Установка учетных записей OpenID Connect

Настройка учетных записей определенной организации, таких как OpenID Connect, позволяет участникам вашей организации выполнять вход в ArcGIS Online с использованием тех же учетных данных, которые они используют для входа во внутренние системы вашей организации. Преимущество настройки учетных записей определенной организации заключается в том, что участникам не нужно создавать дополнительные учетные записи в системе ArcGIS Online, вместо этого они могут использовать те, которые уже настроены в их организации. Когда участники входят в ArcGIS Online, они вводят имя пользователя и пароль для организации в менеджер учетных записей организации, также известный как провайдер аутентификации организации (IdP). После проверки учетных данных пользователя провайдер аутентификации организации передает в ArcGIS Online проверенные данные участника, выполняющего вход.

ArcGIS Online поддерживает протокол аутентификации OpenID Connect и интегрируется с такими провайдерами идентификации, как Okta и Google, которые поддерживают OpenID Connect.

Можно настроить страницу входа в ArcGIS Online, так, чтобы на ней отображалась только опция входа OpenID Connect, или показывать вход в OpenID Connect наряду с любыми из следующих опций: вход ArcGIS, вход SAML (если настроен) и вход через социальные сети (если настроены).

Настройка учетных записей OpenID Connect

Процесс настройки провайдера аутентификации OpenID Connect на работу с ArcGIS Online описан ниже. Перед продолжением рекомендуется связаться с администратором провайдера идентификации для получения параметров, необходимых для настройки. Вы можете также просматривать и использовать подробную документацию по конфигурации IDP сторонних организаций в репозитории ArcGIS/idp GitHub.

Примечание:

На данный момент может быть настроен только один провайдер идентификации OpenID Connect для организации ArcGIS Online. Возможность настройки более одного провайдера идентификации будет поддерживаться в будущем.

  1. Убедитесь, что вы вошли в систему в качестве администратора вашей организации.
  2. Щелкните Организация вверху сайта, затем выберите вкладку Настройки.
  3. Если вы планируете разрешить автоматическое присоединение участников без рассылки приглашений, сначала измените настройки по умолчанию для новых участников. Иначе пропустите следующий шаг.

    Если необходимо, можно изменить эти настройки для определенных участников после их присоединения к организации.

    1. Щелкните Параметры по умолчанию для новых участников сбоку страницы.
    2. Выберите тип пользователя и роль по умолчанию для новых участников.
    3. Выберите добавочные лицензии для автоматического присвоения участникам при их присоединении к организации.
    4. Выберите группы, в которые будут добавлены участники при присоединении к организации.
    5. Если для организации включено управление кредитами, задайте распределение кредитов для каждого нового участника, указав определенное число кредитов или отсутствие ограничений.
    6. Выберите, хотите ли вы включить доступ к Esri для новых участников.

      Участник, учетная запись которого имеет доступ к Esri, может использовать My Esri, обучаться на курсах, участвовать в Esri Community, добавлять комментарии в ArcGIS Blog и управлять перепиской по email из Esri. Участники не могут самостоятельно включать или отключать себе доступ к этим ресурсам Esri.

  4. Щелкните Безопасность сбоку страницы.
  5. В разделе Учетные записи щелкните Новая учетная запись OpenID Connect.
  6. В поле Надпись для кнопки входа введите текст, который вы хотите отобразить на кнопке, используемой участниками для входа с помощью своей учетной записи OpenID Connect.
  7. Выберите, как участники с учетными записями OpenID Connect будут присоединяться к организации: автоматически или по приглашению.

    Опция Автоматически позволяет участникам присоединяться к организации при входе с указанием учетной записи OpenID Connect. С опцией По приглашению от администратора вы создаете email-приглашения через ArcGIS Online, включающие инструкции по присоединению к организации. Если выбрано Автоматически, вы все равно имеете возможность приглашать участников присоединяться к организации или напрямую добавлять их с помощью их OpenID Connect ID. Дополнительные сведения см. в разделе Приглашение и добавление участников.

  8. В поле ID зарегистрированного клиента введите ID клиента из провайдера идентификации.
  9. Для Метода аутентификации укажите одно из следующего:
    • Секрет клиента - укажите зарегистрированный секрет клиента от IdP.
    • Открытый ключ / закрытый ключ - выберите этот вариант, чтобы сгенерировать открытый ключ или URL-адрес открытого ключа для аутентификации.
      Примечание:

      Создание новой пары открытого/закрытого ключа делает недействительными все существующие открытые/закрытые ключи. Если конфигурация IdP использует сохраненный открытый ключ вместо URL закрытого ключа, создание новой пары ключей потребует обновить открытый ключ в конфигурации IdP, чтобы избежать проблем при входе.

  10. В поле Возможности/права доступа провайдера введите области действия идентификатора, которые будут отправляться вместе с запросом на конечную точку авторизации.
    Примечание:

    ArcGIS Online поддерживает области, соответствующие идентификатору OpenID Connect, email и атрибутам профиля пользователя. Можно использовать стандартное значение openid profile email для областей, если это поддерживается провайдером OpenID Connect. Обратитесь к документации провайдера OpenID Connect для поддерживаемых областей.

