OpenID Connect 로그인과 같은 기관별 로그인을 구성하면 기관의 구성원이 기관의 내부 시스템을 접근하는 데 사용한 것과 동일한 로그인을 사용하여 ArcGIS Online에 로그인할 수 있습니다. 이 접근 방법을 사용하여 기관별 로그인을 설정하면 구성원이 ArcGIS Online 시스템 내에서 추가 로그인을 생성할 필요 없이 해당 기관에 이미 설정된 로그인을 사용할 수 있다는 이점이 있습니다. 구성원은 ArcGIS Online에 로그인할 때 기관의 ID 공급자(IdP)라고도 하는 기관의 로그인 관리자에 기관별 사용자 이름과 비밀번호를 입력합니다. 구성원의 자격 증명을 확인할 때 IdP는 로그인하려는 구성원의 확인된 ID를 ArcGIS Online에 알립니다.
ArcGIS Online는 OpenID Connect 인증 프로토콜을 지원하며 OpenID Connect를 지원하는 Okta, Google 등의 IdP와 통합됩니다.
OpenID Connect 로그인만 표시되거나 OpenID Connect 로그인이 ArcGIS 로그인, SAML 로그인(구성된 경우), 소셜 로그인(구성된 경우) 옵션 중 하나와 함께 표시되도록 ArcGIS Online 로그인 페이지를 구성할 수 있습니다.
OpenID Connect 로그인 구성
아래에서는 OpenID Connect에서 ArcGIS Online IdP를 구성하는 프로세스에 대해 설명합니다. 계속 진행하기 전에 IdP 관리자에게 문의하여 구성에 필요한 매개변수를 얻는 것을 권장합니다. 또한 ArcGIS/idp GitHub 저장소에서 상세한 서드 파티 IdP 구성 문서에 접근하거나 이에 기여할 수도 있습니다.
비고:
현재 ArcGIS Online 기관에는 하나의 OpenID Connect IdP만 구성할 수 있습니다. 둘 이상의 IdP를 구성하는 기능은 추후 지원될 예정입니다.
- 내 기관의 관리자로 로그인되어 있는지 확인합니다.
- 사이트 상단에서 기관을 클릭한 다음 설정 탭을 클릭합니다.
- 초대를 보내지 않고 구성원 자동 가입을 허용하려는 경우 먼저 새 구성원에 대한 기본 설정을 구성해야 합니다. 허용하지 않으려는 경우 이 단계를 건너뛰세요.
필요한 경우 기관에 가입되어 있는 구성원에 대해 이러한 설정을 변경할 수 있습니다.
- 페이지 옆쪽에서 새 구성원 기본값을 클릭합니다.
- 새 구성원의 기본 사용자 유형과 역할을 선택합니다.
- 구성원이 기관에 가입할 때 자동으로 할당받게 될 애드온 라이선스를 선택합니다.
- 구성원이 기관에 가입할 때 추가될 그룹을 선택합니다.
- 기관에 크레딧 예산 편성이 활성화된 경우에는 각각의 새 구성원에 대한 크레딧 할당을 특정 크레딧 수 또는 제한 없음으로 설정합니다.
- 새 구성원의 Esri 접근에 대한 활성화 여부를 선택합니다.
Esri에 접속할 수 있는 계정을 가진 구성원은 My Esri를 사용하고, 과정을 학습하고, Esri Community에 참여하고, ArcGIS Blog에 의견을 추가하고, Esri의 이메일 통신을 관리할 수 있습니다. 구성원은 이러한 Esri 리소스에 대한 자신의 접속 권한을 활성화하거나 비활성화할 수 없습니다.
- 페이지 옆쪽에서 보안을 클릭합니다.
- 로그인 섹션에서 새 OpenID Connect 로그인을 클릭합니다.
- 로그인 버튼 레이블 상자에서 구성원이 OpenID Connect 로그인으로 로그인할 때 사용하는 버튼에 표시할 텍스트를 입력합니다.
- OpenID Connect 로그인을 가진 구성원이 기관에 가입하는 방법(자동 또는 초대를 통해)을 선택합니다.
