تكوين تسجيلات الدخول الخاصة بالمؤسسة مثل OpenID Connect يتيح لأعضاء مؤسستك تسجيل الدخول إلى ArcGIS Online باستخدام نفس تسجيلات الدخول المُستخدَمة للوصول إلى الأنظمة الداخلية للمؤسسة. إن ميزة إعداد عمليات تسجيل الدخول إلى المؤسسة باستخدام هذا المنهج هي أن الأعضاء ليسوا بحاجة إلى إنشاء عمليات تسجيل دخول إضافية داخل نظام ArcGIS Online عوضًا عن ذلك، يمكنهم استخدام عملية تسجيل الدخول التي تم إعدادها بالفعل في المؤسسة. عند تسجيل دخول الأعضاء إلى ArcGIS Online، يُدخلون اسم المستخدم وكلمة المرور الخاصين بمؤسستهم في مدير تسجيل الدخول الخاص بمؤسستك، والمعروف أيضًا باسم موفر هوية مؤسستك (IdP). عند التحقق من بيانات اعتماد العضو، يقوم موفر الهوية بإبلاغ ArcGIS Online بهوية العضو الذي يسجل الدخول والتي تم التحقق منها.
يدعم ArcGIS Online بروتوكول مصادقة OpenID Connect ويتكامل مع موفري هوية مثل Okta وGoogle الذين يدعمان OpenID Connect.
يمكنك تكوين صفحة تسجيل الدخول إلى ArcGIS Online لتعرض فقط تسجيل الدخول إلى OpenID Connect أو تعرض تسجل الدخول إلى OpenID Connect مع أي من الخيارات التالية: تسجيل الدخول إلى ArcGIS وتسجيل الدخول إلى SAML (إذا تم تكوينه) وتسجيلات الدخول إلى مواقع التواصل الاجتماعي (إذا تم تكوينها).
تكوين عمليات تسجيل الدخول إلى OpenID Connect
فيما يلي وصف لعملية تكوين موفر هوية OpenID Connect باستخدام ArcGIS Online أدناه. قبل المتابعة، من المستحسن الاتصال بمسؤول موفر الهوية للحصول على البارامترات المطلوبة للتكوين. يمكنك أيضا الوصول إلى وثائق تكوين موفر الهوية التفصيلية لجهة خارجية والمساهمة فيها في مستودع ArcGIS/idp GitHub.
ملاحظة:
في هذا الوقت، يمكنك فقط تكوين موفر هوية OpenID Connect واحد لمؤسسة ArcGIS Online الخاصة بك. سيتم دعم إمكانية تكوين أكثر من موفر هوية واحد في المستقبل.
- تأكد من تسجيل الدخول كمسؤول في المؤسسة.
- في أعلى الموقع، انقر على المؤسسة وانقر على علامة تبويب الإعدادات .
- إذا كنت تخطط للسماح للأعضاء بالانضمام تلقائيًا دون إرسال دعوات، فقم بتكوين الإعدادات الافتراضية للأعضاء الجدد أولاً. وإلا، فتخط هذه الخطوة.
إذا لزم الأمر، يمكنك تغيير هذه الإعدادات لأعضاء محددين بعد انضمامهم إلى المؤسسة.
- انقر فوق الإعدادات الافتراضية للعضو الجديد على جانب الصفحة.
- حدد نوع المستخدم الافتراضي ودوره للأعضاء الجدد.
- حدد تراخيص الوظيفة الإضافية لتعيين الأعضاء تلقائيًا عند انضمامهم إلى المؤسسة.
- حدد المجموعات التي سيُضاف إليها الأعضاء عندما ينضمون إلى المؤسسة.
- إذا تم تمكين ميزانية الرصيد للمؤسسة، فقم بتعيين تخصيص الائتمان لكل عضو جديد على عدد محدد من الأرصدة أو بدون حد.
- اختر ما إذا كنت تريد تمكين الوصول إلى Esri للأعضاء الجدد.
