A configuração de logins específicos da organização, como logins do OpenID Connect , permite aos membros de sua organização entrar no ArcGIS Online utilizando os mesmos logins utilizados para acessar os sistemas internos da sua organização. A vantagem de configurar logins específicos da organização utilizando esta abordagem é que membros não precisam criar logins adicionais dentro do sistema do ArcGIS Online ; pelo contrário, eles podem utilizar o login que já está configurado com a organização. Quando os membros entram no ArcGIS Online, eles fornecem seu nome de usuário e senha específicos da organização no gerenciador de login da sua organização, também conhecido como provedor de identidade da sua organização (IdP). Após a verificação das credenciais do membro, o IdP informa aoArcGIS Online da identidade verificada para o membro que está entrando.
O ArcGIS Online suporta o protocolo de autenticação do OpenID Connect e integra com IdPs como Okta e Google que suporta OpenID Connect.
Você pode configurar a página de registro do ArcGIS Online para mostrar somente o login do OpenID Connect ou mostrar o login do OpenID Connect junto com quaisquer das seguintes opções: login do ArcGIS, login de SAML (se configurado) e logins sociais (se configurado).
Configure os logins do OpenID Connect
O processo para configurar um IdP do OpenID Connect com ArcGIS Online está descrito abaixo. Antes de continuar, é recomendado que você entre em contato com o administrador do seu IdP para obter os parâmetros necessários para configuração. Você também pode acessar e contribuir para a documentação detalhada de configuração do IdP de terceiros no repositório de GitHub do ArcGIS/idp.
Anotação:
No momento, você pode configurar somente um IdP do OpenID Connect para sua organização do ArcGIS Online. A capacidade de configurar mais de um IdP será suportada no futuro.
- Verifique se você está registrado como um administrador da sua organização.
- No parte superior do site, clique em Organização e clique na guia Configurações.
- Se você planeja permitir que os membros entrem automaticamente sem enviar convites, primeiro defina as configurações padrão para novos membros. Caso contrário, pule esta etapa.
Se necessário, você pode alterar estas configurações para membros específicos após eles participarem da organização.
- Clique em Novos padrões do membro no lado da página.
- Selecione o tipo de usuário padrão e papel para novos membros.
- Selecione as licenças complementares para atribuir aos membros automaticamente quando eles participarem da organização.
- Selecione os grupos nos quais os membros serão adicionados quando eles participarem da organização.
- Se o orçamento de crédito for habilitado para organização, configure a alocação de crédito de cada novo membro para um número especificado de créditos ou nenhum limite.
- Escolha se deseja habilitar o acesso da Esri para novos membros.
Um membro cuja conta tem acesso habilitado da Esri pode utilizar My Esri, realizar cursos de treinamento, participar de Esri Community, adicionar comentários ao ArcGIS Blog, e gerencie comunicações de e-mail da Esri. O membro não pode habilitar ou desabilitar seu próprio acesso para estes recursos da Esri .
- Clique em Segurança no lado da página.
- Na seção Logins , clique em Novo Login de Conexão do OpenID.
- Na caixa Rótulo do botão Login, digite o texto que deseja que apareça no botão que os membros usam para entrar com seu login do OpenID Connect .
- Escolha como membros com logins do OpenID Connect participarão da sua organização: automaticamente ou por um convite.
A opção Automaticamente permite que membros participem da organização ao entrarem com seu login do OpenID Connect. Com a opção Mediante convite de um administrador, você gera convites por e-mail do ArcGIS Online que incluem instruções sobre como ingressar na organização. Se você escolher a opção Automaticamente, você poderá ainda convidar membros para participar da organização ou adicioná-los diretamente utilizando seu ID do OpenID Connect. Para obter mais informações, consulte Convidar e adicionar membros.
- Na caixa ID de cliente registrado, forneça o ID de cliente do IdP.
- Para Método de autenticação, especifique um dos seguintes:
- Segredo do cliente—Forneça o segredo do cliente registrado do IdP.
- Chave pública / Chave privada—Escolha esta opção para gerar uma chave pública ou uma URL de chave pública para autenticação.
Anotação:
A geração de um novo par de chaves pública/privada invalida qualquer chave pública/privada existente. Se a sua configuração de IdP usar uma chave pública salva em vez da URL de chave pública, a geração de um novo par de chaves exigirá que você atualize a chave pública em sua configuração de IdP para evitar interrupções de registro.
- Na caixa Escopos/permissões do provedor, forneça os escopos a serem enviados junto com a solicitação para o terminal de autorização.
Anotação:
O ArcGIS Online suporta escopos correspondentes aos atributos de identificador OpenID Connect, email e perfil de usuário. Você pode usar o valor padrão de openid profile email para escopos se for compatível com seu provedor OpenID Connect. Consulte a documentação do seu provedor OpenID Connect para os escopos suportados.
- Na caixa ID do emissor do provedor, forneça o identificador do provedor OpenID Connect.
- Preencha as URLs de IdP do OpenID Connect como segue:
Dica:
Consulte o documento de configuração conhecido para o IdP—por exemplo, em https:/[IdPdomain]/.well-known/openid-configuration—para obter assistência com o preenchimento das informações abaixo.
- Para URL do parâmetro de autorização do OAuth 2.0, forneça a URL do parâmetro de autorização do OAuth 2.0 do IdP.
- Para URL de parâmetro do token, forneça a URL de parâmetro do IdP para obter acesso e tokens de ID.
