Konfigurowanie loginów OpenID Connect

Skonfigurowanie loginów specyficznych dla instytucji, takich jak loginy OpenID Connect pozwala członkom instytucji logować się w usłudze ArcGIS Online przy użyciu tych samych danych logowania, których używają do uzyskania dostępu do systemów informacyjnych przedsiębiorstwa. Zaletą konfiguracji loginów specyficznych dla instytucji zgodnie z opisaną procedurą jest brak konieczności tworzenia przez członków dodatkowych danych logowania w usłudze ArcGIS Online. Zamiast tego mogą oni korzystać z danych logowania zdefiniowanych w instytucji. Podczas logowania do oprogramowania ArcGIS Online członkowie wprowadzają specyficzną dla instytucji nazwę użytkownika i hasło w polach menedżera logowania instytucji, nazywanego również dostawcą tożsamości instytucji. Po weryfikacji poświadczeń członka dostawca tożsamości przesyła do usługi ArcGIS Online informację dotyczącą zweryfikowanej tożsamości logującego się członka.

Usługa ArcGIS Online obsługuje protokół uwierzytelniania OpenID Connect i integruje się z dostawcami tożsamości, takimi jak Okta i Google, którzy obsługują protokół OpenID Connect.

Możesz skonfigurować stronę logowania usługi ArcGIS Online w taki sposób, aby wyświetlany był tylko login OpenID Connect lub login OpenID Connect z dowolną z następujących opcji: login ArcGIS, login SAML (jeśli jest skonfigurowany) i loginy społecznościowe (jeśli są skonfigurowane).

Konfigurowanie loginów OpenID Connect

Proces konfigurowania dostawcy tożsamości OpenID Connect w usłudze ArcGIS Online został opisany poniżej. Przed przystąpieniem do wykonywania opisywanych czynności zalecane jest skontaktowanie się z administratorem dostawcy tożsamości w celu uzyskania parametrów niezbędnych w procesie konfiguracji. Szczegółowa dokumentacja konfiguracji zewnętrznych dostawców tożsamości, do której można uzyskać dostęp i którą można współtworzyć, znajduje się w repozytorium GitHub ArcGIS/idp.

Notatka:

W tej chwili można skonfigurować tylko jednego dostawcę tożsamości OpenID Connect dla instytucji ArcGIS Online. Możliwość skonfigurowania więcej niż jednego dostawcy tożsamości będzie obsługiwana w przyszłości.

  1. Należy się upewnić, że bieżący użytkownik jest zalogowany jako administrator instytucji.
  2. Kliknij przycisk Instytucja znajdujący się w górnej części witryny, a następnie kliknij kartę Ustawienia.
  3. Jeśli chcesz umożliwić automatyczne dołączanie członków, najpierw skonfiguruj domyślne ustawienia dla nowych członków.

    Jeśli to konieczne, możesz zmienić te ustawienia dla konkretnych członków, gdy dołączą do instytucji.

    1. Kliknij opcję Wartości domyślne nowych członków z boku strony.
    2. Ustaw domyślne typ użytkownika i rolę dla nowych członków.
    3. Wybierz licencje aplikacji dodatkowych do automatycznego przypisania do członków, gdy dołączą do instytucji.
    4. Wybierz grupy, do których członkowie zostaną dodani, gdy dołączą do instytucji.
    5. Jeśli dla instytucji włączono budżetowanie kredytów, skonfiguruj przydział kredytów dla każdego nowego członka na określoną liczbę kredytów lub skonfiguruj brak limitu.
    6. Wybierz, czy dostęp Esri ma być włączony dla nowych członków.

      Członek, na koncie którego włączono dostęp do zasobów Esri, może używać witryny My Esri, brać udział w szkoleniach, uczestniczyć w Esri Community, dodawać komentarze na blogu ArcGIS i zarządzać komunikacją e-mail z firmą Esri. Członkowie nie mogą włączać dla siebie opcji dostępu do zasobów firmy Esri.

  4. Kliknij opcję Bezpieczeństwo z boku strony.
  5. W sekcji Loginy kliknij opcję Nowy login OpenID Connect.
  6. W polu Etykieta przycisku logowania wpisz tekst, który ma być wyświetlany na przycisku służącym do logowania z użyciem loginu OpenID Connect.
  7. Wybierz sposób dołączania członków do instytucji w usłudze za pomocą loginów OpenID Connect: automatycznie lub poprzez zaproszenie.

    Wybór opcji automatycznego przyłączania umożliwia członkom przystąpienie do instytucji poprzez zalogowanie za pomocą loginów OpenID Connect. Opcja zaproszenia powoduje wygenerowanie za pośrednictwem usługi ArcGIS Online wiadomości e-mail z zaproszeniem zawierających instrukcje dołączenia do instytucji. W przypadku wybrania opcji automatycznej można nadal zapraszać członków do dołączenia do instytucji lub dodawać ich bezpośrednio przy użyciu ich identyfikatorów OpenID Connect.