자동 옵션을 사용하면 구성원이 OpenID Connect 로그인으로 로그인하여 기관에 가입할 수 있습니다. 관리자의 초대 시 옵션을 사용하면 관리자가 ArcGIS Online을 통해 기관 가입 방법이 포함된 이메일 초대를 생성해야 합니다. 자동 옵션을 선택하는 경우에도 기관에 가입하도록 구성원을 초대하거나 OpenID Connect ID를 사용하여 구성원을 직접 추가할 수 있습니다. 자세한 내용은 구성원 초대 및 추가를 참고하세요.
- 등록된 클라이언트 ID 상자에 IdP의 클라이언트 ID를 입력합니다.
- 인증 방법의 경우 다음 중 하나를 지정합니다.
- 클라이언트 비밀번호 — IdP의 등록된 클라이언트 비밀번호를 입력합니다.
- 공개 키/비공개 키 — 인증을 위해 공개 키 또는 공개 키 URL을 생성하려면 이 옵션을 선택합니다.
비고:
새 공개/비공개 키 쌍을 생성하면 기존의 공개/비공개 키가 무효화됩니다. IdP 구성에서 공개 키 URL 대신 저장된 공개 키를 사용하는 경우, 새 키 쌍을 생성하려면 로그인이 중단되지 않도록 IdP 구성에서 공개 키를 업데이트해야 합니다.
- 공급자 범위/권한 상자에 요청과 함께 인증 끝점에 보낼 범위를 입력합니다.
비고:
ArcGIS Online은 OpenID Connect 식별자, 이메일 및 사용자 프로필 속성에 해당하는 범위를 지원합니다. OpenID Connect 공급자가 지원하는 경우 범위에 대한 openid profile email의 표준 값을 사용할 수 있습니다. 지원되는 범위에 대한 OpenID Connect 공급자의 설명서를 참조하세요.
- 공급자 발급자 ID 상자에 OpenID Connect 공급자의 식별자를 입력합니다.
- 다음과 같이 OpenID Connect IdP URL을 입력합니다.
팁:
아래 정보를 입력하는 데 도움을 받으려면 IdP에 대한 잘 알려진 구성 문서(예시: https:/[IdPdomain]/.well-known/openid-configuration)를 참조하세요.
- OAuth 2.0 인증 끝점 URL에 IdP OAuth 2.0 인증 끝점의 URL을 입력합니다.
- 토큰 끝점 URL에 접근 및 ID 토큰을 가져오기 위한 IdP 토큰 끝점의 URL을 입력합니다.
- 필요에 따라 JSON 웹 키 세트(JWKS) URL에 IdP JSON 웹 키 세트 문서의 URL을 입력합니다.
이 문서에는 공급자 서명의 유효성을 검사하는 데 사용한 서명 키가 포함됩니다. 사용자 프로필 끝점 URL(권장)이 구성되지 않은 경우에만 해당 URL이 사용됩니다.
- 사용자 프로필 끝점 URL(권장)에 사용자에 대한 ID 정보를 가져오기 위한 끝점을 입력합니다.
이 URL을 지정하지 않은 경우 JSON 웹 키 세트(JWKS) URL 옵션이 대신 사용됩니다.
- 필요에 따라 로그아웃 끝점 URL(선택 사항)에 인증 서버의 로그아웃 끝점 URL을 입력합니다.
구성원이 ArcGIS에서 로그아웃할 때 IdP에서 구성원을 로그아웃시키는 데 사용됩니다.
- 쿼리 문자열 대신 헤더에 토큰을 보내려면 헤더에 접근 토큰 전송 토글 버튼을 켭니다.
- 필요한 경우 PKCE 향상 인증 코드 흐름 사용 토글 버튼을 켭니다.
이 옵션을 켜면 보다 안전한 OpenID Connect 인증 코드 흐름을 위해 PKCE(Proof Key for Code Exchange) 프로토콜이 사용됩니다. 모든 인증 요청은 고유한 코드 검증자를 생성하며, 변환 값인 코드 챌린지는 인증 코드를 받기 위해 인증 부여 서버로 전송됩니다. 이 변환에 사용된 코드 챌린지 메소드는 S256이며, 이는 코드 챌린지가 코드 검증기의 Base64 URL로 인코딩된 SHA-256 해시임을 의미합니다.
- 필요한 경우 OpenID Connect 로그인 기반 그룹 멤버십 활성화 버튼을 켜서 그룹 생성 프로세스 중에 구성원이 지정된 OpenID Connect 기반 그룹을 ArcGIS Online 그룹에 연결하도록 할 수 있습니다.
