Konfigurowanie loginów OpenID Connect

Skonfigurowanie loginów specyficznych dla instytucji, takich jak loginy OpenID Connect pozwala członkom instytucji logować się w usłudze ArcGIS Online przy użyciu tych samych danych logowania, których używają do uzyskania dostępu do systemów informacyjnych przedsiębiorstwa. Zaletą konfiguracji loginów specyficznych dla instytucji zgodnie z opisaną procedurą jest brak konieczności tworzenia przez członków dodatkowych danych logowania w usłudze ArcGIS Online. Zamiast tego mogą oni korzystać z danych logowania zdefiniowanych w instytucji. Podczas logowania do oprogramowania ArcGIS Online członkowie podają specyficzną dla instytucji nazwę użytkownika i hasło w polach menedżera logowania instytucji, nazywanego również dostawcą tożsamości instytucji. Po weryfikacji poświadczeń członka dostawca tożsamości przesyła do usługi ArcGIS Online informację dotyczącą zweryfikowanej tożsamości logującego się członka.

Oprogramowanie ArcGIS Online obsługuje protokół uwierzytelniania OpenID Connect i integruje się z dostawcami tożsamości, takimi jak Okta i Google, którzy obsługują protokół OpenID Connect.

Możesz skonfigurować stronę logowania usługi ArcGIS Online w taki sposób, aby wyświetlany był tylko login OpenID Connect lub login OpenID Connect z dowolną z następujących opcji: login ArcGIS, login SAML (jeśli jest skonfigurowany) i loginy społecznościowe (jeśli są skonfigurowane).

Konfigurowanie loginów OpenID Connect

Proces konfigurowania dostawcy tożsamości OpenID Connect w usłudze ArcGIS Online został opisany poniżej. Przed przystąpieniem do wykonywania opisywanych czynności zalecane jest skontaktowanie się z administratorem dostawcy tożsamości w celu uzyskania parametrów niezbędnych w procesie konfiguracji. Szczegółowa dokumentacja konfiguracji zewnętrznych dostawców tożsamości, do której można uzyskać dostęp i którą można współtworzyć, znajduje się w repozytorium GitHub ArcGIS/idp.

Notatka:

W tej chwili można skonfigurować tylko jednego dostawcę tożsamości OpenID Connect dla instytucji ArcGIS Online. Możliwość skonfigurowania więcej niż jednego dostawcy tożsamości będzie obsługiwana w przyszłości.

  1. Należy się upewnić, że bieżący użytkownik jest zalogowany jako administrator instytucji.
  2. Kliknij przycisk Instytucja znajdujący się w górnej części witryny, a następnie kliknij kartę Ustawienia.
  3. Jeśli chcesz umożliwić automatyczne dołączanie członków bez wysyłania zaproszeń, najpierw skonfiguruj domyślne ustawienia dla nowych członków. W przeciwnym razie pomiń ten etap.

    Jeśli to konieczne, możesz zmienić te ustawienia dla konkretnych członków, gdy dołączą do instytucji.

    1. Kliknij opcję Wartości domyślne nowych członków z boku strony.
    2. Ustaw domyślne typ użytkownika i rolę dla nowych członków.
    3. Wybierz licencje aplikacji dodatkowych do automatycznego przypisania do członków, gdy dołączą do instytucji.
    4. Wybierz grupy, do których członkowie zostaną dodani, gdy dołączą do instytucji.
    5. Jeśli dla instytucji włączono budżetowanie kredytów, skonfiguruj przydział kredytów dla każdego nowego członka na określoną liczbę kredytów lub skonfiguruj brak limitu.
    6. Wybierz, czy dostęp Esri ma być włączony dla nowych członków.

      Członek, na koncie którego włączono dostęp do zasobów Esri, może używać witryny My Esri, brać udział w szkoleniach, uczestniczyć w Esri Community, dodawać komentarze na blogu ArcGIS i zarządzać komunikacją e-mail z firmą Esri. Członkowie nie mogą włączać dla siebie opcji dostępu do zasobów firmy Esri.

  4. Kliknij opcję Bezpieczeństwo z boku strony.
  5. W sekcji Loginy kliknij opcję Nowy login OpenID Connect.
  6. W polu Etykieta przycisku logowania wpisz tekst, który ma być wyświetlany na przycisku służącym do logowania z użyciem loginu OpenID Connect.
  7. Wybierz sposób dołączania członków do instytucji w usłudze za pomocą loginów OpenID Connect: automatycznie lub poprzez zaproszenie.

