Configurar inicios de sesión específicos de la organización, como inicios de sesión de OpenID Connect, permite a los miembros de su organización iniciar sesión en ArcGIS Online utilizando los mismos inicios de sesión que utilizan para acceder a los sistemas internos de su organización. La ventaja de configurar inicios de sesión específicos de la organización con esta fórmula es que los miembros no necesitan crear inicios de sesión adicionales en el sistema de ArcGIS Online, sino que pueden usar los que ya están configurados en la organización. Cuando los miembros inician sesión en ArcGIS Online, introducen su nombre de usuario y su contraseña específicos de la organización en el administrador de inicio de sesión de la organización, también conocido como proveedor de identidad (IdP) de la organización. Después de verificar las credenciales del miembro, el IDP informa a ArcGIS Online de la identidad verificada del miembro que inicia sesión.
ArcGIS Online admite el protocolo de autenticación OpenID Connect y se integra con IdP como Okta y Google que son compatibles con OpenID Connect.
Es posible configurar la página de inicio de sesión de ArcGIS Online para mostrar solo el inicio de sesión de OpenID Connect, o bien mostrar el inicio de sesión de OpenID Connect junto con cualquiera de las siguientes opciones: inicio de sesión de ArcGIS, inicio de sesión de SAML (si está configurado), e inicios de sesión sociales (si están configurados).
Configurar inicios de sesión de OpenID Connect
El proceso de configuración de un IdP de OpenID Connect con ArcGIS Online se describe a continuación. Antes de continuar, es recomendable que se ponga en contacto con el administrador del IdP para obtener los parámetros necesarios para la configuración. También puede acceder y contribuir a la documentación detallada de configuración de IdP de terceros en el repositorio de ArcGIS/idp GitHub.
Nota:
En este momento, solo puede configurar un IdP de OpenID Connect para su organización de ArcGIS Online. La capacidad de configurar más de un IdP se admitirá en una versión futura.
- Compruebe que haya iniciado sesión como administrador de su organización.
- En la parte superior del sitio, haga clic en Organización y haga clic en la pestaña Configuración.
- Si tiene previsto permitir que los miembros se unan automáticamente sin enviar invitaciones, determine una configuración predeterminada para los nuevos miembros primero. De lo contrario, omita este paso.
Si es necesario, puede cambiar esta configuración para miembros específicos después de que se unan a la organización.
- Haga clic en Opciones predeterminadas para miembros nuevos en el lado izquierdo de la página.
- Seleccione el rol y tipo de usuario predeterminados para los nuevos miembros.
- Seleccione las licencias complementarias que asignar automáticamente a los miembros cuando se unan a la organización.
- Seleccione los grupos a los que se van a agregar los miembros cuando se unan a la organización.
- Si la presupuestación de créditos está habilitada para la organización, establezca la asignación de créditos para cada miembro nuevo a un número específico de créditos o sin límite.
- Elija si habilitar el acceso a Esri para los nuevos miembros.
Un miembro cuya cuenta tenga habilitado el acceso a Esri puede usar My Esri, participar en cursos de formación, participar en Esri Community, agregar comentarios a ArcGIS Blog y administrar las comunicaciones por correo electrónico de Esri. El miembro no puede habilitar ni deshabilitar su propio acceso a estos recursos de Esri.
- Haga clic en Seguridad en el lateral de la página.
- En la sección Inicios de sesión, haga clic en Nuevo inicio de sesión de OpenID Connect.
- En el cuadro de etiqueta del botón Iniciar sesión, escriba el texto que desea que aparezca en el botón que los miembros utilizan para iniciar sesión con su inicio de sesión de OpenID Connect.
- Elija cómo se unirán los miembros con inicios de sesión de OpenID Connect a la organización: automáticamente o mediante invitación.
