Einrichten von OpenID Connect-Anmeldungen

Durch die Konfiguration von organisationsspezifischen Anmeldenamen wie OpenID Connect-Anmeldungen können die Mitglieder Ihrer Organisation für die Anmeldung bei ArcGIS Online dieselben Anmeldeinformationen wie für den Zugriff auf die internen Systeme Ihrer Organisation verwenden. Der Vorteil der Einrichtung von organisationsspezifischen Anmeldenamen mit dieser Methode besteht darin, dass Mitglieder innerhalb des ArcGIS Online-Systems keine zusätzlichen Anmeldenamen erstellen müssen, sondern stattdessen den Anmeldenamen verwenden können, der bereits für die Organisation eingerichtet wurde. Während der Anmeldung bei ArcGIS Online geben Mitglieder den organisationsspezifischen Benutzernamen und das entsprechende Kennwort in den Anmelde-Manager der Organisation ein, der auch als der Identity-Provider (IdP) der Organisation bezeichnet wird. Nachdem die Anmeldeinformationen des Mitglieds bestätigt wurden, informiert der IdP ArcGIS Online darüber, dass die Identität des Mitglieds, das sich anmeldet, überprüft wurde.

ArcGIS Online unterstützt das OpenID Connect-Authentifizierungsprotokoll und kann in IdPs mit Unterstützung von Okta, wie z. B. Google und OpenID Connect, integriert werden.

Sie können die ArcGIS Online--Anmeldeseite entweder so konfigurieren, dass nur die OpenID Connect-Anmeldung angezeigt wird oder so, dass die OpenID Connect-Anmeldung zusammen mit einer oder mehreren der folgenden Optionen angezeigt wird: ArcGIS-Anmeldung, SAML-Anmeldung (falls konfiguriert) und die Anmeldung über soziale Netzwerke (falls konfiguriert).

Konfigurieren von OpenID Connect-Anmeldungen

Nachfolgend wird das Vorgehen bei der Konfiguration eines OpenID Connect-IdP für ArcGIS Online beschrieben. Wenden Sie sich an den Administrator des IdP, um die für die Konfiguration erforderlichen Parameter zu erhalten, bevor Sie den Vorgang fortsetzen. Zugriff auf detaillierte Drittanbieterdokumentation für die IdP-Konfiguration haben Sie über das ArcGIS/idp-Repository auf GitHub, wo Sie ebenfalls eigene Beiträge zur Dokumentation leisten können.

Hinweis:

Derzeit können Sie nur einen OpenID Connect-IdP für Ihre ArcGIS Online-Organisation konfigurieren. Die Funktion zur Konfiguration von mehr als einem IdP wird in einer künftigen Version unterstützt.

  1. Überprüfen Sie, ob Sie als Administrator Ihrer Organisation angemeldet sind.
  2. Klicken Sie im oberen Bereich der Seite auf Organisation und dann auf die Registerkarte Einstellungen.
  3. Wenn Sie zulassen möchten, dass Mitglieder automatisch beitreten, ohne dass Einladungen gesendet werden, konfigurieren Sie zunächst die Standardeinstellungen für neue Mitglieder. Andernfalls überspringen Sie diesen Schritt.

    Bei Bedarf können Sie diese Einstellungen für bestimmte Mitglieder ändern, nachdem sie der Organisation beigetreten sind.

    1. Klicken Sie am Rand der Seite auf Standardeinstellungen für neue Mitglieder.
    2. Wählen Sie den Standardbenutzertyp und die Standardrolle für neue Mitglieder aus.
    3. Wählen Sie die Add-on-Lizenzen aus, die Mitgliedern automatisch zugewiesen werden sollen, wenn sie der Organisation beitreten.
    4. Wählen Sie die Gruppen aus, zu denen Mitglieder hinzugefügt werden sollen, wenn sie der Organisation beitreten.
    5. Wenn die Credit-Budgetierung für Ihre Organisation aktiviert ist, legen Sie als Credit-Zuweisung für jedes neue Mitglied eine bestimmte Zahl von Credits oder aber kein Limit fest.
    6. Legen Sie fest, ob Sie Esri Access für neue Mitglieder aktivieren möchten.