  8. W polu Zarejestrowany identyfikator klienta wpisz identyfikator klienta uzyskany od dostawcy tożsamości.
  9. W polu Zarejestrowany klucz tajny klienta wpisz klucz tajny klienta uzyskany od dostawcy tożsamości.
  10. W polu Zakresy/uprawnienia dostawcy wpisz zakresy, które mają być wysłane wraz z żądaniem do punktu końcowego autoryzacji.
    Notatka:

    Usługa ArcGIS Online obsługuje zakresy, które odpowiadają identyfikatorowi OpenID Connect, adresowi e-mail i atrybutom profilu użytkownika. Dla zakresów można użyć wartości standardowej openid profile email, jeśli jest ona obsługiwana przez dostawcę OpenID Connect. Informacje na temat obsługiwanych zakresów zawiera dokumentacja dostawcy OpenID Connect.

  11. W polu Identyfikator wystawcy dostawcy wpisz identyfikator dostawcy OpenID Connect.
  12. Wypełnij adresy URL dostawcy tożsamości OpenID Connect w następujący sposób:
    Wskazówka:

    Podczas wypełniania poniższych informacji zapoznaj się z dokumentem powszechnie znanej konfiguracji dostawcy tożsamości — na przykład https:/[IdPdomain]/.well-known/openid-configuration.

    1. W polu Adres URL punktu końcowego autoryzacji OAuth 2.0 wprowadź adres URL punktu końcowego autoryzacji OAuth 2.0 dostawcy tożsamości.
    2. W polu Adres URL punktu końcowego tokena wprowadź adres URL punktu końcowego tokena dostawcy tożsamości umożliwiającego uzyskanie tokenów dostępu i identyfikatorów.
    3. Opcjonalnie w polu Adres URL zestawu kluczy internetowych JSON (JWKS) wprowadź adres URL dokumentu zestawu kluczy internetowych JSON dostawcy tożsamości.

      Ten dokument zawiera klucze podpisywania, które służą do weryfikacji podpisów od dostawcy. Ten adres URL jest używany tylko wtedy, gdy Adres URL punktu końcowego profilu użytkownika (zalecany) nie jest skonfigurowany.

    4. W polu Adres URL punktu końcowego profilu użytkownika (zalecany) wprowadź punkt końcowy uzyskiwania informacji o tożsamości użytkownika.

      Jeśli ten adres URL nie zostanie określony, zamiast niego używany jest Adres URL zestawu kluczy internetowych JSON (JWKS).

    5. Opcjonalnie w polu Adres URL punktu końcowego wylogowania (opcjonalny) wprowadź adres URL punktu końcowego wylogowania serwera autoryzacji.

      Jest on używany do wylogowania członka z dostawcy tożsamości, gdy wylogowuje się on z systemu ArcGIS.

  13. Włącz przełącznik Wyślij token dostępu w nagłówku, jeśli token ma być wysyłany w nagłówku zamiast w ciągu znakowym zapytania.
  14. Opcjonalnie włącz przełącznik Użyj przepływu kodów autoryzacyjnych wzbogaconych o PKCE.

    Gdy ta opcja jest włączona, protokół Proof Key for Code Exchange (PKCE) jest używany do zwiększenia bezpieczeństwa przepływu kodów autoryzacyjnych OpenID Connect. Każde żądanie autoryzacji tworzy unikalny weryfikator kodu, a jego wartość po transformacji (wyzwanie kodu) jest wysyłana do serwera autoryzacji w celu uzyskania kodu autoryzacji. Metodą wyzwania kodu używaną na potrzeby tej transformacji jest S256, co oznacza, że wyzwanie kodu jest zakodowanym w formacie URL Base64 skrótem weryfikatora kodu powstałym przy użyciu algorytmu SHA-256.

  15. Aby ukończyć proces konfiguracji, skopiuj wygenerowany Identyfikator URI przekierowania logowania i Identyfikator URI przekierowania wylogowania (jeśli ma zastosowanie) i dodaj je do listy dozwolonych adresów URL wywołania zwrotnego dla dostawcy tożsamości OpenID Connect.
  16. Po zakończeniu działania kliknij przycisk Zapisz.

Modyfikowanie lub usuwanie dostawcy tożsamości OpenID Connect

Po skonfigurowaniu dostawcy tożsamości OpenID Connect możesz zaktualizować jego ustawienia, klikając opcję Skonfiguruj login obok obecnie zarejestrowanego dostawcy tożsamości. Zaktualizuj ustawienia w oknie Edycja loginu OpenID Connect.

Aby usunąć aktualnie zarejestrowanego dostawcę tożsamości, kliknij opcję Skonfiguruj logowanie obok dostawcy tożsamości i kliknij przycisk Usuń login w oknie Edycja loginu OpenID Connect.