La opción Automáticamente permite a los miembros unirse a la organización iniciando sesión con sus datos de inicio de sesión de OpenID Connect. Con la opción Si reciben una invitación de un administrador, se generan invitaciones de correo electrónico a través de ArcGIS Online que incluyen instrucciones sobre cómo unirse a la organización. Si elige la opción Automáticamente, sigue pudiendo invitar a miembros a unirse a la organización o agregarlos directamente mediante su Id. de OpenID Connect. Para obtener más información, consulte Invitar y agregar miembros.
- En el cuadro Id. de cliente registrado, introduzca el Id. de cliente desde el IdP.
- En Método de autenticación, especifique una de las opciones siguientes:
- Secreto de cliente: proporcione el secreto de cliente registrado desde el IDP.
- Clave pública/clave privada: elija esta opción para generar una URL de clave pública o privada para la autenticación.
Nota:
La generación de un nuevo par de claves públicas/privadas invalida las claves públicas/privadas existentes. Si su configuración de IdP usa una clave pública guardada en lugar de la URL de la clave pública, la generación de un nuevo par de claves requerirá que actualice la clave pública en su configuración de IdP para impedir la interrupción del inicio de sesión.
- En el cuadro Alcances/permisos de proveedor, introduzca los alcances a enviar junto con la solicitud al extremo de autorización.
Nota:
ArcGIS Online admite ámbitos correspondientes a los atributos de identificador, correo electrónico y perfil de usuario de OpenID Connect. Puede utilizar el valor estándar de openid profile email para los ámbitos si lo permite su proveedor de OpenID Connect. Consulte los ámbitos admitidos en la documentación del proveedor de OpenID Connect.
- En el cuadro Id. de emisor del proveedor, introduzca el identificador para el proveedor de OpenID Connect.
- Rellene las URL de IdP de OpenID Connect como se describe a continuación:
Sugerencia:
Consulte el documento de configuración conocido para el IdP (por ejemplo, en https:/[IdPdomain]/.well-known/openid-configuration) para obtener asistencia a la hora de rellenar la información que aparece a continuación.
- Para URL del extremo de autorización de OAuth 2.0, introduzca la URL del extremo de autorización de OAuth 2.0 del IdP.
- Para URL del extremo del token, introduzca la URL del extremo del token el IDP para obtener acceso y tokens de Id.
- Si lo desea, para URL del conjunto de claves web JSON (JWKS), introduzca la URL del documento del conjunto de claves web JSON del IdP.
Este documento contiene claves de firma que se utilizan para validar las firmas desde el proveedor. Esta URL solo se utiliza si la opción URL de extremo de perfil de usuario (recomendado) no está configurada.
- Para URL del extremo del perfil de usuario (recomendado), introduzca el extremo para obtener la información de identidad sobre el usuario.
Si no se especifica esta URL, se utiliza la opción URL de clave web JSON establecida (JWKS) en su lugar.
- Si lo desea, para URL de extremo de cierre de sesión (opcional), introduzca la URL del extremo de cierre de sesión del servidor de autorización.
Esto se utiliza para cerrar la sesión del miembro del IdP cuando el miembro cierra sesión de ArcGIS.
- Active el botón para alternar Enviar token de acceso en encabezado si desea que se envíe este token en un encabezado en lugar de una cadena de consulta.
- Si lo desea, active el botón de alternancia Utilizar flujo de código de autorización mejorado PKCE.
Cuando esta opción está activada, el protocolo Proof Key for Code Exchange (PKCE) se utiliza para hacer que el flujo del código de autorización de OpenID Connect sea más seguro. Cada solicitud de autorización crea un verificador de código único, y su valor transformado, el desafío del código, se envía al servidor de autorización para obtener el código de autorización. El método de desafío de código utilizado para esta transformación es S256, lo que significa que el desafío de código es un hash SHA-256 codificado en URL Base64 del verificador de código.
- Si lo desea, active el botón Habilitar la pertenencia a grupo basada en el inicio de sesión de OpenID Connect para permitir a los miembros vincular determinados grupos basados en OpenID Connect con grupos de ArcGIS Online durante el proceso de creación de grupos.