    Wybór opcji Automatycznie umożliwia członkom przystąpienie do instytucji poprzez zalogowanie za pomocą loginów OpenID Connect. Opcja Na zaproszenie administratora powoduje wygenerowanie za pośrednictwem usługi ArcGIS Online wiadomości e-mail z zaproszeniem zawierających instrukcje dołączenia do instytucji. W przypadku wybrania opcji Automatycznie można nadal zapraszać członków do dołączenia do instytucji lub dodawać ich bezpośrednio przy użyciu ich identyfikatorów OpenID Connect. Więcej informacji zawiera sekcja Zapraszanie i dodawanie członków.

  8. W polu Zarejestrowany identyfikator klienta podaj identyfikator klienta uzyskany od dostawcy tożsamości.
  9. Podaj jedną z następujących metod uwierzytelniania:
    • Klucz tajny klienta — podaj zarejestrowany klucz tajny klienta od IdP.
    • Klucz publiczny / klucz prywatny — wybierz tę opcję, aby wygenerować klucz publiczny lub adres URL klucza publicznego na potrzeby uwierzytelniania.
      Notatka:

      Wygenerowanie nowej pary kluczy publiczny/prywatny spowoduje unieważnienie wszystkich istniejących kluczy publiczny/prywatny. Jeśli w konfiguracji IdP jest używany zapisany klucz publiczny zamiast adresu URL klucza publicznego, wygenerowanie nowej pary kluczy będzie wymagać zaktualizowania klucza publicznego w konfiguracji IdP, aby uniknąć przerwy w zalogowaniu.

  10. W polu Zakresy/uprawnienia dostawcy podaj zakresy, które mają być wysłane wraz z żądaniem do punktu końcowego autoryzacji.
    Notatka:

    Usługa ArcGIS Online obsługuje zakresy, które odpowiadają identyfikatorowi OpenID Connect, adresowi e-mail i atrybutom profilu użytkownika. Dla zakresów można użyć wartości standardowej openid profile email, jeśli jest ona obsługiwana przez dostawcę OpenID Connect. Informacje na temat obsługiwanych zakresów zawiera dokumentacja dostawcy OpenID Connect.

  11. W polu Identyfikator wystawcy dostawcy podaj identyfikator dostawcy OpenID Connect.
  12. Wypełnij adresy URL dostawcy tożsamości OpenID Connect w następujący sposób:
    Wskazówka:

    Podczas wypełniania poniższych informacji zapoznaj się z dokumentem powszechnie znanej konfiguracji dostawcy tożsamości — na przykład https:/[IdPdomain]/.well-known/openid-configuration.

    1. W polu Adres URL punktu końcowego autoryzacji OAuth 2.0 podaj adres URL punktu końcowego autoryzacji OAuth 2.0 dostawcy tożsamości.
    2. W polu Adres URL punktu końcowego tokena podaj adres URL punktu końcowego tokena dostawcy tożsamości umożliwiającego uzyskanie tokenów dostępu i identyfikatorów.
    3. Opcjonalnie w polu Adres URL zestawu kluczy internetowych JSON (JWKS) podaj adres URL dokumentu zestawu kluczy internetowych JSON dostawcy tożsamości.

      Ten dokument zawiera klucze podpisywania, które służą do weryfikacji podpisów od dostawcy. Ten adres URL jest używany tylko wtedy, gdy Adres URL punktu końcowego profilu użytkownika (zalecany) nie jest skonfigurowany.

    4. W polu Adres URL punktu końcowego profilu użytkownika (zalecany) podaj punkt końcowy uzyskiwania informacji o tożsamości użytkownika.

      Jeśli ten adres URL nie zostanie określony, zamiast niego używany jest Adres URL zestawu kluczy internetowych JSON (JWKS).

    5. Opcjonalnie w polu Adres URL punktu końcowego wylogowania (opcjonalny) podaj adres URL punktu końcowego wylogowania serwera autoryzacji.

      Jest on używany do wylogowania członka z dostawcy tożsamości, gdy wylogowuje się on z systemu ArcGIS.

  13. Włącz przełącznik Wyślij token dostępu w nagłówku, jeśli token ma być wysyłany w nagłówku zamiast w ciągu znakowym zapytania.
  14. Opcjonalnie włącz przełącznik Użyj przepływu kodów autoryzacyjnych wzbogaconych o PKCE.

