La configurazione di credenziali di accesso specifiche per l'organizzazione, come le credenziali di accesso a OpenID Connect, consente ai membri dell'organizzazione di effettuare l'accesso ad ArcGIS Online con gli stessi account di accesso usati per i sistemi interni dell'organizzazione. La configurazione di account di accesso specifici per un'organizzazione con questo approccio presenta un indubbio vantaggio. I membri infatti non devono più creare ulteriori account di accesso nel sistema ArcGIS Online, ma possono utilizzare l'account di accesso già configurato con l'organizzazione. Quando i membri accedono a ArcGIS Online, forniscono nome utente e password specifici dell'organizzazione nel gestore accessi dell'organizzazione, detto anche idP (Identity Provider). Alla verifica delle credenziali del membro, IdP informa ArcGIS Online dell'identità verificata per il membro che sta eseguendo l'accesso.
ArcGIS Online supporta il protocollo di autenticazione OpenID Connect e si integra con IdP come Okta e Google che supportano OpenID Connect.
È possibile configurare la pagina di accesso di ArcGIS Online in modo da mostrare solo l'account di accesso OpenID Connect o in modo da mostrare l'account di accesso di OpenID Connect insieme a una di queste opzioni: credenziali ArcGIS, credenziali SAML (se configurate) e credenziali social (se configurate).
Configurare account di accessoOpenID Connect
Il processo di configurazione di un IdP OpenID Connect con ArcGIS Online è descritto di seguito. Prima di procedere, si consiglia di rivolgersi all'amministratore dell'IdP per ottenere i parametri indispensabili per la configurazione. È possibile, inoltre, accedere e contribuire alla documentazione della configurazione IDP di terzi dettagliata nel repository ArcGIS/idp GitHub.
Nota:
In questo momento, è possibile configurare un solo IdP OpenID Connect per l'organizzazione ArcGIS Online. La capacità di configurare più IdP sarà supportata in futuro.
- Verificare di aver effettuato l'accesso come amministratore dell'organizzazione.
- Nella parte superiore della schermata del sito, fare clic su Organizzazione e scegliere la scheda Impostazioni.
- Per consentire ai membri di entrare automaticamente senza inviare inviti, occorre configurare prima le impostazioni predefinite per i nuovi membri. Altrimenti ignora questo passaggio.
Se necessario, è possibile modificare queste impostazioni per membri specifici dopo che si sono iscritti all'organizzazione.
- Fare clic su Predefinite dei nuovi membri sul lato della pagina.
- Selezionare il tipo di utente e ruolo predefinito per i nuovi membri.
- Selezionare le licenze aggiuntive da assegnare automaticamente ai membri quando si iscrivono all'organizzazione.
- Selezionare i gruppi ai quali verranno aggiunti i membri una volta iscritti all'organizzazione.
- Se è abilitato il budget del credito per l'organizzazione, impostare lo stanziamento del credito per ciascun nuovo membro su un numero specifico di crediti o senza limiti.
- Scegliere se abilitare l'accesso a Esri per i nuovi membri.
Un membro per il cui account è abilitato l'accesso a Esri può utilizzare My Esri, frequentare corsi di formazione, partecipare a Esri Community, inserire commenti nel Blog di ArcGIS e gestire comunicazioni email da Esri. Il membro non può abilitare o disabilitare il proprio accesso a tali risorse Esri.
- Fare clic su Protezione sul lato della pagina.
- Nella sezione Accessi, fare clic su Impostare accesso ad OpenID Connect.
- Nella casella Etichetta pulsante Accesso, immettere il testo che si desidera che appaia sul pulsante che i membri utilizzano per accedere con le loro credenziali di accesso OpenID Connect.
- Scegliere in che modo i membri con account di accesso OpenID Connect potranno accedere all'organizzazione: automaticamente o tramite invito.