Si habilita esta opción, los miembros de la organización con el privilegio de vincularse a grupos de OpenID Connect tendrán la opción de crear un grupo de ArcGIS Online cuya pertenencia se controle mediante un proveedor de identidad OpenID Connect gestionado externamente. Una vez que un grupo se vincule correctamente a un grupo basado en OpenID Connect externo, la pertenencia al grupo de cada usuario se define en la respuesta de notificación de grupos OpenID Connect recibida desde el proveedor de identidad cada vez que el usuario inicia sesión.
Para asegurarse de que el grupo ArcGIS Online esté correctamente vinculado a un grupo de OpenID Connect externo, el creador del grupo debe proporcionar el valor exacto del grupo de OpenID Connect externo tal y como aparece en el valor de la notificación de grupos de OpenID Connect. Vea la respuesta de notificación de grupos de su proveedor de identidad de OpenID Connect para determinar el valor utilizado para hacer referencia al grupo.
Si activa el botón Habilitar la pertenencia a grupo basada en el inicio de sesión de OpenID Connect, asegúrese de agregar el ámbito de los grupos en Alcances/permisos de proveedor. Consulte los ámbitos admitidos en la documentación del proveedor de OpenID Connect.
- Si lo desea, en Reclamo de nombre de usuario de ArcGIS, proporcione el nombre del reclamo del token de Id. que se utilizará para configurar el nombre de usuario de ArcGIS.
El valor que proporcione debe cumplir los requisitos de nombre de usuario de ArcGIS. Un nombre de usuario de ArcGIS debe contener entre 6 y 128 caracteres alfanuméricos y puede incluir los siguientes caracteres especiales: . (punto), _ (guion bajo) y @ (arroba). No se permiten otros caracteres especiales, caracteres no alfanuméricos ni espacios.
Si especifica un valor con menos de seis caracteres o si el valor coincide con un nombre de usuario existente, se agregan números al valor. Si deja en blanco este campo, el nombre de usuario se crea a partir del prefijo del correo electrónico si está disponible; de lo contrario, se usa el reclamo de Id. para crear el nombre de usuario.
- Si utiliza un inicio de sesión de OpenID Connect, mantenga como identificador de usuario el atributo de identificador de sujeto predeterminado (sub) enviado en el token de Id. desde el proveedor de OpenID Connect. Si necesita utilizar un reclamo personalizado para el identificador de usuario, proporcione el nombre del reclamo del token de Id. que se utilizará para configurar el identificador de usuario.
Nota:
El reclamo de identificador de usuario debe configurarse una sola vez durante la configuración inicial del inicio de sesión de OpenID Connect. Si cambia el identificador de usuario después de configurar el inicio de sesión de OpenID Connect, ya sea de un valor predeterminado a un valor personalizado o de un valor personalizado a otro, las cuentas de usuario creadas antes del cambio dejarán de funcionar.
- Cuando haya terminado, haga clic en Guardar.
- Haga clic en el vínculo Configurar inicio de sesión junto al inicio de sesión de OpenID Connect.
- Para completar el proceso de configuración, copie la URI de redireccionamiento de inicio de sesión generada y la URI de redireccionamiento de cierre de sesión (si corresponde) y agréguelas a la lista de URL de devolución de llamada permitidas para el IdP de OpenID Connect. Si corresponde, copie la clave pública o la URL de la clave pública para el OpenID Connect IdP.
Modificar o eliminar el IdP OpenID Connect
Cuando haya configurado un IdP de OpenID Connect, puede actualizar su configuración haciendo clic en Configurar inicio de sesión situado junto al IdP registrado actualmente. Actualice su configuración en la ventana Editar inicio de sesión de OpenID Connect.
Para eliminar el IsP registrado actualmente, haga clic en el botón Configurar inicio de sesión situado junto al IsP y haga clic en Eliminar inicio de sesión en la ventana Editar inicio de sesión de OpenID Connect.
Nota:
No es posible eliminar un inicio de sesión de OpenID Connect hasta que se eliminen todos los miembros del proveedor.