Intégration ArcGIS Enterprise et ACM/IDM à l'Agence nature et forêts

Geo Solutions a récemment réalisé une intégration entre ArcGIS Enterprise et ACM/IDM à l'Agence pour la Nature et les Forêts (ANB), en étroite collaboration avec Digitaal Vlaanderen et l'architecte en chef de l'ANB.Ainsi, les utilisateurs finaux de l'ANB peuvent désormais s'authentifier via Itsme® dans Portal for ArcGIS, mais aussi dans toutes les applications accessibles via Portal telles que ArcGIS Field Maps et VertiGIS Studio Web.En outre, nous avons automatisé la gestion des utilisateurs, les utilisateurs finaux se retrouvant automatiquement dans les bons groupes du portail sans aucune intervention manuelle de la part de l'équipe SIG.

Authentification et autorisation dans ArcGIS Enterprise et ArcGIS Online

De nombreuses organisations utilisent ArcGIS Enterprise ou ArcGIS Online pour leur webGIS, et un aspect important ici est l'authentification et l'autorisation :

• Authentification : la personne qui cherche à accéder au portail SIG est-elle vraiment celle qu'elle prétend être ?
• Autorisation : une fois qu'une personne a accès au portail SIG, quelles tâches peut-elle effectuer et à quelles (géo)données (services, cartes web, applications web) peut-elle avoir accès ?

L'autorisation dans ArcGIS Enterprise / ArcGIS Online est principalement contrôlée par des types d'utilisateurs nommés, des rôles et des privilèges et par le modèle de partage d'ArcGIS (= avec les utilisateurs).d'ArcGIS (= avec qui un élément du portail SIG est-il partagé, par exemple avec un groupe spécifique ou avec tous les utilisateurs nommés du portail). Pour le composant d'authentification, il existe plusieurs options à la fois dans ArcGIS Online et ArcGISEnterpise.Outre les utilisateurs intégrés (ArcGIS logins) pour lesquels l'administrateur webGIS crée un nouveau nom d'utilisateur et un mot de passe initial pour chaque utilisateur, ArcGIS Online et ArcGIS Enterprise supportent également l'authentification via SAML 2.0 ou via Open ID Connect.0 ou via Open ID Connect. Dans les deux cas, les utilisateurs sont gérés via un IdP (Identity Provider) externe. Le grand avantage est que les utilisateurs finaux peuvent se connecter avec le même nom d'utilisateur que celui qu'ils utilisent déjà pour accéder aux systèmes internes et qui est géré de manière centralisée en dehors du système ArcGIS. Il s'agit d'un login spécifique à l'organisation : il peut être utilisé à l'échelle de l'organisation pour différentes applications (pas seulement ArcGIS).Via SAML et Open ID Connect, des intégrations sont possibles entre ArcGIS et divers IdP commerciaux tels que ADFS (Active Directory Federation Services), Microsoft Entra ID (anciennement Azure AD), OKTA, Google Workspace, etc.

Une intégration entre ArcGIS Enterprise et ACM/IDM

Des intégrations avec des IdP personnalisés sont également possibles.Récemment, Geo Solutions a réalisé une intégration intelligente entre ArcGISEnterprise et le système d'authentification et d'autorisation ACM/IDM développé et géré par Digitaal Vlaanderen.

Toutes les agences gouvernementales flamandes peuvent intégrer leurs applications avec ACM/IDM après avoir suivi un processus d'intégration en étroite collaboration avec Digitaal Vlaanderen. Il s'agit d'entités du gouvernement flamand (départements et agences), d'administrations locales (provinces, villes, communes, zones de police, etc.) et d'institutions d'enseignement et de formation (écoles, universités, CLBs, etc.). Le composant ACM signifie Access Management (gestion des accès) et régule la gestion des accès à une application. L'ACM permet aux utilisateurs de s'identifier et de s'authentifier. Lors de l'intégration, il est possible de choisir parmi différents moyens d'authentification tels que Itsme®, une carte d'identité électronique + un lecteur de carte connecté, un code de sécurité par SMS, un code de sécurité par le biais d'une application mobile, etc.

Le composant IDM (Identity Management) régit la gestion des utilisateurs. L'interface web IDM permet de gérer les utilisateurs et les droits en un seul endroit et en temps réel. L'IDM permet aux administrateurs d'une organisation de gérer leurs employés et d'accorder des droits à une application au nom de leur organisation, et permet une autorisation fine via les droits et les profils des utilisateurs ("rôles"). Les utilisateurs finaux se voient attribuer des droits qui leur permettent d'accéder à une application particulière (par exemple, le droit d'utilisateur ANB Forest Forecast User) dans le cadre d'un profil particulier (par exemple, Consultant).

Pour les organisations qui peuvent l'utiliser, une intégration entre ArcGISEnterprise et ACM/IDM offre plusieurs avantages.Il y a le confort de l'authentification via une interface familière pour l'utilisateur final (dans Portal for ArcGIS, mais aussi dans toutes les applications ArcGIS ou VertiGIS auxquelles on accède via Portal). Mais il est également intéressant d'intégrer pour le SIG un IdP qui est très souvent également utilisé pour des applications non SIG (gestion uniforme de l'accès à toutes les applications).

