Configurer des identifiants de connexion SAML

La configuration d'identifiants de connexion d'organisations tels que les identifiants SAML (autrefois nommés identifiants de connexion d’entreprise) permet aux membres de votre organisation de se connecter à ArcGIS Online en utilisant les mêmes identifiants que ceux qu'ils utilisent pour accéder aux systèmes internes de votre organisation. Grâce à la configuration d'identifiants de connexion d'organisation, les membres n'ont pas besoin de créer des identifiants de connexion supplémentaires dans le système ArcGIS Online. Ils peuvent utiliser à la place l'identifiant de connexion qui est déjà configuré avec l"organisation. Lorsque des membres se connectent à ArcGIS Online, ils saisissent le nom d’utilisateur et le mot de passe d’organisation directement dans le gestionnaire d’identifiants de connexion de l'organisation, également appelé fournisseur d’identités de l'organisation. Au terme de la vérification des identifiants de connexion des membres, le fournisseur d’identités informe ArcGIS Online que l’identité du membre qui se connecte a été vérifiée.

ArcGIS Online prend en charge SAML 2.0 pour la configuration SAML des identifiants de connexion. SAML est une norme ouverte permettant d’échanger de manière sécurisée des données d’authentification et d’autorisation entre un fournisseur d’identités (votre organisation) et un fournisseur de services, ici, ArcGIS Online, qui est conforme avec le protocole SAML et s’intègre aux fournisseurs d’identités prenant en charge SAML 2.0.

Vous pouvez configurer la page de connexion ArcGIS Online pour qu'elle affiche uniquement l’identifiant de connexion SAML ou l'identifiant de connexion SAML et les options suivantes : identifiant de connexion ArcGIS, OpenID Connect (s'il est configuré) et aux réseaux sociaux (s'il est configuré). 

Pour vous assurer que les identifiants de connexion SAML de votre organisation sont configurés de manière sécurisée, examinez les meilleures pratiques de la sécurité SAML.

Le plus souvent, les organisations configurent leurs identifiants de connexion SAML à l’aide d’un seul fournisseur d’identités. Ce fournisseur authentifie les utilisateurs accédant à des ressources sécurisées qui sont hébergées à travers plusieurs fournisseurs de services. Le fournisseur d’identités et tous les fournisseurs de services sont gérés par la même organisation.

Remarque :

Lorsqu’une nouvelle version du certificat de signature et de chiffrement SAML de ArcGIS Online est disponible, les administrateurs doivent mettre à jour le nouveau certificat.

Une autre manière d’authentifier les utilisateurs avec des identifiants SAML consiste à configurer votre organisation pour utiliser une fédération SAML de fournisseurs d’identités. Dans une fédération SAML entre plusieurs organisations, chaque organisation membre continue à utiliser sont propre fournisseur d’identités mais configure un ou plusieurs de ses fournisseurs de services de sorte qu’ils travaillent exclusivement dans la fédération. Pour accéder à une ressource sécurisée partagée dans la fédération, un utilisateurs authentifie son identité auprès du fournisseur d’identité de son organisation d’accueil. Une fois authentifiée, cette identité validée est présentée au fournisseur de services hébergeant la ressource sécurisée. Le fournisseur de services accorde alors l’accès à la ressource après avoir vérifié les privilèges d’accès de l’utilisateur.

Expérience de connexion SAML

ArcGIS Online prend en charge les identifiants de connexion SAML initiés par les fournisseurs de services et par les fournisseurs d’identités SAML. La procédure de connexion varie selon le cas.

identifiants de connexion initiés par les fournisseurs de services

Avec ce type de connexion, les membres accèdent au site Web ArcGIS Online directement. Des options leur permettent d’utiliser leur identifiant de connexion de fournisseur de services SAML ou leur identifiant de connexion ArcGIS. Si le membre sélectionne l’option du fournisseur de services, il est redirigé vers une page Web (nommée gestionnaire d’identifiants de connexion) où il est invité à saisir son nom d’utilisateur et son mot de passe SAML. Au terme de la vérification de l’identifiant de connexion du membre, le fournisseur d’identités informeArcGIS Online que l’identité du membre qui se connecte a été vérifiée et le membre est redirigé vers le site Web ArcGIS Online.

Si le membre choisit l’option ArcGIS, la page de connexion au site ArcGIS Online apparaît. Le membre peut alors saisir son nom d'utilisateur et son mot de passe ArcGIS pour accéder au site Web.

identifiants de connexion initiés par les fournisseurs d’identités

Avec ce type de connexion, les membres accèdent directement à leur gestionnaire d’identifiants de connexion et se connectent avec leur compte. Lorsque le membre envoie ses informations de compte, le fournisseur d’identités envoie la réponse SAML directement à ArcGIS Online. Le membre est alors connecté et redirigé vers le site Web ArcGIS Online, où il peut immédiatement accéder aux ressources sans avoir à se reconnecter à l'organisation.