- Opcionalmente, para a URL do conjunto de chaves da web de JSON (JWKS), forneça a URL do documento Conjunto de Chaves da Web de JSON do IdP.
Este documento contém chaves de assinatura usadas para validar as assinaturas do provedor. Esta URL é usada apenas se a URL de parâmetro do perfil de usuário (recomendado) não estiver configurada.
- Para URL do parâmetro do perfil de usuário (recomendado), forneça o parâmetro para obter informações de identidade sobre o usuário.
Se você não especificar esta URL, a opção Conjunto de chaves da web JSON (JWKS) URL será usado.
- Opcionalmente, para a URL do parâmetro da saída (opcional), forneça a URL do parâmetro de saída do servidor de autorização.
Isso é usado para desconectar o membro do IdP quando o membro sai do ArcGIS.
- Ative o botão de alternar Enviar token de acesso no cabeçalho, se desejar que o token seja enviado em um cabeçalho, em vez de em uma string de consulta.
- Opcionalmente, desative o botão Usar Fluxo de Código de Autorização melhorado do PKCE.
Quando essa opção está ativada, o protocolo Proof Key for Code Exchange (PKCE) é usado para tornar o fluxo do código de autorização do OpenID Connect mais seguro. Cada pedido de autorização cria um verificador de código exclusivo e seu valor transformado, o desafio de código, é enviado ao servidor de autorização para obter o código de autorização. O método de desafio de código usado para essa transformação é S256, o que significa que o desafio de código é um hash SHA-256 codificado por URL de Base64 do verificador de código.
- Opcionalmente, habilite o botão Habilitar associação de grupo baseada em login do OpenID Connect para permitir que os membros vinculem grupos baseados em OpenID Connect especificados para grupos ArcGIS Online groups durante o processo de criação do grupo.
Quando você habilita esta opção, os membros da organização com o privilégio de vincular a grupos do OpenID Connect têm a opção de criar um grupo do ArcGIS Online cuja associação é controlada por um provedor de identidade OpenID Connect gerenciado externamente. Após um grupo ser vinculado com sucesso a um grupo baseado em OpenID Connect externo, a associação de cada usuário no grupo é definida na resposta de reivindicação de gruposOpenID Connect recebida do provedor de identidade sempre que o usuário entra.
Para garantir que o grupo do ArcGIS Online esteja vinculado com sucesso ao grupo OpenID Connect externo, o criador do grupo deve fornecer o valor exato do grupo OpenID Connect externo, retornado como o valor de atributo na reivindicação do grupo OpenID Connect. Visualize a resposta da reivindicação de grupos do seu provedor de identidade OpenID Connect para determinar o valor usado para fazer referência ao grupo.
Se você habilitar o botão Habilitar associação de grupo baseada em login do OpenID Connect, certifique-se de adicionar o escopo de grupos na caixa Escopos/permissões do provedor. Consulte a documentação do seu provedor OpenID Connect para os escopos suportados.
- Opcionalmente, para Reivindicação de nome de usuário do ArcGIS, forneça o nome da reivindicação do token de ID que será usado para configurar o nome de usuário do ArcGIS.
O valor que você fornece deve estar de acordo com os requisitos de nome de usuário do ArcGIS. Um nome de usuário do ArcGIS deve conter de 6 a 128 caracteres alfanuméricos e pode incluir os seguintes caracteres especiais: . (ponto), _ (underscore) e @ (arroba). Outros caracteres especiais, caracteres não alfanuméricos e espaços não são permitidos.
Se você especificar um valor com menos de seis caracteres ou se o valor corresponder a um nome de usuário existente, os números serão adicionados ao valor. Se você deixar este campo em branco, o nome de usuário será criado a partir do prefixo do e-mail, se disponível; caso contrário, a declaração de ID é usada para criar o nome de usuário.
- Se você estiver usando um login do OpenID Connect, mantenha o atributo identificador de assunto padrão (sub) enviado no token de ID do provedor OpenID Connect como o identificador do usuário. Se você precisar usar uma reivindicação personalizada para o identificador do usuário, forneça o nome da reivindicação do token de ID que será usado para configurar o identificador do usuário.
Anotação:
A reivindicação do identificador do usuário deve ser configurada apenas uma vez durante a configuração inicial do login do OpenID Connect. Se você alterar o identificador do usuário após configurar o login do OpenID Connect, seja do padrão para um valor personalizado ou de um valor personalizado para outro, as contas de usuário criadas antes da alteração não funcionarão mais.
- Ao finalizar, clique em Salvar.
- Clique no link Configurar login próximo do Login OpenID Connect.
- Para concluir o processo de configuração, copie a URI de Redirecionamento de Login e URI de Redirecionamento de Logout (se aplicável) geradas, e adicione-as à lista de URLs de retorno da solicitação permitidas para o IdP do OpenID Connect. Se aplicável, copie a chave pública ou a URL da chave pública do IdP OpenID Connect.
Modificar ou remover o IdP do OpenID Connect
Após configurar um IdP do OpenID Connect, é possível atualizar suas configurações clicando em Configurar login ao lado do IdP atualmente registrado. Atualize suas configurações na janela de login Editar OpenID Connect.
Para remover o IdP registrado atualmente, clique em Configurar login ao lado do IdP e clique em Excluir login na janela Editar Login de Conexão do OpenID.
Anotação:
Um login OpenID Connect não pode ser excluído até que todos os membros do provedor sejam removidos.