Lier intelligemment les groupes dans Portal for ArcGIS aux groupes SAML

ACM/IDM peut être intégré via différents protocoles (SAML et Open ID Connect sont tous deux supportés). Pour l'intégration avec ArcGIS Enterprise, nous avons choisi le protocole SAML à l'ANB, en utilisant le concept d'appartenance à un groupe basé sur SAML pour lier les groupes de Portal aux "groupes" dans IDM.Nous avons défini un groupe dans l'IDM comme la combinaison d'un droit d'utilisateur particulier avec un profil spécifique. Par exemple, toute personne ayant le droit d'utilisateur ANB Forest Forecast User combiné avec le rôle Consultant appartient au groupe IDM BOSPRG_RAADPLEGER. En créant un groupe dans le Portail pour ArcGIS sur la base de la même étiquette, les utilisateurs finaux, après authentification, sont dirigés vers les groupes appropriés du Portail, partageant ainsi une version particulière d'une application web.

Une version de visualisation et une version d'édition de la même application web sont partagées avec différents groupes dans Portal for ArcGIS, chacun étant alimenté par des utilisateurs de webIDM qui ont un profil différent pour le même droit d'utilisateur. Par exemple, pour le droit d'utilisateur ANB Forest Forecast User, il existe un autre profil Submitter en plus du profil Consultant. Par conséquent, nous créons un deuxième groupe dans le portail en utilisant le tag BOSPRG_INDIENER avec lequel nous partageons une version d'édition de la même application web de prévisions forestières. Les utilisateurs finaux qui ne sont autorisés qu'à visualiser (consulter) et ceux qui sont autorisés à modifier (soumettre) passent par deux groupes distincts dans le portail. De cette manière, une autorisation fine peut également être réalisée via l'intégration ACM/IDM.

Gestion automatisée des utilisateurs

Pour minimiser l'intervention manuelle des administrateurs SIG, nous avons configuré l'authentification SAML dans ArcGIS Enterprise de manière à ce qu'un nouveau compte utilisateur nommé soit automatiquement créé sur ArcGISEnterprise pour les nouveaux utilisateurs lorsqu'ils s'authentifient pour la première fois. Ce faisant, tout le monde obtient par défaut un type d'utilisateur nommé Viewer. Pour les utilisateurs nommés qui passent à un "groupe d'édition" dans Portal, le type d'utilisateur nommé (et le rôle) passe automatiquement de " Viewer " à " Contributor " via un script utilisant ArcGIS API for Python.

En résumé, l'intégration intelligente entre ArcGIS Enterprise et ACM/IDM fonctionne comme suit :

• Pour chaque application web hébergée dans le portail, un droit d'utilisateur distinct est créé une fois par Digitaal Vlaanderen, chaque fois en définissant un ou plusieurs profils (rôles).
• Une fois le droit d'utilisateur créé, il peut être attribué aux utilisateurs finaux via l'interface webIDM. Cette opération s'effectue entièrement en dehors d'ArcGISEnterprise.
• Lorsqu'un utilisateur final s'authentifie pour la première fois sur le Portail pour ArcGIS (via Itsme® ou l'un des autres mécanismes d'authentification), un utilisateur Viewernamedest créé. Seules les personnes disposant des droits d'utilisateur corrects pour l'une des applications hébergées via le portail se voient accorder l'accès au portail pour ArcGIS (accès au portail via une liste blanche de droits spécifiques). Si un utilisateur ne dispose pas des droits d'utilisateur corrects, l'accès lui est refusé.
• Les administrateurs SIG créent un groupe Portal qu'ils relient à un groupe SAML. Ils n'ont pas besoin d'ajouter eux-mêmes des utilisateurs à chaque groupe.
• Lorsqu'un utilisateur final s'authentifie, il est automatiquement ajouté aux groupes du portail appropriés. Lorsque l'accès à des applications supplémentaires est accordé ultérieurement ou que l'accès à des applications existantes est révoqué, l'utilisateur est ajouté à d'autres groupes du portail ou retiré des groupes du portail lors de sa prochaine authentification. Les groupes du portail sont donc toujours synchronisés avec les groupes SAML dans webIDM.
• Les utilisateurs qui accèdent à un "groupe d'édition" dans Portal ont besoin d'un type d'utilisateur nommé supérieur à celui d'un simple visualiseur. Les types d'utilisateurs nommés sont automatiquement créés via l'API ArcGIS pour Python.

La méthode de travail décrite ci-dessus permet une gestion entièrement automatisée des utilisateurs et soulage l'équipe SIG dans une large mesure, ce qui lui permet de se concentrer sur ses tâches principales, à savoir la création et la maintenance de services et d'applications SIG. Le concept peut être appliqué par toutes les agences gouvernementales flamandes qui souhaitent intégrer ArcGIS Enterprise/Online avec AMC/IDM, mais dans une perspective plus large, il est également applicable à toute personne qui souhaite intégrer ArcGIS avec un IdP commercial via SAML ou Open ID Connect.

Clause de non-responsabilité : Ces articles de blog ont été initialement publiés sous les noms de Geo Solutions et Localyse. Par conséquent, il est possible que des références à Geo Solutions of Localyse apparaissent encore. Dans le cadre de notre rebranding, les deux marques seront regroupées sous le nom de GeoSquare Belgique à partir de février 2026.