يمكن للعضو الذي تم تمكين وصول Esri إلى حسابه استخدام My Esriوأخذ الدورات التدريبية والمشاركة في Esri Community وإضافة التعليقات إلى مدونة ArcGIS وإدارة اتصالات البريد الإلكتروني من Esri. لا يمكن تمكين العضو أو تعطيل الوصول الخاص بهم إلى موارد Esri الحالية.
- انقر فوق الأمان على جانب الصفحة.
- في قسم عمليات تسجيل الدخول، انقر فوق تسجيل الدخول إلى OpenID Connect الجديد.
- في مربع تسمية زر تسجيل الدخول اكتب النص الذي تريده أن يظهر على الزر الذي يستخدمه الأعضاء لتسجيل الدخول عند تسجيل دخولهم إلى OpenID Connect.
- اختر كيفية تسجل دخول الأعضاء ممن لديهم عمليات تسجيل دخول إلى OpenID Connect للانضمام إلى مؤسسة: تلقائيًا أو من خلال الدعوة.
يسمح خيار تلقائيًا للأعضاء بالانضمام إلى المؤسسة عن طريق تسجيل الدخول باستخدام تسجيل دخولهم إلى OpenID Connect. باستخدام خيار عند تلقي دعوة من مسؤول، تنشئ دعوات من خلال ArcGIS Online والذي يتضمن تعليمات عن كيفية الانضمام إلى المؤسسة. إذ اخترت الخيار تلقائيًا، فسيظل بإمكانك دعوة الأعضاء للانضمام إلى المؤسسة أو إضافتهم مباشرةً باستخدام معرّف OpenID Connect الخاص بهم. لمزيد من العلومات، راجع دعوة الأعضاء وإضافتهم.
- في مربع معرف العميل المسجل، أدخِل معرف العميل من موفر الهوية.
- بالنسبة لطريقة المصادقة، حدد واحدًا مما يلي:
- سر العميل—أدخل سر العميل المسجل من IdP.
- المفتاح العام / المفتاح الخاص—حدد هذا الخيار لإنشاء مفتاح عام أو عنوان URL للمفتاح العام للمصادقة.
ملاحظة:
إن إنشاء زوج مفاتيح عام / خاص جديد يؤدي إلى إبطال أي مفاتيح عامة / خاصة موجودة. إذا كان تكوين IdP الخاص بك تستخدم مفتاحًا عامًا محفوظًا بدلاً من عنوان URL للمفتاح العام، فإن إنشاء زوج مفاتيح جديد سيتطلب منك تحديث المفتاح العام في تكوين IdP لمنع تعطيل تسجيل الدخول.
- في مربع مجالات/أذونات الموفر أدخل النطاقات لإرسالها مع الطلب إلى نقطة نهاية التخويل.
ملاحظة:
يدعم ArcGIS Online النطاقات المتوافقة مع معرف OpenID Connect والبريد الإلكتروني وجداول بيانات ملف تعريف المستخدم. يمكنك استخدام القيمة القياسية لـ openid profile email للنطاقات إذا كانت مدعومة من قبل موفر OpenID Connect الخاص بك. راجع وثائق موفر OpenID Connect الخاص بك لمعرفة النطاقات المدعومة.
- في مربع معرف جهة إصدار الموفر أدخِل المعرف الخاص بموفر OpenID Connect.
- املأ عناوين URL لموفري هوية OpenID Connect كما يلي:
تلميح:
ارجع إلى وثيقة التكوين المعروفة لموفر الهوية، كالموجودة في https:/[IdPdomain]/.well-known/openid-configuration على سبيل المثال، للمساعدة في ملء المعلومات أدناه.
- بالنسبة إلى عنوان URL الخاص بنقطة نهاية تخويل OAuth 2.0، أدخل عنوان URL الخاصة بنقطة نهاية تخويل OAuth 2.0 لموفر الهوية.