L'option de connexion via un compte ArcGIS directement depuis le gestionnaire d'identifiants de connexion n'est pas disponible pour les identifiants de fournisseur d'identités. Pour se connecter à ArcGIS Online avec un compte ArcGIS, les membres doivent accéder directement au site Web ArcGIS Online.

Fournisseurs d’identités SAML

Les didacticiels suivants expliquent comment utiliser les fournisseurs d’identités compatibles SAML avec ArcGIS Online :

Configurer les identifiants de connexion SAML

La procédure de configuration des fournisseurs d"identités avec ArcGIS Online est décrite ci-dessous. Avant de continuer, il est conseillé de contacter l’administrateur du fournisseur d’identités ou de la fédération de fournisseurs d’identités pour obtenir les paramètres nécessaires à la configuration. Par exemple, si votre organisation utilise Microsoft Active Directory, vous devez contacter l’administrateur qui en est responsable pour configurer ou activer SAML côté fournisseur d’identités et obtenir les paramètres nécessaires à la configuration côté ArcGIS Online.

  1. Vérifiez que vous êtes connecté en tant qu'administrateur de votre organisation.
  2. En haut du site, cliquez sur Organization (Organisation), puis sur l’onglet Settings (Paramètres).
  3. Si vous envisagez d’autoriser les membres à se joindre automatiquement à l’organisation, configurez les paramètres par défaut des nouveaux membres d’abord. S’il y a lieu, vous pouvez modifier ces paramètres pour des membres spécifiques après qu’ils ont rejoint l’organisation.
    1. Cliquez sur New member defaults (Paramètres par défaut des nouveaux membres) dans la partie gauche de la page.
    2. Sélectionnez le type d’utilisateur et le rôle par défaut des nouveaux membres.
    3. Sélectionnez les licences additionnelles à attribuer automatiquement aux membres qui rejoignent l’organisation.
    4. Sélectionnez les groupes auxquels les membres sont ajoutés lorsqu’ils rejoignent l’organisation.
    5. Si la budgétisation des crédits est activée pour l’organisation, attribuez à chaque nouveau membre un nombre de crédits spécifié ou ne définissez aucune limite.
    6. Indiquez si vous souhaitez activer l’accès à Esri pour les nouveaux membres.

      Permettez aux membres dotés d’un accès à Esri d’utiliser My Esri, de suivre des formations, de participer à la communauté et aux forums (GeoNet), d’ajouter des commentaires sur le blog ArcGIS et de gérer les communications électroniques envoyées par Esri. Le membre ne peut pas activer ou désactiver son propre accès à ces ressources Esri.

  4. Cliquez sur Sécurité dans la partie gauche de la page.
  5. Dans la section Logins (Identifiants de connexion), sous SAML Login (Identifiant de connexion SAML), cliquez sur Set up SAML login (Configurer un identifiant de connexion SAML).
  6. Dans la fenêtre qui s’affiche, sélectionnez une des options suivantes :
    • One identity provider (Un fournisseur d’identités) : permet aux utilisateurs de se connecter avec leurs identifiants de connexion SAML existants gérés par votre organisation. Il s’agit de la configuration la plus courante.
    • A federation of identity providers (Une fédération de fournisseurs d’identités) : permet aux utilisateurs appartenant à une fédération interorganisationnelle, telle que la fédération SWITCHaai, de se connecter avec des identifiants de connexion pris en charge par la fédération.
  7. Cliquez sur Next (Suivant).
  8. Si vous avez sélectionné One identity provider (Un fournisseur d’identités), procédez comme suit :
    1. Saisissez le nom de votre organisation.
    2. Choisissez la façon dont les membres avec des identifiants de connexion SAML rejoindront votre organisation ArcGIS Online : automatiquement ou en réponse à une invitation. L'option automatique permet aux membres de rejoindre l'organisation en se connectant avec leurs identifiants de connexion SAML. Avec l’option invitation, vous générez des invitations électroniques via ArcGIS Online qui contiennent les instructions sur la procédure à suivre pour rejoindre l’organisation. L’option automatique vous permet tout de même d’inviter des membres à rejoindre l’organisation ou de les ajouter directement à l’aide de leur identifiant SAML.
    3. Fournissez à ArcGIS Online des informations de métadonnées concernant le fournisseur d’identités.

