تكوين تسجيلات الدخول الخاصة بالمؤسسة مثل تسجيلات دخول OpenID Connect يتيح لأعضاء مؤسستك تسجيل الدخول إلى ArcGIS Enterprise باستخدام نفس تسجيلات الدخول المُستخدَمة للوصول إلى الأنظمة الداخلية للمؤسسة. إن ميزة إعداد عمليات تسجيل الدخول إلى المؤسسة باستخدام هذا المنهج هي أن الأعضاء ليسوا بحاجة إلى إنشاء عمليات تسجيل دخول إضافية داخل نظام ArcGIS Enterprise عوضًا عن ذلك، يمكنهم استخدام عملية تسجيل الدخول التي تم إعدادها بالفعل في المؤسسة. عند تسجيل دخول الأعضاء إلى ArcGIS Enterprise، يُدخلون اسم المستخدم وكلمة المرور الخاصين بمؤسستهم في مدير تسجيل الدخول الخاص بمؤسستك، والمعروف أيضًا باسم موفر هوية مؤسستك (IdP). عند التحقق من بيانات اعتماد العضو، يقوم موفر الهوية بإبلاغ ArcGIS Enterprise بهوية العضو الذي يسجل الدخول والتي تم التحقق منها.
يدعم ArcGIS Enterprise بروتوكول مصادقة OpenID Connect ويتكامل مع موفري هوية مثل Okta وGoogle الذين يدعمان OpenID Connect.
يمكنك تكوين صفحة تسجيل الدخول الخاصة بمؤسستك لتعرض فقط تسجيل الدخول إلى OpenID Connect، أو تعرض تسجيل الدخول إلى OpenID Connect وتسجيل دخول ArcGIS وتسجيل دخول SAML (إذا تم تكوينه).
إعداد عمليات تسجيل الدخول إلى OpenID Connect
فيما يلي وصف لعملية تكوين موفر هوية OpenID Connect باستخدام ArcGIS Enterprise أدناه. قبل المتابعة، من المستحسن الاتصال بمسؤول موفر الهوية للحصول على البارامترات المطلوبة للتكوين. يمكنك أيضا الوصول إلى وثائق تكوين موفر الهوية التفصيلية لجهة خارجية والمساهمة فيها في مستودع ArcGIS/idp GitHub.
- تأكد من تسجيل الدخول كمسؤول في المؤسسة.
- في أعلى الموقع، انقر على المؤسسة وانقر على علامة تبويب الإعدادات .
- إذا كنت تخطط للسماح للأعضاء بالانضمام تلقائيًا، فقم بتكوين الإعدادات الافتراضية للأعضاء الجدد أولاً.
إذا لزم الأمر، يمكنك تغيير هذه الإعدادات لأعضاء محددين بعد انضمامهم إلى المؤسسة.
- انقر فوق الإعدادات الافتراضية للعضو الجديد على جانب الصفحة.
- حدد نوع المستخدم الافتراضي ودوره للأعضاء الجدد.
- حدد تراخيص الوظيفة الإضافية لتعيين الأعضاء تلقائيًا عند انضمامهم إلى المؤسسة.
- حدد المجموعات التي سيُضاف إليها الأعضاء عندما ينضمون إلى المؤسسة.
- حدد فئات الأعضاء التي ستتم إضافة الأعضاء إليها عند انضمامهم إلى المؤسسة.
- انقر فوق الأمان على جانب الصفحة.
- في قسم عمليات تسجيل الدخول، انقر فوق تسجيل الدخول إلى OpenID Connect الجديد.
- في مربع تسمية زر تسجيل الدخول اكتب النص الذي تريده أن يظهر على الزر الذي يستخدمه الأعضاء لتسجيل الدخول عند تسجيل دخولهم إلى OpenID Connect.
- اختر كيفية تسجل دخول الأعضاء ممن لديهم عمليات تسجيل دخول إلى OpenID Connect للانضمام إلى مؤسسة: تلقائيًا أو تمت إضافتهم من قبل أحد المسؤولين.
يسمح الخيار التلقائي للأعضاء بالانضمام إلى المؤسسة عن طريق عمليات تسجيل الدخول إلى OpenID Connect. يتيح الاختيار الآخر للمسؤولين إضافة الأعضاء إلى المؤسسة. إذا اخترت الخيار التلقائي، فيمكن أن تظل تضيف الأعضاء مباشرة باستخدام معرف OpenID Connect. لمزيد من المعلومات، راجع إضافة أعضاء إلى بوابتك الإلكترونية.
- في مربع معرف العميل المسجل، أدخِل معرف العميل من موفر الهوية.
- بالنسبة لطريقة المصادقة، حدد واحدًا مما يلي:
- سر العميل—أدخل سر العميل المسجل من IdP.