      Ein Mitglied, in dessen Konto Esri Access aktiviert wurde, kann My Esri verwenden, an Schulungen teilnehmen, Beiträge und Kommentare in der Esri Community und im ArcGIS Blog verfassen sowie die E-Mail-Kommunikation von Esri verwalten. Das Mitglied kann den Zugriff auf diese Esri Ressourcen nicht selbst aktivieren oder deaktivieren.

  4. Klicken Sie am Rand der Seite auf Sicherheit.
  5. Klicken Sie im Bereich Anmeldungen auf Neue OpenID Connect-Anmeldung.
  6. Geben Sie im Feld Beschriftung für Anmeldeschaltfläche den Text ein, der auf der Schaltfläche angezeigt werden soll, über die sich die Mitglieder mit ihrer OpenID Connect-Anmeldung anmelden.
  7. Legen Sie fest, wie Mitglieder mit OpenID Connect-Anmeldungen der Organisation beitreten sollen: automatisch oder durch eine Einladung.

    Die Option Automatisch ermöglicht Mitgliedern den Beitritt zur Organisation durch die Anmeldung mit ihrem OpenID Connect-Anmeldenamen. Bei der Option Auf Einladung eines Administrators generieren Sie E-Mail-Einladungen mit Anweisungen zum Beitritt zu der Organisation durch ArcGIS Online. Wenn Sie die Option Automatisch auswählen, können Sie trotzdem Mitglieder einladen, der Organisation beizutreten, oder sie direkt hinzufügen, indem Sie deren OpenID Connect-ID verwenden. Weitere Informationen finden Sie unter Einladen und Hinzufügen von Mitgliedern.

  8. Geben Sie im Feld ID des registrierten Clients die Client-ID des IdP ein.
  9. Geben Sie eine der folgenden Authentifizierungsmethoden an:
    • Geheimer Clientschlüssel: Geben Sie den registrierten geheimen Clientschlüssel des IDP ein.
    • Öffentlicher Schlüssel/Privater Schlüssel: Aktivieren Sie diese Option, wenn Sie zur Authentifizierung die URL eines öffentlichen oder privaten Schlüssels generieren möchten.
      Hinweis:

      Durch Generieren eines neuen öffentlichen/privaten Schlüsselpaares werden die vorhandenen öffentlichen/privaten Schlüssel ungültig. Wenn Ihre IdP-Konfiguration anstelle der URL des öffentlichen Schlüssels einen gespeicherten öffentlichen Schlüssel verwendet, müssen Sie beim Generieren eines neuen Schlüsselpaares den öffentlichen Schlüssel in Ihrer IdP-Konfiguration aktualisieren, um Anmeldeunterbrechungen zu verhindern.

  10. Geben Sie in das Feld Berechtigungsbereiche/Berechtigungen des Providers die Berechtigungsbereiche ein, die zusammen mit der Anforderung an den Autorisierungsendpunkt gesendet werden.
    Hinweis:

    ArcGIS Online unterstützt Bereiche, die den OpenID Connect-Attributen für Kennung, E-Mail und Benutzerprofil entsprechen. Sie können den Standardwert openid profile email für Bereiche verwenden, wenn er von Ihrem OpenID Connect-Provider unterstützt wird. Die unterstützten Bereiche finden Sie in der Dokumentation Ihres OpenID Connect-Providers.

  11. Geben Sie in das Feld Aussteller-ID des Providers die Kennung des OpenID Connect-Providers ein.
  12. Füllen Sie die URLs des OpenID Connect-IdP wie folgt aus:
    Tipp:

    Informationen zu den nachfolgenden Angaben finden Sie im Konfigurationsdokument für den IdP, beispielsweise unter https:/[IdPdomain]/.well-known/openid-configuration.