    Pour ce faire, spécifiez la source à laquelle ArcGIS Online accédera pour obtenir les informations de métadonnées concernant le fournisseur d’identités. Trois sources sont possibles pour ces informations :

    • A URL (URL) : entrez une URL qui renvoie des informations de métadonnées concernant le fournisseur d’identités.
    • A File (Fichier) : chargez un fichier contenant des informations de métadonnées concernant le fournisseur d’identités.
    • Parameters specified here (Paramètres spécifiés ici) : entrez directement les informations de métadonnées concernant le fournisseur d’identités en fournissant les paramètres suivants :
      • Login URL (Redirect) (URL de connexion (Redirection)) : entrez l’URL du fournisseur d’identités (qui prend en charge la liaison de redirection HTTP) que ArcGIS Online doit utiliser pour autoriser un membre à se connecter.
      • Login URL (POST) (URL de connexion (POST)) : entrez l’URL du fournisseur d’identités (qui prend en charge la liaison HTTP POST) que ArcGIS Online doit utiliser pour autoriser un membre à se connecter.
      • Certificate (Certificat) : indiquez le certificat du fournisseur d’identités, encodé en base 64. Il s’agit du certificat qui permet à ArcGIS Online de vérifier la signature numérique dans les réponses SAML qui lui sont envoyées par le fournisseur d’identités.
    Remarque :

    Contactez l’administrateur du fournisseur d’identités pour obtenir de l’aide sur l’identification de la source des informations de métadonnées que vous devez communiquer.

  9. Si vous avez sélectionné A federation of identity providers (Une fédération de fournisseurs d’identités), effectuez l’une des tâches suivantes :
    1. Saisissez le nom de votre fédération.
    2. Choisissez la façon dont les membres avec des identifiants de connexion SAML rejoindront votre organisation ArcGIS Online : automatiquement ou en réponse à une invitation. L'option automatique permet aux membres de rejoindre l'organisation en se connectant avec leurs identifiants de connexion SAML. Avec l’option invitation, vous générez des invitations électroniques via ArcGIS Online qui contiennent les instructions sur la procédure à suivre pour rejoindre l’organisation. L’option automatique vous permet tout de même d’inviter des membres à rejoindre l’organisation ou de les ajouter directement à l’aide de leur identifiant SAML.
    3. Entrez l’URL vers le service de découverte de fournisseur d’identités centralisé hébergé par la fédération (par exemple, https://wayf.samplefederation.com/WAYF).
    4. Entrez l’URL vers les métadonnées de la fédération, qui sont une agrégation des métadonnées de tous les fournisseurs d’identités et fournisseurs de services participant à la fédération.
    5. Copiez et collez le certificat, codé au format Base64, qui permet à l’organisation de vérifier la validité des métadonnées de fédération.
  10. Cliquez sur Show advanced settings (Afficher les paramètres avancés) pour configurer les paramètres avancés suivants selon les besoins :
    • Encrypt Assertion (Chiffrer l’assertion) : activez cette option pour indiquer au fournisseur d’identités SAML que ArcGIS Online prend en charge les réponses d’assertion SAML chiffrées. Lorsque cette option est activée, le fournisseur d’identités chiffre la section d’assertion des réponses SAML. Tout le trafic SAML en direction et en provenance de ArcGIS Online est déjà chiffré à l’aide du protocole HTTPS, mais cette option ajoute une couche de chiffrement.
    • Enable Signed Request (Activer la demande signée) : activez cette option pour que ArcGIS Online signe la demande d’authentification SAMLenvoyée au fournisseur d'identités. La signature de la demande de connexion initiale envoyée par ArcGIS Online autorise le fournisseur d’identités à vérifier que toutes les demandes de connexion proviennent d’un fournisseur de services approuvé.
    • Propagate logout to Identity Provider (Propager la déconnexion au fournisseur d’identités) : activez cette option pour que ArcGIS Online utilise une URL de déconnexion pour déconnecter l’utilisateur du fournisseur d’identités. Indiquez l'URL à utiliser dans le paramètre URL de déconnexion. Si le fournisseur d’identités exige que l’URL de déconnexion soit signée, il convient d’activer également l’option Enable signed request (Activer la demande signée). Lorsque cette option n’est pas disponible, cliquer sur Sign Out (Se déconnecter) dans ArcGIS Online déconnecte l’utilisateur de ArcGIS Online mais pas du fournisseur d’identités. Si le cache du navigateur Web de l’utilisateur n’est pas vidé, une tentative visant à se reconnecter immédiatement à ArcGIS Online en utilisant l’option de connexion SAML entraînera une connexion immédiate sans qu’il soit nécessaire de fournir les informations d’identification de l’utilisateur au fournisseur d’identités SAML. Ceci est une faille de sécurité susceptible d'être exploitée lors de l'utilisation d'un ordinateur facilement accessible à des utilisateurs non autorisés ou au grand public.
    • Update profiles on sign in (Mettre à jour les profils lors de la connexion) : sélectionnez cette option pour synchroniser automatiquement les informations de compte (nom complet et adresse électronique) stockées dans les profils d’utilisateur ArcGIS Online avec les dernières informations reçues de la part du fournisseur d’identités. L’activation de cette option permet à votre organisation de vérifier, lorsqu’un utilisateur se connecte avec un identifiant SAML, si les informations relatives au fournisseur d’identités ont changé depuis la création du compte et, si tel est le cas, de mettre à jour le profil du compte ArcGIS Online de l’utilisateur en conséquence.
    • Enable SAML based group membership (Activer l’adhésion au groupe SAML) : activez cette option pour autoriser les membres de l’organisation à relier des groupes SAML spécifiés à des groupes ArcGIS Online pendant le processus de création de groupe. Si vous activez cette option, les membres de l’organisation dotés du privilège de liaison à des groupes SAML pourront créer un groupe ArcGIS Online dont l’appartenance est contrôlée par un groupe SAML géré par un fournisseur d’identités SAML externe. Une fois qu’un groupe est lié à un groupe SAML externe, l’appartenance de chaque utilisateur du groupe est définie dans la réponse d’assertion SAMLreçue par le fournisseur d’identités chaque fois que l’utilisateur se connecte.

