Configurer des identifiants de connexion OpenID Connect

La configuration d’identifiants de connexion d’organisation tels que les identifiants OpenID Connect permet aux membres de votre organisation de se connecter à ArcGIS Online en utilisant les mêmes identifiants que ceux qu’ils utilisent pour accéder aux systèmes internes de votre organisation. Grâce à la configuration d'identifiants de connexion d'organisation, les membres n'ont pas besoin de créer des identifiants de connexion supplémentaires dans le système ArcGIS Online. Ils peuvent utiliser à la place l'identifiant de connexion qui est déjà configuré avec l"organisation. Lorsque des membres se connectent à ArcGIS Online, ils saisissent le nom d’utilisateur et le mot de passe d’organisation directement dans le gestionnaire d’identifiants de connexion de l'organisation, également appelé fournisseur d’identités de l'organisation. Au terme de la vérification des identifiants de connexion des membres, le fournisseur d’identités informe ArcGIS Online que l’identité du membre qui se connecte a été vérifiée.

ArcGIS Online accepte le protocole d’authentification OpenID Connect et l'intégration avec des fournisseurs d'identité tels que Okta et Google, qui prennent en charge OpenID Connect.

Vous pouvez configurer la page de connexion ArcGIS Online pour qu’elle affiche uniquement l’identifiant de connexion OpenID Connect ou l’identifiant de connexion OpenID Connect, ainsi que les options suivantes : identifiant de connexion ArcGIS, identifiant de connexion SAML (s’il est configuré) et de réseaux sociaux (s’ils sont configurés).

Configurer des identifiants de connexion OpenID Connect

La procédure de configuration du fournisseur d’identités OpenID Connect dans ArcGIS Online est décrite ci-dessous. Avant de continuer, il est conseillé de contacter l’administrateur du fournisseur d’identités pour obtenir les paramètres nécessaires à la configuration. Vous pouvez également accéder et participer à la documentation détaillée sur la configuration des fournisseurs d’identités tiers dans le référentiel GitHub ArcGIS/idp.

Remarque :

À l’heure actuelle, vous ne pouvez configurer qu’un seul fournisseur d’identités OpenID Connect pour votre organisation ArcGIS Online. Il sera possible de configurer des fournisseurs d'identités supplémentaires ultérieurement.

  1. Vérifiez que vous êtes connecté en tant qu'administrateur de votre organisation.
  2. En haut du site, cliquez sur Organization (Organisation), puis sur l’onglet Settings (Paramètres).
  3. Si vous envisagez d’autoriser les membres à se joindre automatiquement à l’organisation, configurez les paramètres par défaut des nouveaux membres d’abord.

    S’il y a lieu, vous pouvez modifier ces paramètres pour des membres spécifiques après qu’ils ont rejoint l’organisation.

    1. Cliquez sur New member defaults (Paramètres par défaut des nouveaux membres) sur le côté de la page.
    2. Sélectionnez le type d’utilisateur et le rôle par défaut des nouveaux membres.
    3. Sélectionnez les licences additionnelles à attribuer automatiquement aux membres qui rejoignent l’organisation.
    4. Sélectionnez les groupes auxquels les membres sont ajoutés lorsqu’ils rejoignent l’organisation.
    5. Si la budgétisation des crédits est activée pour l’organisation, attribuez à chaque nouveau membre un nombre de crédits spécifié ou ne définissez aucune limite.
    6. Indiquez si vous souhaitez activer l’accès à Esri pour les nouveaux membres.

      Permettez aux membres dotés d’un accès à Esri d’utiliser My Esri, de suivre des formations, de participer à Esri Community, d’ajouter des commentaires sur le Blog ArcGIS et de gérer les communications électroniques envoyées par Esri. Le membre ne peut pas activer ou désactiver son propre accès à ces ressources Esri.

  4. Cliquez sur Security (Sécurité) sur le côté de la page.
  5. Dans la section Logins (Identifiants de connexion), cliquez sur New OpenID Connect login (Nouvel identifiant de connexion OpenID Connect).
  6. Dans le champ Login button label (Étiquette du bouton de connexion), saisissez le texte que les membres verront apparaître sur le bouton qui leur permettra de se connecter avec leurs identifiants OpenID Connect.
  7. Choisissez la façon dont les membres dotés d’identifiants de connexion OpenID Connect rejoindront votre organisation  : automatiquement ou en réponse à une invitation.

    L'option automatique permet aux membres de rejoindre l'organisation en se connectant avec leurs identifiants de connexion OpenID Connect. Avec l’option invitation, vous générez des invitations électroniques via ArcGIS Online qui contiennent les instructions sur la procédure à suivre pour rejoindre l’organisation. L’option automatique vous permet tout de même d’inviter des membres à rejoindre l’organisation ou de les ajouter directement à l’aide de leur identifiant OpenID Connect.

