Установка учетных записей OpenID Connect

Настройка корпоративных учетных записей, таких как OpenID Connect, позволяет участникам вашей организации выполнять вход в ArcGIS Online с использованием тех же учетных данных, которые они используют для входа во внутренние системы вашей организации. Преимущество настройки корпоративных учетных записей заключается в том, что участникам не нужно создавать дополнительные учетные записи в системе ArcGIS Online, вместо этого они могут использовать те, которые уже настроены в их организации. Когда участники входят в ArcGIS Online, они вводят корпоративные имя пользователя и пароль непосредственно в менеджер корпоративных учетных записей, также известный как провайдер корпоративной аутентификации (IDP). После проверки имени пользователя провайдер корпоративной аутентификации передает в ArcGIS Online проверенные данные участника, выполняющего вход.

ArcGIS Online поддерживает протокол аутентификации OpenID Connect и интегрируется с такими провайдерами идентификации, как Okta и Google, которые поддерживают OpenID Connect.

Можно настроить страницу входа в ArcGIS Online, так, чтобы на ней отображалась только опция входа OpenID Connect, или показывать вход в OpenID Connect наряду с любыми из следующих опций: вход ArcGIS, вход SAML (если настроен) и вход через социальные сети (если настроены).

Настройка учетных записей OpenID Connect

Процесс настройки провайдера аутентификации OpenID Connect на работу с ArcGIS Online описан ниже. Перед продолжением рекомендуется связаться с администратором провайдера идентификации для получения параметров, необходимых для настройки. Вы можете также просматривать и использовать подробную документацию по конфигурации IDP сторонних организаций в репозитории ArcGIS/idp GitHub.

Примечание:

На данный момент можно настроить только один провайдер идентификации OpenID Connect для организации ArcGIS Online. Возможность настройки более одного провайдера идентификации будет поддерживаться в будущем.

  1. Убедитесь, что вы вошли в систему в качестве администратора вашей организации.
  2. Щелкните Организация вверху сайта, затем выберите вкладку Настройки.
  3. Если вы планируете разрешить автоматическое присоединение участников, сначала измените настройки по умолчанию для новых участников.

    Если необходимо, можно изменить эти настройки для определенных участников после их присоединения к организации.

    1. Щелкните Параметры по умолчанию для новых участников сбоку страницы.
    2. Выберите тип пользователя и роль по умолчанию для новых участников.
    3. Выберите добавочные лицензии для автоматического присвоения участникам при их присоединении к организации.
    4. Выберите группы, в которые будут добавлены участники при присоединении к организации.
    5. Если для организации включено управление кредитами, задайте распределение кредитов для каждого нового участника, указав определенное число кредитов или отсутствие ограничений.
    6. Выберите, хотите ли вы включить доступ к Esri для новых участников.

      Участник, учетная запись которого имеет доступ к Esri, может использовать My Esri, обучаться на курсах, участвовать в Esri Community, добавлять комментарии в ArcGIS Blog и управлять перепиской по email из Esri. Участники не могут самостоятельно включать или отключать себе доступ к этим ресурсам Esri.

  4. Щелкните Безопасность сбоку страницы.
  5. В разделе Учетные записи щелкните Новая учетная запись OpenID Connect.
  6. В поле Надпись для кнопки входа введите текст, который вы хотите отобразить на кнопке, используемой участниками для входа с помощью своей учетной записи OpenID Connect.
  7. Выберите, как участники с учетными записями OpenID Connect будут присоединяться к организации: автоматически или по приглашению.

    Автоматическое присоединение позволяет участникам присоединяться к организации при входе с указанием учетной записи OpenID Connect. С опцией приглашения вы создаете email-приглашения через ArcGIS Online, включающие инструкции по присоединению к организации. Если выбрано автоматическое присоединение, вы все равно имеете возможность приглашать участников присоединяться к организации или напрямую добавлять их с помощью их OpenID Connect ID.

  8. В поле ID зарегистрированного клиента введите ID клиента из провайдера идентификации.
  9. В поле Секрет зарегистрированного клиента введите секрет клиента из провайдера идентификации.
  10. В поле Возможности/права доступа провайдера введите области действия идентификатора, которые будут отправляться вместе с запросом на конечную точку авторизации.
    Примечание:

    ArcGIS Online поддерживает области, соответствующие идентификатору OpenID Connect, email и атрибутам профиля пользователя. Можно использовать стандартное значение openid profile email для областей, если это поддерживается провайдером OpenID Connect. Обратитесь к документации провайдера OpenID Connect для поддерживаемых областей.

  11. В поле ID отправителя провайдера введите идентификатор провайдера OpenID Connect.
  12. Заполните URL провайдера индентификации OpenID Connect следующим образом:
    Подсказка:

    Обратитесь к документу конфигурации провайдера идентификации (например, в https:/[IdPdomain]/.well-known/openid-configuration), если нужна помощь в заполнении приведенной ниже информации.

    1. Для URL конечной точки авторизации OAuth 2.0 введите URL конечной точки авторизации OAuth 2.0 провайдера идентификации.
    2. Для URL конечной точки токена введите URL конечной точки токена провайдера идентификации для получения токенов доступа и ID.
    3. Дополнительно, для URL задания конечной точки JSON (JWKS) введите URL документа задания конечной точки JSON провайдера идентификации.

      Этот документ содержит ключи подписи, которые используются для проверки подписей из провайдера. Этот URL используется только в том случае, если не настроен URL конечной точки профиля пользователя (рекомендуется).

    4. Для URL конечной точки профиля пользователя (рекомендуется) введите конечную точку для получения идентификационной информации о пользователе.

      Если этот URL не указан, используется URL задания конечной точки JSON (JWKS).

    5. Дополнительно, для URL конечной точки выхода введите URL конечной точки выхода сервера авторизации.

      Это используется для выхода участника из провайдера идентификации, когда он выходит из ArcGIS.

  13. Включите переключатель Отправить токен доступа в заголовке, если хотите, чтобы токен был отправлен в заголовке, а не в строке запроса.
  14. Дополнительно, включите переключатель Использование Authorization Code Flow с PKCE.

    Если эта опция включена, протокол Proof Key for Code Exchange (PKCE) используйется, чтобы сделать OpenID Connect authorization code flow более безопасным. Каждый запрос авторизации создает уникальный код верификации, а его преобразованное значение, контрольный код, отправляется серверу авторизации для получения кода авторизации. При преобразовании в контрольный код используется алгоритм S256, это означает, что код имеет формат URL-encoded на базе Base64, т.е. является хешем SHA-256 кода верификации.

  15. Чтобы завершить процесс конфигурации, скопируйте сгенерированный URI перенаправления входа и URI перенаправления выхода (если используется) и добавьте их в список разрешенных URL обратных вызовов для IDP OpenID Connect.
  16. Когда закончите, щелкните Сохранить.

Изменение или удаление провайдра идентификации OpenID Connect

Когда вы установите OpenID Connect IDP, вы cможете обновить его настройки, щелкнув Настройка учетной записи рядом с зарегистрированным в данный момент провайдером идентификации. Обновите настройки в окне Редактировать учетную запись OpenID Connect.

Чтобы удалить зарегистрированный в данный момент IDP, щелкните Настройка учетной записи рядом с этим IDP, а затем щелкните Удалить учетную запись в окне Редактировать учетную запись OpenID Connect.