Einrichten von OpenID Connect-Anmeldungen

Durch die Konfiguration von organisationsspezifischen Anmeldenamen wie OpenID Connect-Anmeldungen können die Mitglieder Ihrer Organisation für die Anmeldung bei ArcGIS Online dieselben Anmeldeinformationen wie für den Zugriff auf die internen Systeme Ihrer Organisation verwenden. Der Vorteil der Einrichtung von organisationsspezifischen Anmeldenamen mit dieser Methode besteht darin, dass Mitglieder innerhalb des ArcGIS Online-Systems keine zusätzlichen Anmeldenamen erstellen müssen, sondern stattdessen den Anmeldenamen verwenden können, der bereits für die Organisation eingerichtet wurde. Während der Anmeldung bei ArcGIS Online geben Mitglieder den organisationsspezifischen Benutzernamen und das entsprechende Kennwort direkt in den Anmelde-Manager der Organisation ein, der auch als der Identity-Provider (IDP) der Organisation bezeichnet wird. Nachdem der Anmeldeinformationen des Mitglieds bestätigt wurden, informiert der IDP ArcGIS Online darüber, dass die Identität des Mitglieds, das sich anmeldet, überprüft wurde.

ArcGIS Online unterstützt das OpenID Connect-Authentifizierungsprotokoll und kann in IDPs mit Unterstützung von OpenID Connect, wie z. B. Okta und Google, integriert werden.

Sie können die ArcGIS Online-Anmeldeseite entweder so konfigurieren, dass nur die OpenID Connect-Anmeldung angezeigt wird oder so, dass die OpenID Connect-Anmeldung zusammen mit einer oder mehreren der folgenden Optionen angezeigt wird: ArcGIS-Anmeldung, SAML-Anmeldung (falls konfiguriert) und die Anmeldung über soziale Netzwerke (falls konfiguriert).

Konfigurieren von OpenID Connect-Anmeldungen

Nachfolgend wird das Vorgehen bei der Konfiguration eines OpenID Connect-IDP für ArcGIS Online beschrieben. Wenden Sie sich an den Administrator des IDP, um die für die Konfiguration erforderlichen Parameter zu erhalten, bevor Sie den Vorgang fortsetzen.

Hinweis:

Derzeit kann nur ein OpenID Connect-IDP für Ihre ArcGIS Online-Organisation konfiguriert werden. Die Funktion zur Konfiguration von mehr als einem IDP wird künftig unterstützt.

  1. Überprüfen Sie, ob Sie als Administrator Ihrer ArcGIS Online-Organisation angemeldet sind.
  2. Klicken Sie im oberen Bereich der Seite auf Organisation und dann auf die Registerkarte Einstellungen.
  3. Wenn Sie planen, dass Mitglieder automatisch beitreten können sollen, konfigurieren Sie zunächst die Standardeinstellungen für neue Mitglieder. Bei Bedarf können Sie diese Einstellungen für bestimmte Mitglieder ändern, nachdem sie der Organisation beigetreten sind.
    1. Klicken Sie links auf der Seite auf Standardeinstellungen für neue Mitglieder.
    2. Wählen Sie den Standardbenutzertyp und die Standardrolle für neue Mitglieder aus.
    3. Wählen Sie die Add-on-Lizenzen aus, die Mitgliedern automatisch zugewiesen werden sollen, wenn sie der Organisation beitreten.
    4. Wählen Sie die Gruppen aus, zu denen Mitglieder hinzugefügt werden sollen, wenn sie der Organisation beitreten.
    5. Wenn die Credit-Budgetierung für Ihre Organisation aktiviert ist, legen Sie als Credit-Zuweisung für jedes neue Mitglied eine bestimmte Zahl von Credits oder aber kein Limit fest.
    6. Legen Sie fest, ob Sie Esri Access für neue Mitglieder aktivieren möchten.

      Ein Mitglied, in dessen Konto Esri Access aktiviert wurde, kann My Esri verwenden, an Schulungen teilnehmen, Beiträge und Kommentare in der Community, in Foren (GeoNet) und im ArcGIS Blog verfassen sowie die E-Mail-Kommunikation von Esri verwalten. Das Mitglied kann den Zugriff auf diese Esri Ressourcen nicht selbst aktivieren oder deaktivieren.