L'opzione Automaticamente consente ai membri di entrare nell'organizzazione accedendo con il loro account di accesso OpenID Connect. Con l'opzione Con invito di un amministratore, si genera un invito e-mail tramite ArcGIS Online che include le istruzioni per entrare nell'organizzazione. Se scegli l'opzione Automaticamente, puoi comunque invitare membri a entrare nell'organizzazione o aggiungerli direttamente tramite il loro IDOpenID Connect. Per ulteriori informazioni, vedi Invitare e aggiungere membri.
- Nella casella ID client registrato, inserisci l'ID cilent dell'IdP.
- Per Metodo di autenticazione, specifica uno dei seguenti:
- Segreto client - Indica il segreto client registrato dall'IdP.
- Chiave pubblica/Chiave privata - Scegli questa opzione per generare una chiave pubblica o un URL a chiave pubblica per l'autenticazione.
Nota:
La generazione di una nuova coppia di chiavi pubblica/privata invalida le chiavi pubbliche/private esistenti. Se la configurazione dell'IdP utilizza una chiave pubblica salvata invece dell'URL a chiave pubblica, la generazione di una nuova coppia di chiavi richiederà l'aggiornamento della chiave pubblica nella configurazione dell'IdP per evitare l'interruzione dell'accesso.
- Nella casella Ambiti/autorizzazioni provider, fornisci gli ambiti da inviare insieme alla richiesta all'endpoint di autorizzazione.
Nota:
ArcGIS Online supporta ambiti che corrispondono all'identificativo OpenID Connect, all'e-mail e agli attributi del profilo utente. È possibile utilizzare il valore standard diopenid profile email per gli ambiti, se questo è supportato dal provider OpenID Connect. Fa riferimento alla documentazione del providerOpenID Connect per gli ambiti supportati.
- Nella casella ID emittente provider, fornisci l'identificatore per il provider OpenID Connect.
- Compila gli URL si IdP OpenID Connect come segue:
Suggerimento:
Fai riferimento al documento di configurazione noto per l'IdP, ad esempio in https:/[IdPdomain]/.well-known/openid-configuration, per assistenza con la compilazione delle informazioni seguenti.
- Per URL endpoint di autorizzazione OAuth 2.0, fornisci l'URL dell'endpoint di autorizzazione OAuth 2.0 dell'IdP.
- Per URL endpoint token, fornisci l'URL dell'endpoint token dell'IdP per ottenere i token di accesso e ID.
- Facoltativamente, per RL JSON web key set (JWKS), forensci l'URL del documento JSON Web Key Set dell'IdP.
Questo documento contiene chiavi di accesso utilizzate per la convalida delle firme da parte del provider. L'URL viene utilizzato solo se non è configurato URL endpoint profilo utente (consigliato).
- Per URL endpoint profilo utente (consigliato), fornisci l'endpoint per ottenere le informazioni sull'identità dell'utente.
Se non si specifica questo URL, al suo posto viene utilizzata l'opzione URL JSON web key set (JWKS).
- Opzionalmente, per URL endpoint di disconnessione (facoltativo), fornisci l'URL dell'endpoint di disconnessione del server di autorizzazione.
Viene utilizzato per disconnettere il membro dall'IdP quando tale membro esce da ArcGIS.
- Attivare il pulsante di selezione Inviare il token di accesso nell'intestazione se si preferisce che il token venga inviato a un'intestazione e non a una stringa di interrogazione.
- Se lo si desidera, abilitare il pulsante Utilizzare il flusso del codice di autorizzazione migliorato PKCE.
Quando questa opzione è abilitata, il Proof Key del protocollo Code Exchange (PKCE) viene utilizzato per rendere il flusso del codice di autorizzazione OpenID Connect più sicuro. Ogni richiesta di autorizzazione crea un verificatore di codice univoco, e il suo valore trasformato, il code challenge, viene inviato al server di autorizzazione per ottenere il codice di autorizzazione. Il metodo code challenge utilizzato per questa trasformazione è S256, che significa che il code challenge è codificato con Base64 URL, hash SHA-256 del verificatore del codice.
- Facoltativamente, attivare il pulsante Abilita appartenenza al gruppo basata su accesso ad OpenID Connect per consentire ai membri di collegare gruppi basati su OpenID Connect specificati a gruppi ArcGIS Online durante il processo di creazione del gruppo.