    1. Geben Sie für URL des OAuth-2.0-Autorisierungsendpunktes die URL für den OAuth-2.0-Autorisierungsendpunkt des IdP an.
    2. Geben Sie für URL des Tokenendpunktes die URL für den Tokenendpunkt des IdP an, um Zugriffs- und ID-Token abzurufen.
    3. Geben Sie optional für URL des JSON Web Key Set (JWKS) die URL für das JSON-Web-Key-Set-Dokument des IdP an.

      Das Dokument enthält Signaturschlüssel, die für die Überprüfung der Signaturen des Providers verwendet werden. Diese URL wird nur verwendet, wenn Endpunkt-URL für Benutzerprofil (empfohlen) nicht konfiguriert wurde.

    4. Geben Sie für Endpunkt-URL für Benutzerprofil (empfohlen) den Endpunkt für den Abruf von Identitätsinformationen zum Benutzer an.

      Wenn Sie diese URL nicht angegeben, wird stattdessen die Option URL des JSON Web Key Set (JWKS) verwendet.

    5. Geben Sie ggf. für Endpunkt-URL für Abmeldung (optional) die URL für den Abmeldeendpunkt des Autorisierungsservers an.

      Dies dient der Abmeldung eines Mitglieds vom IdP, wenn sich das Mitglied von ArcGIS abmeldet.

  13. Aktivieren Sie die Umschaltfläche Zugriffstoken in Header senden, wenn das Token im Header statt in einer Abfragezeichenfolge gesendet werden soll.
  14. Aktivieren Sie optional die Umschaltfläche Erweiterten PKCE-Autorisierungscodefluss verwenden.

    Wenn diese Option aktiviert ist, wird das PKCE-Protokoll (Proof Key for Code Exchange) verwendet, um den OpenID Connect-Autorisierungscodefluss sicherer zu machen. Bei jeder Autorisierungsanforderung wird eine eindeutige Codeüberprüfung erstellt, deren transformierter Wert, die Codeabfrage, an den Autorisierungsserver gesendet wird, um den Autorisierungscode zu erhalten. Die für diese Transformation verwendete Codeabfragemethode ist S256, was bedeutet, dass die Codeabfrage ein Base64-URL-codierter SHA-256-Hash der Codeüberprüfung ist.

  15. Aktivieren Sie optional die Schaltfläche Auf OpenID Connect-Anmeldung basierende Gruppenmitgliedschaft aktivieren, damit Mitglieder beim Erstellen der Gruppe bestimmte OpenID Connect-basierte Gruppen mit ArcGIS Online-Gruppen verknüpfen können.

    Wenn Sie diese Option aktivieren, können Mitglieder der Organisation mit der Berechtigung zum Verknüpfen mit OpenID Connect-Gruppen eine ArcGIS Online-Gruppe erstellen, deren Mitgliedschaft von einem extern verwalteten OpenID Connect-Identity-Provider gesteuert wird. Nachdem eine Gruppe erfolgreich mit einer externen OpenID Connect-basierten Gruppe verknüpft wurde, wird die Mitgliedschaft der einzelnen Benutzer in der Gruppe anhand der Antwort auf den OpenID Connect-Gruppenanspruch ermittelt, die bei jeder Anmeldung des Benutzers vom Identity-Provider empfangen wird.

    Um sicherzustellen, dass die ArcGIS Online-Gruppe erfolgreich mit der externen OpenID Connect-Gruppe verknüpft wurde, muss der Ersteller der Gruppe den Wert der externen OpenID Connect-Gruppe genau so eingeben, wie er in dem Attributwert des OpenID Connect-Gruppenanspruchs zurückgegeben wird. Zeigen Sie die Antwort auf den Gruppenanspruch vom OpenID Connect-Identity-Provider an, um den Wert für die Referenzierung der Gruppe zu bestimmen.