  8. Dans le champ Registered client ID (ID client enregistré), saisissez l'ID client du fournisseur d'identités.
  9. Dans le champ Registered client secret (Clé secrète client enregistrée), saisissez la clé secrète client du fournisseur d'identités.
  10. Dans le champ Provider scopes/permissions (Portées/autorisations du fournisseur), saisissez les portées à envoyer avec la requête de point de terminaison de l’autorisation.
    Remarque :

    ArcGIS Online prend en charge les portées correspondant aux attributs de l’identifiant OpenID Connect, du courrier électronique et du profil utilisateur. Vous pouvez utiliser la valeur standard de openid profile email pour les portées si elle est prise en charge par votre fournisseur OpenID Connect. Consultez la documentation de votre fournisseur OpenID Connect pour en savoir plus sur les portées prises en charge.

  11. Dans le champ Provider issuer ID (ID d’émetteur du fournisseur), saisissez l'identifiant du fournisseur OpenID Connect.
  12. Renseignez les URL du fournisseur d'identités OpenID Connect comme suit :
    Conseil :

    Pour plus d’informations sur la façon de renseigner les informations ci-dessous, reportez-vous au document de configuration officiel du fournisseur d’identités, https:/[IdPdomain]/.well-known/openid-configuration par exemple.

    1. Pour OAuth 2.0 authorization endpoint URL (URL du point de terminaison de l’autorisation OAuth 2.0), saisissez l'URL du point de terminaison de l'autorisation OAuth 2.0 du fournisseur d'identités.
    2. Pour Token endpoint URL (URL du point de terminaison du jeton), saisissez l'URL du point de terminaison du jeton du fournisseur d'identités pour obtenir les jetons d'identifiant et d'accès.
    3. Éventuellement, pour JSON web key set (JWKS) URL (URL du jeu de clés Web JSON (JWKS)), saisissez l’URL du document de jeu de clés Web JSON du fournisseur d’identités.

      Ce document contient les clés de signature utilisées pour valider les signatures du fournisseur. Cette URL n’est utilisée que si l’option User profile endpoint URL (recommended) (URL du point de terminaison du profil utilisateur (recommandée)) n’est pas configurée.

    4. Pour User profile endpoint URL (recommended) (URL du point de terminaison du profil utilisateur (recommandée)), saisissez le point de terminaison pour obtenir les informations sur l'identité de l'utilisateur.

      Si vous n'indiquez pas cette URL, c'est l'URL indiquée dans le champ JSON web key set (JWKS) URL (URL du jeu de clés Web JSON (JWKS) qui est utilisée à la place.

    5. Éventuellement, pour Logout endpoint URL (optional) (URL du point de terminaison de déconnexion (facultative), saisissez l’URL du point de terminaison de déconnexion sur serveur d’autorisations.

      Lorsque le membre se déconnecte d'ArcGIS, cette URL sert à le déconnecter aussi du fournisseur d'identités.

  13. Activez le bouton bascule Send access token in header (Envoyer le jeton d'accès dans l'en-tête) si vous voulez que le jeton soit envoyé dans un en-tête plutôt que dans une chaîne de requête.
  14. Éventuellement, utiliser le bouton Use PKCE enhanced Authorization Code Flow (Flux de code d’autorisation amélioré PKCE)

    Si cette option est activée, le protocole Proof Key for Code Exchange (PKCE) est utilisé pour sécuriser le flux de code d’autorisation OpenID Connect. Chaque demande d’autorisation crée un vérificateur de code unique, dont la valeur transofrmée, le défi de code, est envoyé au serveur d’autorisations pour obtenir le code d’autorisation. La méthode du défi de code utilisée pour cette transformation est S256, ce qui signifie que le défi de code est une URL codée Base64, un hachage SHA-256 du vérificateur de code.

  15. Pour terminer le processus de configuration, copiez les URI de redirection de connexion (option Login Redirect URI) et URI de redirection de déconnexion (option Logout Redirect URI) (le cas échéant) et ajoutez-les à la liste des URL de rappel autorisées pour le fournisseur d’identités OpenID Connect.
  16. Lorsque vous avez terminé, cliquez sur Save (Enregistrer).

Modifier ou supprimer le fournisseur d'identités OpenID Connect

Une fois que vous avez configuré un fournisseur d’identités OpenID Connect, vous pouvez mettre à jour les paramètres qui le concernent en cliquant sur Configure login (Configurer la connexion) en regard du fournisseur d’identités actuellement inscrit. Mettez à jour les paramètres dans la fenêtre Edit OpenID Connect login (Modifier la connexion OpenID Connect).

Pour supprimer le fournisseur d’identités actuellement inscrit, cliquez sur Configure login (Configurer la connexion) en regard du fournisseur d’identités, puis cliquez sur Delete login (Supprimer un identifiant de connexion) dans la fenêtre Edit OpenID Connect login (Modifier un identifiant de connexion OpenID Connect).