Quando si abilita questa opzione, i membri dell'organizzazione con privilegio di collegamento a gruppi OpenID Connect possono creare un gruppo ArcGIS Online la cui appartenenza è controllata da un provider di identità OpenID Connectgestito esternamente. Quando un gruppo è correttamente collegato a un gruppo basato su OpenID Connect esterno, l'appartenenza di ogni utente nel gruppo è definita nella risposta di attestazione dei gruppi OpenID Connect ricevuta dal provider di identità ogni volta che l'utente accede.
Per assicurarsi che il gruppo ArcGIS Online sia collegato correttamente al gruppo OpenID Connect esterno, il creatore del gruppo deve fornire il valore esatto del gruppo OpenID Connect esterno restituito nel valore dell'attributo dell'attestazione di gruppo OpenID Connect. Visualizzare la risposta di attestazione di gruppo del provider di identità OpenID Connect per determinare il valore utilizzato per fare riferimento al gruppo.
Se si attiva il pulsante Abilita appartenenza al gruppo basata su accesso ad OpenID Connect, aggiungere l'ambito dei gruppi nella casella Autorizzazioni/ambiti provider. Fa riferimento alla documentazione del provider OpenID Connect per gli ambiti supportati.
- In alternativa, per Reclamo nome utente ArcGIS, fornire il nome della richiesta dal token ID che verrà utilizzato per impostare il nome utente ArcGIS.
Il valore fornito deve essere conforme ai requisiti dei nomi utente di ArcGIS. Un nome utente di ArcGIS deve contenere da 6 a 128 caratteri alfanumerici e può includere i seguenti caratteri speciali: . (punto), _ (carattere di sottolineatura) e @ (chiocciola). Non sono consentiti altri caratteri speciali, caratteri non alfanumerici e spazi.
Se si specifica un valore che include meno di sei caratteri o se il valore corrisponde a un nome utente esistente, al valore vengono aggiunti numeri. Se si lascia vuoto questo campo, il nome utente viene creato dal prefisso dell'email, se disponibile, altrimenti per creare il nome utente viene utilizzata la richiesta ID.
- Se si utilizza un account di accesso OpenID Connect, mantenere l'attributo dell'identificativo oggetto predefinito (sub) inviato nel token ID dal provider OpenID Connect come identificativo utente. Se occorre utilizzare una richiesta personalizzata per l'identificatore utente, fornire il nome della richiesta dal token ID che sarà usato per configurare l'identificatore utente.
Nota:
La richiesta di identificatore utente deve essere configurata solo durante l'impostazione indiziale dell'account di accesso OpenID Connect. Se si cambia l'identificatore utente durante l'impostazione dell'account di accesso OpenID Connect da valore predefinito a valore personalizzato o da un valore personalizzato a un altri, gli account utente creati prima del cambio non funzioneranno più.
- Una volta terminato, fare clic su Salva.
- Fare clic sul link Configura accesso accanto a Accesso a OpenID Connect.
- Per completare il processo di configurazione, copia URI di reindirizzamento di accesso e URI di reindirizzamento di disconnessione (se applicabile) e aggiungili all'elenco di URL di richiamata consentiti per l'IdPOpenID Connect. Se applicabile, copiare la chiave pubblica o URL di chiave pubblica per l'IdP OpenID Connect.
Modificare o rimuovere l'IdP di OpenID Connect
Una volta impostato un IdP di OpenID Connect, è possibile aggiornarne le impostazioni facendo clic su Configura accesso accanto all'IdP registrato. Aggiornare le impostazioni nella finestra Modificare accesso ad OpenID Connect.
Per rimuovere l'IdP registrato, fai clic su Configura accesso accanto all'IdP e fai clic su Elimina accesso nella finestra Modifica accesso OpenID Connect.
Nota:
Impossibile eliminare credenziali di accesso OpenID Connect finché non sono stati rimosso tutti i membri dal provider.