이 옵션을 활성화하면 OpenID Connect 그룹에 연결할 권한이 있는 기관 구성원은 외부에서 관리하는 OpenID Connect ID 공급자가 멤버십을 제어하는 ArcGIS Online 그룹을 생성할 수 있습니다. 그룹이 외부 OpenID Connect 기반 그룹에 연결되면 해당 그룹의 각 사용자 멤버십은 사용자가 로그인할 때마다 ID 공급자에서 수신되는 OpenID Connect 그룹 클레임 응답에 정의됩니다.
ArcGIS Online 그룹이 외부 OpenID Connect 그룹에 연결되었는지 확인하려면 그룹 생성자가 OpenID Connect 그룹 클레임의 속성 값에서 반환된 외부 OpenID Connect 그룹의 정확한 값을 입력해야 합니다. OpenID Connect ID 공급자의 그룹 클레임 응답을 통해 그룹을 참조하는 데 사용되는 값을 확인합니다.
OpenID Connect 로그인 기반 그룹 멤버십 활성화 버튼을 켜는 경우 공급자 범위/권한 상자에 그룹 범위를 추가해야 합니다. 지원되는 범위에 대한 OpenID Connect 공급자의 문서를 참조하세요.
- 필요에 따라 ArcGIS 사용자 이름 클레임에 ArcGIS 사용자 이름을 설정하는 데 사용할 ID 토큰의 클레임 이름을 입력합니다.
제공하는 값은 ArcGIS 사용자 이름 요구 사항을 준수해야 합니다. ArcGIS 사용자 이름에는 6~128자의 영숫자를 포함해야 하며, .(점), _(밑줄), @(@ 기호)와 같은 특수 문자를 사용할 수 있습니다. 기타 특수 문자, 영숫자 이외의 문자 및 공백은 사용할 수 없습니다.
6자 미만의 값을 지정하거나 해당 값이 기존 사용자 이름과 일치하는 경우 해당 값에 숫자가 추가됩니다. 이 필드를 비워 두면 사용 가능한 경우 이메일 접두어에서 사용자 이름이 생성되며, 그렇지 않으면 ID 클레임이 사용자 이름을 생성하는 데 사용됩니다.
- OpenID Connect 로그인을 사용하는 경우 OpenID Connect 공급자의 ID 토큰에서 전송된 기본 주체 식별자(sub) 속성을 사용자 식별자로 유지합니다. 사용자 식별자에 대한 사용자 설정 클레임을 사용해야 하는 경우 사용자 식별자를 설정하는 데 사용할 ID 토큰의 클레임 이름을 입력합니다.
비고:
사용자 식별자 클레임은 OpenID Connect 로그인의 초기 설정 중에 한 번만 구성해야 합니다. OpenID Connect 로그인을 설정한 후 사용자 식별자를 기본값에서 사용자 설정 값으로 또는 하나의 사용자 설정 값에서 다른 사용자 설정 값으로 변경하는 경우 변경하기 전에 생성된 사용자 계정은 더 이상 작동하지 않습니다.
- 작업을 마쳤으면 저장을 클릭합니다.
- OpenID Connect 로그인 옆에 있는 로그인 구성 링크를 클릭합니다.
- 구성 프로세스를 완료하려면 생성된 로그인 재전송 URI 및 로그아웃 재전송 URI(해당하는 경우)를 복사하고 이를 OpenID Connect IdP에 대해 허용되는 콜백 URL 목록에 추가합니다. 해당하는 경우, OpenID Connect IdP의 공개 키 또는 공개 키 URL을 복사합니다.
OpenID Connect IdP 수정 또는 제거
OpenID Connect IdP를 설정한 경우 현재 등록된 IdP 옆의 로그인 구성을 클릭하여 설정을 업데이트할 수 있습니다. OpenID Connect 로그인 편집 창에서 설정을 업데이트합니다.
현재 등록된 IdP를 제거하려면 IdP 옆의 로그인 구성을 클릭하고 OpenID Connect 로그인 편집 창에서 로그인 삭제를 클릭합니다.
비고:
공급자의 모든 구성원이 제거될 때까지 OpenID Connect 로그인을 삭제할 수 없습니다.