      Pour garantir que le groupe ArcGIS Online est lié au groupe SAML externe, le créateur du groupe doit entrer le nom exact du groupe SAML externe renvoyé en tant que valeur attributaire dans l’assertion SAML. Les noms (non sensibles à la casse) pris en charge pour l’attribut définissant l’appartenance d’un utilisateur à un groupe sont les suivants :

      • Groupe
      • Groupes
      • Rôles
      • MemberOf
      • member-of
      • http://schemas.xmlsoap.org/claims/Group
      • http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
      • urn:oid:1.3.6.1.4.1.5923.1.5.1.1
      • urn:oid:2.16.840.1.113719.1.1.4.1.25

      Supposons par exemple qu’un utilisateur qui se connecte fasse partie des groupes SAML FullTimeEmployees et GIS Faculty. Dans l’assertion SAML reçue par le fournisseur d’identités, comme illustré ci-dessous, le nom de l’attribut qui contient les informations de groupe est MemberOf. Dans cet exemple, pour créer un groupe lié au groupe SAML GIS Faculty, le créateur du groupe doit entrer GIS Faculty comme nom de groupe.

      <saml2p:Response>
        ...
        ...
        <saml2:Assertion>
            ...
            ...	  
            <saml2:AttributeStatement>
              ...
              ...	  
              <saml2:Attribute Name="MemberOf">
        	      <saml2:AttributeValue>FullTimeEmployees</saml2:AttributeValue>
      	      <saml2:AttributeValue>GIS Faculty</saml2:AttributeValue>
              </saml2:Attribute>	  
          </saml2:AttributeStatement>
        </saml2:Assertion>
      </saml2p:Response>

    • Logout URL (URL de déconnexion) : si vous avez choisi One identity provider (Un fournisseur d’identités) à une étape précédente, entrez l’URL de fournisseur d’identités à utiliser pour déconnecter l’utilisateur actuellement connecté. Si cette propriété est spécifiée dans le fichier de métadonnées du fournisseur d’identités, elle est définie automatiquement.
    • Entity ID (ID d’entité) : mettez à jour cette valeur pour utiliser un nouvel ID d’entité qui identifie de manière unique l’organisation ArcGIS Online auprès du fournisseur d'identités SAMLou de la fédération SAML.
  11. Lorsque vous avez terminé, cliquez sur Enregistrer.
  12. Pour terminer le processus de configuration, établissez une relation approuvée avec le service de découverte de la fédération (le cas échéant) et votre fournisseur d’identités en enregistrant auprès d'eux les métadonnées du fournisseur de services ArcGIS Online. Vous pouvez obtenir ces métadonnées de deux manières :
    • Cliquez sur Download service provider metadata (Télécharger les métadonnées du fournisseur de services) pour télécharger le fichier de métadonnées de votre organisation.
    • Ouvrez l’URL du fichier de métadonnées et enregistrez-le en tant que fichier XML sur votre ordinateur. Vous pouvez afficher et copier l’URL dans la fenêtre Edit SAML login (Modifier un identifiant de connexion SAML) sous Link to download the service provider metadata (Lien permettant de télécharger les métadonnées du fournisseur de services).