    Gdy ta opcja jest włączona, protokół Proof Key for Code Exchange (PKCE) jest używany do zwiększenia bezpieczeństwa przepływu kodów autoryzacyjnych OpenID Connect. Każde żądanie autoryzacji tworzy unikalny weryfikator kodu, a jego wartość po transformacji (wyzwanie kodu) jest wysyłana do serwera autoryzacji w celu uzyskania kodu autoryzacji. Metodą wyzwania kodu używaną na potrzeby tej transformacji jest S256, co oznacza, że wyzwanie kodu jest zakodowanym w formacie URL Base64 skrótem weryfikatora kodu powstałym przy użyciu algorytmu SHA-256.

  15. Opcjonalnie przełącz przycisk Włącz członkostwo w grupie oparte na logowaniu OpenID Connect, aby umożliwić członkom łączenie podanych grup korzystających z protokołu OpenID Connect z grupami usługi ArcGIS Online podczas tworzenia grup.

    Po włączeniu tej opcji członkowie instytucji z uprawnieniami do łączenia się z grupami OpenID Connect uzyskują możliwość tworzenia grup usługi ArcGIS Online, których członkostwo jest kontrolowane przez zarządzanego zewnętrznie dostawcę tożsamości OpenID Connect. Gdy grupa zostanie pomyślnie połączona z zewnętrzną grupą korzystającą z protokołu OpenID Connect, członkostwo każdego użytkownika w grupie będzie określane na podstawie odpowiedzi z poświadczeniem grupy OpenID Connect odbieranej od dostawcy tożsamości podczas każdego logowania.

    Aby upewnić się, że grupa usługi ArcGIS Online jest prawidłowo połączona z zewnętrzną grupą OpenID Connect, twórca grupy musi podać dokładną wartość zewnętrznej grupy OpenID Connect zwracanej jako wartość atrybutu poświadczenia grupy OpenID Connect. Wyświetl odpowiedź z poświadczeniem grupy od dostawcy tożsamości OpenID Connect, aby określić wartość używaną do odwoływania się do grupy.

    Jeśli przełączysz przycisk Włącz członkostwo w grupie oparte na logowaniu OpenID Connect, pamiętaj, aby dodać zakres grup w polu Zakresy/uprawnienia dostawcy. Informacje na temat obsługiwanych zakresów zawiera dokumentacja dostawcy OpenID Connect.

  16. Opcjonalnie w polu Nazwa pola/poświadczenia nazwy użytkownika ArcGIS podaj nazwę poświadczenia z tokena ID, która zostanie użyta do skonfigurowania nazwy użytkownika ArcGIS.

    Podana wartość musi być zgodna z wymaganiami dotyczącymi nazwy użytkownika ArcGIS. Nazwa użytkownika ArcGIS musi zawierać od 6 do 128 znaków alfanumerycznych i może zawierać następujące znaki specjalne: . (kropka), _ (podkreślenie) i znak @. Użycie innych znaków specjalnych, znaków niealfanumerycznych oraz spacji jest niedozwolone.

    Jeśli zostanie podana wartość krótsza niż sześć znaków lub jeśli wartość jest zgodna z istniejącą nazwą użytkownika, do tej wartości zostaną dodane liczby. Jeśli to pole pozostanie puste, nazwa użytkownika zostanie utworzona na podstawie przedrostka adresu e-mail, jeśli jest dostępny. W przeciwnym razie do utworzenia nazwy użytkownika zostanie użyte poświadczenie ID.

  17. Po zakończeniu działania kliknij przycisk Zapisz.
  18. Kliknij łącze Skonfiguruj logowanie znajdujące się obok opcji Login OpenID Connect.
  19. Aby ukończyć proces konfiguracji, skopiuj wygenerowany Identyfikator URI przekierowania logowania i Identyfikator URI przekierowania wylogowania (jeśli ma zastosowanie) i dodaj je do listy dozwolonych adresów URL wywołania zwrotnego dla dostawcy tożsamości OpenID Connect. Jeśli jest to potrzebne, skopiuj klucz publiczny lub adres URL klucza publicznego dla dostawcy tożsamości OpenID Connect.

Modyfikowanie lub usuwanie dostawcy tożsamości OpenID Connect

Po skonfigurowaniu dostawcy tożsamości OpenID Connect możesz zaktualizować jego ustawienia, klikając opcję Skonfiguruj login obok obecnie zarejestrowanego dostawcy tożsamości. Zaktualizuj ustawienia w oknie Edycja loginu OpenID Connect.

Aby usunąć aktualnie zarejestrowanego dostawcę tożsamości, kliknij opcję Skonfiguruj logowanie obok dostawcy tożsamości i kliknij przycisk Usuń login w oknie Edycja loginu OpenID Connect.

Notatka:

Loginu OpenID Connect nie można usunąć do chwili usunięcia wszystkich członków z dostawcy.