Настройка учетных записей OpenID Connect

Настройка корпоративных учетных записей, таких как OpenID Connect, позволяет участникам вашей организации выполнять вход в ArcGIS Online с использованием тех же учетных данных, которые они используют для входа во внутренние системы вашей организации. Преимущество настройки корпоративных учетных записей заключается в том, что участникам не нужно создавать дополнительные учетные записи в системе ArcGIS Online, вместо этого они могут использовать те, которые уже настроены в их организации. Когда участники входят в ArcGIS Online, они вводят корпоративные имя пользователя и пароль непосредственно в менеджер корпоративных учетных записей, также известный как провайдер корпоративной аутентификации (IDP). После проверки имени пользователя провайдер корпоративной аутентификации передает в ArcGIS Online проверенные данные участника, выполняющего вход.

ArcGIS Online поддерживает протокол аутентификации OpenID Connect и интегрируется с такими провайдерами идентификации, как Okta и Google, которые поддерживают OpenID Connect.

Можно настроить страницу входа в ArcGIS Online, чтобы на ней отображалась только опция входа с помощью корпоративной учетной записи OpenID Connect или показывать учетную запись OpenID Connect наряду с любыми из следующих опций: учетная запись ArcGIS, учетная запись SAML (если настроена) и социальные сети (если настроены).

Настройка учетных записей OpenID Connect

Процесс настройки провайдера идентификации OpenID Connect с ArcGIS Online описан ниже. Перед продолжением рекомендуется связаться с администратором провайдера идентификации для получения параметров, необходимых для настройки.

Примечание:

На данный момент может быть настроен только один провайдер идентификации OpenID Connect для организации ArcGIS Online. Возможность настройки более одного провайдера идентификации будет поддерживаться в будущем.

  1. Убедитесь, что вы вошли в систему в качестве администратора вашей организации ArcGIS Online.
  2. Щелкните Организация вверху сайта, затем выберите вкладку Настройки.
  3. Если вы планируете разрешить автоматическое присоединение участников, сначала измените настройки по умолчанию для новых участников. Если необходимо, можно изменить эти настройки для определенных участников после их присоединения к организации.
    1. Щелкните Параметры по умолчанию для новых участников в левой части страницы.
    2. Выберите тип пользователя и роль по умолчанию для новых участников.
    3. Выберите добавочные лицензии для автоматического присвоения участникам при их присоединении к организации.
    4. Выберите группы, в которые будут добавлены участники при присоединении к организации.
    5. Если для организации включено управление кредитами, задайте распределение кредитов для каждого нового участника, указав определенное число кредитов или отсутствие ограничений.
    6. Выберите, хотите ли вы включить доступ к Esri для новых участников.

      Участник, учетная запись которого имеет доступ к Esri, может использовать My Esri, учебные курсы, участвовать в Сообществе и форумах (GeoNet), добавлять комментарии в ArcGIS Blog и управлять email-перепиской с Esri. Сами участники не могут включать или отключать доступ к этим ресурсам Esri.

  4. Щелкните Безопасность в левой части страницы.
  5. В разделе Учетные записи для Учетная запись OpenID Connect нажмите Настроить учетную запись OpenID Connect.
  6. В поле Надпись для кнопки входа введите текст, который вы хотите отобразить на кнопке, используемой участниками для входа с помощью своей учетной записи OpenID Connect.
  7. Выберите, как участники с учетными записямиOpenID Connect будут присоединяться к организации ArcGIS Online – автоматически или по приглашению. Автоматическое присоединение позволяет участникам присоединяться к организации при входе с указанием учетной записи OpenID Connect. С опцией приглашения вы создаете email-приглашения через ArcGIS Online, включающие инструкции по присоединению к организации. Если выбрано автоматическое присоединение, вы все равно имеете возможность приглашать участников присоединяться к организации и напрямую добавлять их с помощью их OpenID Connect ID.
  8. В поле ID зарегистрированного клиента введите ID клиента из провайдера идентификации.
  9. В поле Секрет зарегистрированного клиента введите секрет клиента из провайдера идентификации.
  10. В поле Возможности/права доступа провайдера введите области действия идентификатора, которые будут отправляться вместе с запросом на конечную точку авторизации. В противном случае области действия профиля электронной почты отправляются по умолчанию.
  11. В поле ID отправителя провайдера введите идентификатор провайдера OpenID Connect.
  12. Заполните URL провайдера индентификации OpenID Connect следующим образом:
    Подсказка:

    Обратитесь к документу конфигурации провайдера идентификации (например, в https:/[IdPdomain]/.well-known/openid-configuration), если нужна помощь в заполнении приведенной ниже информации.

    1. Для URL конечной точки авторизации OAuth 2.0 введите URL конечной точки авторизации OAuth 2.0 провайдера идентификации.
    2. Для URL конечной точки токена введите URL конечной точки токена провайдера идентификации для получения токенов доступа и ID.
    3. Для URL задания конечной точки JSON (JWKS) дополнительно введите URL документа задания конечной точки JSON провайдера идентификации. Этот документ содержит ключи подписи, которые используются для проверки подписей из провайдера. Этот URL используется только в том случае, если не настроен URL конечной точки профиля пользователя (рекомендуется).
    4. Для URL конечной точки профиля пользователя (рекомендуется) введите конечную точку для получения идентификационной информации о пользователе. Если этот URL не указан, используется URL задания конечной точки JSON (JWKS).
    5. Для URL конечной точки выхода (дополнительно) дополнительно введите URL конечной точки выхода сервера авторизации. Это используется для выхода участника из провайдера идентификации, когда он выходит из ArcGIS.
  13. Включите переключатель Отправить токен доступа в заголовке, если хотите, чтобы токен был отправлен в заголовке, а не в строке запроса.
  14. По завершении нажмите Сохранить.
  15. Чтобы завершить процесс конфигурации, скопируйте сгенерированный URI перенаправления входа и URI перенаправления выхода (если используется) из раздела Учетные записи и добавьте их в список URL обратных вызовов для IDP OpenID Connect.

Изменение или удаление провайдра идентификации OpenID Connect

Если провайдер идентификации OpenID Connect настроен, вы можете обновить его настройки, нажав кнопку РедактироватьРедактировать рядом с текущим зарегистрированным провайдером идентификации . Обновите настройки в окне Редактировать учетную запись OpenID Connect.

Чтобы удалить текущий зарегистрированный провайдер идентификации, щелкните кнопку Редактировать Редактировать рядом с провайдером идентификации и затем Удалить учетную запись в окне Редактировать учетную запись OpenID Connect.