- بالنسبة إلى عنوان URL الخاص بنقطة نهاية الرمز المميز، أدخل عنوان URL الخاص بنقطة نهاية الرمز المميز لموفر الهوية للحصول على حق الوصول والرموز المميزة للهوية.
- اختياريًا، بالنسبة إلى عنوان URL الخاص بتعيين مفتاح ويب JSON (JWKS)، أدخل عنوان URL الخاص بمستند تعيين مفتاح ويب JSON الخاص بموفر الهوية.
يحتوي هذا المستند على مفاتيح توقيع يتم استخدامها للتحقق من صحة التوقيعات من الموفر. يُستخدم عنوان URL هذا فقط إذا لم يتم تكوين عنوان URL لنقطة نهاية ملف تعريف المستخدم (موصى به).
- بالنسبة لعنوان URL الخاص بنقطة نهاية الملف التعريفي للمستخدم (موصى به)، أدخل نقطة النهاية للحصول على معلومات عن المستخدم.
إذا لم تحدد عنوان URL هذا، فسيتم استخدام خيار عنوان URL لمجموعة مفاتيح JSON (JWKS) بدلاً من ذلك.
- اختياريًا، بالنسبة لعنوان URL الخاص بنقطة نهاية تسجيل الخروج (اختياري)، أدخل عنوان URL الخاص بنقطة نهاية تسجيل الخروج الخاصة بخادم التخويل.
يُستخدم هذا لتسجيل خروج العضو من موفر الهوية عندما يقوم العضو بتسجيل الخروج من ArcGIS.
- قم بتشغيل زر تبديل إرسال رمز الوصول في رأس الصفحة إذا كنت تريد إرسال الرمز المميز في العنوان بدلاً من سلسلة استعلام.
- اختياريًا، شغل زر التبديل استخدام تدفق رمز التخويل المحسن PKCE.
عند تشغيل هذا الخيار، يُستخدم بروتوكول مفتاح الإثبات لتبادل الأكواد (PKCE) لجعل كود تخويل OpenID Connect يتدفق بصورة أكثر أمانًا. يُنشئ كل طلب تخويل مؤكد كود فريدًا، وقيمته المتحولة، تحدي الكود، تُرسل إلى خادم التخويل للحصول على كود تخويل. طريقة تحدي الكود المستخدمة لهذا التحويل هي S256، ما يعني أن تحدي الكود هو عنوان URL مشفر من النوع Base64، وتجزئة SHA-256 لمؤكد الكود.
- بشكل اختياري، يمكنك تشغيل زر تمكين عضوية المجموعة المستندة إلى تسجيل الدخول باستخدام OpenID Connect للسماح للأعضاء بربط المجموعات المستندة إلى OpenID Connect مجموعات ArcGIS Online أثناء عملية إنشاء المجموعة.
عند تمكين هذا الخيار، يكون لدى أعضاء المؤسسة الذين يتمتعون بامتياز الارتباط بمجموعات OpenID Connect خيار إنشاء مجموعة ArcGIS Online يتم التحكم في عضويتها بواسطة موفر هوية OpenID Connect مُدار خارجيًا. بمجرد ربط المجموعة بنجاح بمجموعة خارجية تستند إلى OpenID Connect، يتم تحديد عضوية كل مستخدم في المجموعة في استجابة مطالبة مجموعات OpenID Connect المستلمة من موفر الهوية في كل مرة يقوم فيها المستخدم بتسجيل الدخول.
لضمان ربط مجموعة ArcGIS Online بمجموعة OpenID Connect الخارجية بنجاح، يجب على منشئ المجموعة توفير القيمة الدقيقة لمجموعة OpenID Connect الخارجية كما يتم إرجاعها في قيمة البيانات الجدولية الخاصة بمطالبة مجموعات OpenID Connect. قم بعرض استجابة مطالبة المجموعات من موفر هوية OpenID Connect الخاص بك لتحديد القيمة المستخدمة للإشارة إلى المجموعة.