  4. Klicken Sie links auf der Seite auf Sicherheit.
  5. Klicken Sie im Abschnitt Anmeldungen unter OpenID Connect-Anmeldung auf OpenID Connect-Anmeldung einrichten.
  6. Geben Sie im Feld Beschriftung für Anmeldeschaltfläche den Text ein, der auf der Schaltfläche angezeigt werden soll, über die sich die Mitglieder mit ihrer OpenID Connect-Anmeldung anmelden.
  7. Legen Sie fest, wie Mitglieder mit OpenID Connect-Anmeldungen der ArcGIS Online-Organisation beitreten sollen: automatisch oder durch eine Einladung. Die automatische Option ermöglicht Mitgliedern den Beitritt zur Organisation durch die Anmeldung mit ihrem OpenID Connect-Anmeldenamen. Bei der Einladungsoption generieren Sie E-Mail-Einladungen mit Anweisungen zum Beitritt zu der Organisation durch ArcGIS Online. Wenn Sie die automatische Option auswählen, können Sie trotzdem Mitglieder dazu einladen, der Organisation beizutreten, oder sie direkt hinzufügen, indem Sie deren OpenID Connect-ID verwenden.
  8. Geben Sie im Feld ID des registrierten Clients die Client-ID des IDP ein.
  9. Geben Sie in das Feld Geheimer Schlüssel des registrierten Clients den geheimen Clientschlüssel des IDP ein.
  10. Geben Sie in das Feld Berechtigungsbereiche/Berechtigungen des Providers die Berechtigungsbereiche ein, die zusammen mit der Anforderung an den Autorisierungsendpunkt gesendet werden. Andernfalls werden standardmäßig die Berechtigungsbereiche des E-Mail-Profils gesendet.
  11. Geben Sie in das Feld Aussteller-ID des Providers die Kennung des OpenID Connect-Providers ein.
  12. Füllen Sie die URLs des OpenID Connect-IDP wie folgt aus:
    Tipp:

    Informationen zu den nachfolgenden Angaben finden Sie im Konfigurationsdokument für den IDP, beispielsweise unter https:/[IdPdomain]/.well-known/openid-configuration.

    1. Geben Sie für URL des OAuth-2.0-Autorisierungsendpunktes die URL für den OAuth-2.0-Autorisierungsendpunkt des IDP an.
    2. Geben Sie für URL des Tokenendpunktes die URL für den Tokenendpunkt des IDP an, um Zugriffs- und ID-Token abzurufen.
    3. Geben Sie optional für URL des JSON Web Key Set (JWKS) die URL für das JSON-Web-Key-Set-Dokument des IDP an. Das Dokument enthält Signaturschlüssel, die für die Überprüfung der Signaturen des Providers verwendet werden. Diese URL wird nur verwendet, wenn Endpunkt-URL für Benutzerprofil (empfohlen) nicht konfiguriert wurde.
    4. Geben Sie für Endpunkt-URL für Benutzerprofil (empfohlen) den Endpunkt für den Abruf von Identitätsinformationen zum Benutzer an. Wenn Sie diese URL nicht angegeben, wird stattdessen die URL des JSON Web Key Set (JWKS) verwendet.
    5. Geben Sie ggf. für Endpunkt-URL für Abmeldung (optional) die URL für den Abmeldeendpunkt des Autorisierungsservers an. Dies dient der Abmeldung eines Mitglieds vom IDP, wenn sich das Mitglied von ArcGIS abmeldet.
  13. Aktivieren Sie die Umschalttaste Zugriffstoken in Header senden, wenn das Token im Header statt in einer Abfragezeichenfolge gesendet werden soll.
  14. Klicken Sie abschließend auf Speichern.
  15. Um die Konfiguration abzuschließen, müssen Sie die generierte Umleitungs-URI für Anmeldung und die Umleitungs-URI für Abmeldung (falls zutreffend) in den Abschnitt Anmeldungen kopieren und der Liste der zulässigen Rückruf-URLs für den OpenID Connect-IDP hinzufügen.

Ändern oder Entfernen des OpenID Connect-IDP

Wenn Sie einen OpenID Connect-IDP eingerichtet haben, können Sie dessen Einstellungen aktualisieren, indem Sie neben dem aktuell registrierten IDP auf die Schaltfläche Bearbeiten Bearbeiten klicken. Aktualisieren Sie die Einstellungen im Fenster OpenID Connect-Anmeldung bearbeiten.

Um den aktuell registrierten IDP zu entfernen, klicken Sie neben dem IDP auf die Schaltfläche Bearbeiten Bearbeiten und dann im Fenster OpenID Connect-Anmeldung bearbeiten auf Anmeldung löschen.