  11. В поле ID отправителя провайдера введите идентификатор провайдера OpenID Connect.
  12. Заполните URL провайдера индентификации OpenID Connect следующим образом:
    Подсказка:

    Обратитесь к документу конфигурации провайдера идентификации (например, в https:/[IdPdomain]/.well-known/openid-configuration), если вам нужна помощь в заполнении приведенной ниже информации.

    1. Для URL конечной точки авторизации OAuth 2.0 введите URL конечной точки авторизации OAuth 2.0 провайдера идентификации.
    2. Для URL конечной точки токена введите URL конечной точки токена провайдера идентификации для получения токенов доступа и ID.
    3. Дополнительно, для URL задания конечной точки JSON (JWKS) введите URL документа задания конечной точки JSON провайдера идентификации.

      Этот документ содержит ключи подписи, которые используются для проверки подписей из провайдера. Этот URL используется только в том случае, если не настроен URL конечной точки профиля пользователя (рекомендуется).

    4. Для URL конечной точки профиля пользователя (рекомендуется) введите конечную точку для получения идентификационной информации о пользователе.

      Если этот URL не указан, используется URL задания конечной точки JSON (JWKS).

    5. Дополнительно, для URL конечной точки выхода (опционально) введите URL конечной точки выхода сервера авторизации.

      Это используется для выхода участника из провайдера идентификации, когда он выходит из ArcGIS.

  13. Включите переключатель Отправить токен доступа в заголовке, если хотите, чтобы токен был отправлен в заголовке, а не в строке запроса.
  14. Дополнительно, включите переключатель Использование Authorization Code Flow с PKCE.

    Если эта опция включена, протокол Proof Key for Code Exchange (PKCE) используйется, чтобы сделать OpenID Connect authorization code flow более безопасным. Каждый запрос авторизации создает уникальный код верификации, а его преобразованное значение, контрольный код, отправляется серверу авторизации для получения кода авторизации. При преобразовании в контрольный код используется алгоритм S256, это означает, что код имеет формат URL-encoded на базе Base64, т.е. является хешем SHA-256 кода верификации.

  15. При необходимости переключите кнопку Включить участие в группах на основе входа в систему OpenID Connect, чтобы разрешить участникам связывать указанные группы на основе OpenID Connect с ArcGIS Online группами во время процесса создания группы.

    Если вы включите этот параметр, участники организации, имеющие право связываться с группами OpenID Connect, смогут создать ArcGIS Online группу, участие в которой контролируется внешним провайдером аутентификации, управляемым OpenID Connect. После того как группа будет успешно связана с внешней группой на основе OpenID Connect, участие каждого пользователя в группе определяется в ответе на утверждение группы OpenID Connect, полученным от провайдера аутентификации при каждом входе этого пользователя.

    Чтобы убедиться, что группа ArcGIS Online успешно связана со внешней группой OpenID Connect, основатель группы должен ввести точное значение внешней группы OpenID Connect, возвращаемое, как значение атрибута утверждения группы OpenID Connect. Посмотрите ответ утверждения группы от своего провайдера аутентификации OpenID Connect, чтобы определить значение, используемое для обозначения группы.

    Если вы переключите кнопку Включить участие в группах на основе входа в систему OpenID Connect, обязательно добавьте область действия групп в поле Области/разрешения провайдера. Обратитесь к документации провайдера OpenID Connect для поддерживаемых областей.

  16. Дополнительно для ArcGIS username field/claim name укажите имя утверждения из токена ID, который будет использоваться для настройки имени пользователя ArcGIS.

    Введенное вами значение должно соответствовать требованиям к имени пользователя ArcGIS. Имя пользователя ArcGIS должно содержать от 6 до 128 буквенно-цифровых символов и может включать следующие специальные символы: . (точка), _ (подчеркивание) и @ (при знаке). Другие специальные символы, символы, не являющиеся буквенно-цифровыми, а также пробелы не допускаются.

    Если вы указываете значение, содержащее менее шести символов, или если значение совпадает с существующим именем пользователя, к значению добавляются числа. Если вы оставите это поле пустым, имя пользователя будет создано из префикса электронной почты, если он доступен; в противном случае для создания имени пользователя используется утверждение ID.

  17. Когда закончите, щелкните Сохранить.
  18. Щелкните ссылку Настройка учетной записи рядом с Учетной записью OpenID Connect.
  19. Чтобы завершить процесс конфигурации, скопируйте сгенерированный URI перенаправления входа и URI перенаправления выхода (если используется) и добавьте их в список разрешенных URL обратных вызовов для IDP OpenID Connect. Если применимо, скопируйте открытый ключ или URL-адрес открытого ключа для OpenID Connect IdP.

Изменение или удаление провайдра идентификации OpenID Connect

Когда вы установите OpenID Connect IdP, вы cможете обновить его настройки, щелкнув Настройка учетной записи рядом с зарегистрированным в данный момент провайдером идентификации. Обновите настройки в окне Редактировать учетную запись OpenID Connect.

Чтобы удалить зарегистрированный в данный момент IdP, щелкните Настройка учетной записи рядом с этим IdP, а затем щелкните Удалить учетную запись в окне Редактировать учетную запись OpenID Connect.

Примечание:

Имя пользователя OpenID Connect не может быть удалено до тех пор, пока из провайдера не будут удалены все участники.