés lorsqu’ils rejoignent l’organisation.
    5. Si la budgétisation des crédits est activée pour l’organisation, attribuez à chaque nouveau membre un nombre de crédits spécifié ou ne définissez aucune limite.
    6. Indiquez si vous souhaitez activer l’accès à Esri pour les nouveaux membres.

      Un membre dont le compte a un accès Esri activé peut utiliser Mon Esri, suivre des cours de formation, participer à Communauté et forums (GeoNet), ajouter des commentaires au Blog ArcGIS et gérer les communications par e-mail depuis Esri. Le membre ne peut pas activer ou désactiver son propre accès à ces ressources Esri.

  4. Cliquez sur Sécurité dans la partie gauche de la page.
  5. Dans la section Logins (Identifiants de connexion), sous OpenID Connect login (Connexion OpenID Connect) , cliquez sur Set up OpenID Connect login (Configurer la connexion OpenID Connect).
  6. Dans le champ Login button label (Étiquette du bouton de connexion ), saisissez le texte que les membres verront apparaître sur le bouton qui leur permettra de se connecter avec leurs identifiants OpenID Connect.
  7. Choisissez la façon dont les membres avec des identifiants de connexion OpenID Connect rejoindront votre organisation ArcGIS Online : automatiquement ou en réponse à une invitation. L'option automatique permet aux membres de rejoindre l'organisation en se connectant avec leurs identifiants de connexion OpenID Connect. Avec l’option invitation, vous générez des invitations électroniques via ArcGIS Online qui contiennent les instructions sur la procédure à suivre pour rejoindre l’organisation. L’option automatique vous permet tout de même d’inviter des membres à rejoindre l’organisation ou de les ajouter directement à l’aide de leur identifiant OpenID Connect.
  8. Dans le champ Registered client ID (ID client enregistré), saisissez l'ID client du fournisseur d'identités.
  9. Dans le champ Registered client secret (Clé secrète client enregistrée), saisissez la clé secrète client du fournisseur d'identités.
  10. Dans le champ Provider scopes/permissions (Portées/autorisations du fournisseur), saisissez les portées à envoyer avec la requête de point de terminaison de l’autorisation. Sinon, ce sont les portées de profil de courrier électronique qui sont envoyées par défaut.
  11. Dans le champ Provider issuer ID (ID d’émetteur du fournisseur), saisissez l'identifiant du fournisseur OpenID Connect.
  12. Renseignez les URL du fournisseur d'identités OpenID Connect comme suit :
    Astuce :

    Pour plus d'informations sur la façon de renseigner les informations ci-dessous, reportez-vous au document de configuration officiel du fournisseur d'identités, https:/[IdPdomain]/.well-known/openid-configuration par exemple.

    1. Pour OAuth 2.0 authorization endpoint URL (URL du point de terminaison de l’autorisation OAuth 2.0), saisissez l'URL du point de terminaison de l'autorisation OAuth 2.0 du fournisseur d'identités.
    2. Pour Token endpoint URL (URL du point de terminaison du jeton), saisissez l'URL du point de terminaison du jeton du fournisseur d'identités pour obtenir les jetons d'identifiant et d'accès.
    3. Pour JSON web key set (JWKS) URL (URL du jeu de clés Web JSON (JWKS)), saisissez, si vous le souhaitez, l'URL du document de jeu de clés Web JSON du fournisseur d'identités. Ce document contient les clés de signature utilisées pour valider les signatures du fournisseur. Cette URL n'est utilisée que si l'option User profile endpoint URL (recommended) (URL du point de terminaison du profil utilisateur (recommandée)) n'est pas configurée.
    4. Pour User profile endpoint URL (recommended) (URL du point de terminaison du profil utilisateur (recommandée)), saisissez le point de terminaison pour obtenir les informations sur l'identité de l'utilisateur. Si vous n'indiquez pas cette URL, c'est l'URL indiquée dans le champ JSON web key set (JWKS) URL (URL du jeu de clés Web JSON (JWKS) qui est utilisée à la place.
    5. Pour Logout endpoint URL (optional) (URL du point de terminaison de déconnexion (facultative), saisissez, si vous le souhaitez, l'URL du point de terminaison de déconnexion sur serveur d'autorisations. Lorsque le membre se déconnecte d'ArcGIS, cette URL sert à le déconnecter aussi du fournisseur d'identités.
  13. Activez le bouton bascule Send access token in header (Envoyer le jeton d'accès dans l'en-tête) si vous voulez que le jetons oit envoyé dans un en-tête plutôt que dans une chaîne de requête.
  14. Lorsque vous avez terminé, cliquez sur Enregistrer.
  15. Pour terminer le processus de configuration, copiez les URI de redirection de connexion et URI de redirection de déconnexion (le cas échéant) générés dans la section Logins (Connexions) et ajoutez-les à la liste des URL de rappel autorisées pour le fournisseur d'identités OpenID Connect.

Modifier ou supprimer le fournisseur d'identités OpenID Connect

Une fois que vous avez configuré un fournisseur d’identités OpenID Connect, vous pouvez mettre à jour les paramètres qui le concernent en cliquant sur le bouton Edit (Mettre à jour) Mettre à jour en regard du fournisseur d’identités actuellement inscrit. Mettez à jour les paramètres dans la fenêtre Edit OpenID Connect login (Modifier la connexion OpenID Connect).

Pour supprimer le fournisseur d’identités actuellement inscrit, cliquez sur le bouton Edit (Mettre à jour) Mettre à jour en regard du fournisseur d’identités, puis cliquez sur Delete login (Supprimer un identifiant de connexion) dans la fenêtre Edit OpenID Connect login (Modifier la connexion OpenID Connect).