    Wenn Sie die Schaltfläche Auf OpenID Connect-Anmeldung basierende Gruppenmitgliedschaft aktivieren aktivieren, müssen Sie den Bereich der Gruppen im Feld Berechtigungsbereiche/Berechtigungen des Providers hinzufügen. Die unterstützten Bereiche finden Sie in der Dokumentation Ihres OpenID Connect-Providers.

  16. Geben Sie optional für ArcGIS-Benutzernamensanspruch den Anspruchsnamen des ID-Token an, das zum Einrichten des ArcGIS-Benutzernamens verwendet wird.

    Der Wert, den Sie angeben, muss den Anforderungen für ArcGIS-Benutzernamen entsprechen. Ein ArcGIS-Benutzername muss 6 bis 128 alphanumerische Zeichen enthalten und kann die folgenden Sonderzeichen enthalten: . (Punkt), _ (Unterstrich) und @ (at-Zeichen). Andere Sonderzeichen, nicht alphanumerische Zeichen und Leerzeichen sind nicht zulässig.

    Wenn Sie einen Wert mit weniger als sechs Zeichen angeben oder wenn der Wert einem vorhanden Benutzernamen entspricht, dann werden dem Wert Ziffern hinzugefügt. Wenn Sie das Feld leer lassen, wird der Benutzername, sofern verfügbar, aus dem Präfix der E-Mail-Adresse erstellt, ansonsten wird der ID-Anspruch zum Erstellen des Benutzernamens verwendet.

  17. Wenn Sie eine OpenID Connect-Anmeldung verwenden, behalten Sie das Attribut für die Standardbetreff-ID (sub), das im ID-Token vom OpenID Connect-Anbieter gesendet wurde, als Benutzerkennung bei. Wenn Sie einen benutzerdefinierten Anspruch für die Benutzerkennung verwenden müssen, geben Sie den Anspruchsnamen aus dem ID-Token an, das zum Einrichten der Benutzerkennung verwendet wird.
    Hinweis:

    Der Benutzerkennungsanspruch sollte nur einmal während der ersten Einrichtung der OpenID Connect-Anmeldung konfiguriert werden. Wenn Sie die Benutzerkennung nach der Einrichtung der OpenID Connect-Anmeldung ändern (vom Standardwert in einen benutzerdefinierten Wert oder von einem benutzerdefinierten Wert in einen anderen), funktionieren Benutzerkonten nicht mehr, die vor der Änderung erstellt wurden.

  18. Klicken Sie abschließend auf Speichern.
  19. Klicken Sie auf den Link Anmeldung konfigurieren neben OpenID Connect-Anmeldung.
  20. Um die Konfiguration abzuschließen, müssen Sie die generierte Umleitungs-URI für Anmeldung und die Umleitungs-URI für Abmeldung (falls zutreffend) kopieren und der Liste der zulässigen Rückruf-URLs für den OpenID Connect-IdP hinzufügen. Kopieren Sie gegebenenfalls den öffentlichen Schlüssel oder die URL des öffentlichen Schlüssels für den OpenID Connect-IdP.

Ändern oder Entfernen des OpenID Connect-IdP

Wenn Sie einen OpenID Connect-IdP eingerichtet haben, können Sie dessen Einstellungen aktualisieren, indem Sie neben dem aktuell registrierten IdP auf die Schaltfläche Anmeldung konfigurieren klicken. Aktualisieren Sie die Einstellungen im Fenster OpenID Connect-Anmeldung bearbeiten.

Um den aktuell registrierten IdP zu entfernen, klicken Sie neben dem IdP auf die Schaltfläche Anmeldung konfigurieren und dann im Fenster OpenID Connect-Anmeldung bearbeiten auf Anmeldung löschen.

Hinweis:

Eine OpenID Connect-Anmeldung kann erst gelöscht werden, wenn alle Mitglieder des Providers entfernt wurden.