إذا قمت بتبديل زر تمكين عضوية المجموعة المستندة إلى تسجيل الدخول إلى OpenID Connect، فتأكد من إضافة نطاق المجموعات في مربع نطاقات/أذونات الموفر. راجع وثائق موفر OpenID Connect الخاص بك لمعرفة النطاقات المدعومة.
- اختياريًا، بالنسبة لمطالبة اسم مستخدم ArcGIS، أدخل اسم المطالبة من رمز المعرّف المميز الذي سيتم استخدامه لإعداد اسم مستخدم ArcGIS.
يجب أن تلتزم القيمة التي تقدمها بمتطلبات اسم مستخدم ArcGIS. يجب أن يحتوي اسم مستخدم ArcGIS على 6 إلى 128 حرفًا أبجديًا رقميًا ويمكن أن يتضمن الأحرف الخاصة التالية:. (نقطة) و_ (شرطة سفلية) و @ (علامة @). غير مسموح بالأحرف الخاصة الأخرى والأحرف غير الأبجدية والمسافات.
إذا حددت قيمة تحتوي على أقل من ستة أحرف، أو إذا كانت القيمة تتطابق مع اسم مستخدم موجود، فستتم إضافة الأرقام إلى القيمة. إذا تركت هذا الحقل فارغًا، فسيتم إنشاء اسم المستخدم من بادئة البريد الإلكتروني إن وجدت؛ خلاف ذلك، يتم استخدام مطالبة المعرف لإنشاء اسم المستخدم.
- إذا كنت تستخدم تسجيل الدخول OpenID Connect، فيجب الاحتفاظ بالبيانات الجدولية لمعرّف الموضوع الافتراضي (الفرعي) المرسلة في رمز المعرّف المميز من موفر OpenID Connect كمعرف المستخدم. إذا كنت بحاجة إلى استخدام مطالبة مخصصة لمعرّف المستخدم، فقم بتوفير اسم المطالبة من رمز المعرّف المميز الذي سيتم استخدامه لإعداد معرّف المستخدم.
ملاحظة:
يجب تكوين المطالبة بمعرّف المستخدم مرة واحدة فقط أثناء الإعداد الأولي لعملية تسجيل الدخول OpenID Connect. إذا قمت بتغيير معرّف المستخدم بعد إعداد تسجيل الدخول OpenID Connect، إما من القيمة الافتراضية إلى قيمة مخصصة أو من قيمة مخصصة إلى أخرى، فلن تعمل حسابات المستخدمين التي تم إنشاؤها قبل التغيير.
- عند الانتهاء من ذلك، انقر فوق حفظ.
- انقر فوق رابط تكوين تسجيل الدخول بجوار تسجيل الدخول إلى OpenID Connect.
- لاستكمال عملية التكوين، انسخ معرف URI لإعادة توجيه تسجيل الدخول الذي تم إنشاؤه ومعرف URI لإعادة توجيه تسجيل الخروج (إن أمكن)، وأضفهما إلى قائمة عناوين URL لرد الاتصال المسموح بها لمعرف هوية OpenID Connect. إن أمكن، انسخ المفتاح العام أو عنوان URL للمفتاح العام لموفر الهوية OpenID Connect.
تعديل أو إزالة موفر هوية OpenID Connect
عند إعدادك موفر هوية OpenID Connect، يمكنك تحديث الإعدادات الخاصة به من خلال النقر فوق تكوين تسجيل الدخول بجوار موفر الهوية المسجل حاليًا. قم بتحديث الإعدادات الخاصة بك في نافذة تحرير تسجيل الدخول إلى OpenID Connect.
لإزالة موفر الهوية المسجل حاليًا، انقر فوق تكوين تسجيل الدخول بجوار موفر الهوية وانقر فوق حذف تسجيل الدخول في نافذة تحرير تسجيل الدخول إلى OpenID Connect.
ملاحظة:
لا يمكن حذف تسجيل دخول OpenID Connect حتى تتم إزالة جميع الأعضاء من الموفر.