    Des liens vers les instructions d’inscription des métadonnées du fournisseur de services auprès des fournisseurs certifiés sont disponibles plus haut, dans la section Fournisseurs d’identités SAML. Si vous avez sélectionné A federation of identity providers (Une fédération de fournisseurs d’identités), une fois les métadonnées du fournisseur de services téléchargées, contactez les administrateurs de la fédération SAML pour savoir comment intégrer les métadonnées de votre fournisseur de services dans le fichier de métadonnées agrégé de la fédération. Vous aurez également besoin d’instructions concernant l’inscription de votre IDP auprès de la fédération.

Modifier ou supprimer le fournisseur d'identités SAML

Une fois que vous avez configuré un fournisseur d’identités SAML, vous pouvez mettre à jour les paramètres qui le concernent en cliquant sur le bouton Edit (Mettre à jour) Mettre à jour en regard du fournisseur d’identités SAML actuellement inscrit. Mettez à jour les paramètres dans la fenêtre Edit SAML login (Modifier un identifiant de connexion SAML).

Pour supprimer le fournisseur d’identités actuellement inscrit, cliquez sur le bouton Edit (Mettre à jour) Mettre à jour en regard du fournisseur d’identités, puis cliquez sur Delete login (Supprimer un identifiant de connexion) dans la fenêtre Edit SAML login (Modifier un identifiant de connexion SAML). Une fois que vous avez supprimé un fournisseur d’identités, vous pouvez en configurer un nouveau ou une nouvelle fédération de fournisseurs d’identités.

Pratiques conseillées en matière de sécurité SAML

Pour activer les identifiants de connexion SAML, vous pouvez configurer ArcGIS Online comme fournisseur de services pour votre fournisseur d’identités SAML. Pour une sécurité fiable, étudiez les meilleures pratiques ci-après.

Signer numériquement les demandes de connexion et de déconnexion SAML et signer la réponse d’assertion SAML

Les signatures servent à garantir l’intégrité des messages SAML et agissent donc comme une mesure de protection contre les attaques d’intercepteur. La signature numérique de la demande SAML garantit également que la demande est envoyée par un fournisseur de services approuvé, ce qui permet au fournisseur d’identités de mieux faire face aux attaques de déni de service. Activez l’option Enable signed request (Activer la demande signée) dans les paramètres avancés lors de la configuration des identifiants de connexion SAML.

Remarque :

L’activation des demandes signées nécessite la mise à jour du fournisseur d’identités chaque fois que le certificat de signature utilisé par le fournisseur de services est renouvelé ou remplacé.

Configurez le fournisseur d’identités SAML pour qu’il signe la réponse SAML afin d’empêcher la modification en transit de la réponse d’assertion SAML.

Remarque :

L’activation des demandes signées nécessite la mise à jour du fournisseur de services (ArcGIS Online) chaque fois que le certificat de signature utilisé par le fournisseur d'identités est renouvelé ou remplacé.

Utiliser l’extrémité HTTPS du fournisseur d’identités d’entreprise

Toute communication entre le fournisseur de services, le fournisseur d’identités d’entreprise et le navigateur de l’utilisateur envoyée via un réseau interne ou Internet dans un format non chiffré peut être interceptée par un tiers malveillant. Si votre fournisseur d’identités SAML prend en charge le protocole HTTPS, il est recommandé d’utiliser l’extrémité HTTPS pour garantir la confidentialité des données transmises lors des connexions SAML.

Chiffrer la réponse d’assertion SAML

L’utilisation du protocole HTTPS pour les communications SAML sécurise les messages SAML envoyés entre le fournisseur d’identités et le fournisseur de services. Toutefois, les utilisateurs connectés peuvent tout de même décoder et afficher les messages SAML par l’intermédiaire du navigateur Web. L’activation du chiffrement de la réponse d’assertion empêche les utilisateurs d’afficher les informations confidentielles ou sensibles communiquées entre le fournisseur d’identités d’entreprise et le fournisseur de services.

Remarque :

L’activation des assertions chiffrées nécessite la mise à jour du fournisseur d’identités chaque fois que le certificat de chiffrement utilisé par le fournisseur de services (ArcGIS Online est renouvelé ou remplacé.

Gérer de manière sécurisée les certificats de signature et de chiffrement

Il est recommandé d’utiliser des certificats possédant des clés cryptographiques fortes pour signer ou chiffrer numériquement les messages SAML et de renouveler ou remplacer les certificats tous les trois à cinq ans.