- المفتاح العام / المفتاح الخاص—حدد هذا الخيار لإنشاء مفتاح عام أو عنوان URL للمفتاح العام للمصادقة.
ملاحظة:
إن إنشاء زوج مفاتيح عام / خاص جديد يؤدي إلى إبطال أي مفاتيح عامة / خاصة موجودة. إذا كان تكوين IdP الخاص بك تستخدم مفتاحًا عامًا محفوظًا بدلاً من عنوان URL للمفتاح العام، فإن إنشاء زوج مفاتيح جديد سيتطلب منك تحديث المفتاح العام في تكوين IdP لمنع تعطيل تسجيل الدخول.
- في مربع مجالات/أذونات الموفر أدخل النطاقات لإرسالها مع الطلب إلى نقطة نهاية التخويل.
ملاحظة:
يدعم ArcGIS Enterprise النطاقات المتوافقة مع معرف OpenID Connect والبريد الإلكتروني وجداول بيانات ملف تعريف المستخدم. قد تستخدم القيمة القياسية لـ openid profile email للنطاقات إذا كانت مدعومة من قبل موفر OpenID Connect الخاص بك. راجع وثائق موفر OpenID Connect الخاص بك لمعرفة النطاقات المدعومة. - في مربع معرف جهة إصدار الموفر أدخِل المعرف الخاص بموفر OpenID Connect.
- املأ عناوين URL لموفري هوية OpenID Connect كما يلي:
تلميح:
ارجع إلى وثيقة التكوين المعروفة لموفر الهوية، كالموجودة في https:/[IdPdomain]/.well-known/openid-configuration على سبيل المثال، للمساعدة في ملء المعلومات أدناه.
- بالنسبة إلى عنوان URL الخاص بنقطة نهاية تخويل OAuth 2.0، أدخل عنوان URL الخاصة بنقطة نهاية تخويل OAuth 2.0 لموفر الهوية.
- بالنسبة إلى عنوان URL الخاص بنقطة نهاية الرمز المميز، أدخل عنوان URL الخاص بنقطة نهاية الرمز المميز لموفر الهوية للحصول على حق الوصول والرموز المميزة للهوية.
- اختياريًا، بالنسبة إلى عنوان URL الخاص بتعيين مفتاح ويب JSON (JWKS)، أدخل عنوان URL الخاص بمستند تعيين مفتاح ويب JSON الخاص بموفر الهوية.
يحتوي هذا المستند على مفاتيح توقيع يتم استخدامها للتحقق من صحة التوقيعات من الموفر. يُستخدم عنوان URL هذا فقط إذا لم يتم تكوين عنوان URL لنقطة نهاية ملف تعريف المستخدم (موصى به).
- بالنسبة لعنوان URL الخاص بنقطة نهاية الملف التعريفي للمستخدم (موصى به)، أدخل نقطة النهاية للحصول على معلومات عن المستخدم.
إذا لم تحدد عنوان URL هذا، فسيتم استخدام عنوان URL لمجموعة مفاتيح JSON (JWKS) بدلاً من ذلك.
- اختياريًا، بالنسبة لعنوان URL الخاص بنقطة نهاية تسجيل الخروج (اختياري)، أدخل عنوان URL الخاص بنقطة نهاية تسجيل الخروج الخاصة بخادم التخويل.
يُستخدم هذا لتسجيل خروج العضو من موفر الهوية عندما يقوم العضو بتسجيل الخروج من ArcGIS.
- قم بتشغيل زر تبديل إرسال رمز الوصول في رأس الصفحة إذا كنت تريد إرسال الرمز المميز في العنوان بدلاً من سلسلة استعلام.
- اختياريًا، شغل زر التبديل استخدام تدفق رمز التخويل المحسن PKCE.
عند تشغيل هذا الخيار، يُستخدم بروتوكول مفتاح الإثبات لتبادل الأكواد (PKCE) لجعل كود تخويل OpenID Connect يتدفق بصورة أكثر أمانًا. يُنشئ كل طلب تخويل مؤكد كود فريدًا، وقيمته المتحولة، تحدي الكود، تُرسل إلى خادم التخويل للحصول على كود تخويل. طريقة تحدي الكود المستخدمة لهذا التحويل هي S256، ما يعني أن تحدي الكود هو عنوان URL مشفر من النوع Base64، وتجزئة SHA-256 لمؤكد الكود.
- اختياريًا، بالنسبة إلى حقل اسم مستخدم ArcGIS/اسم المطالبة، قم بتوفير اسم المطالبة من الرمز المميز للمعرف الذي سيتم استخدامه لإعداد اسم مستخدم ArcGIS.
يجب أن تلتزم القيمة التي تقدمها بمتطلبات اسم مستخدم ArcGIS. يجب أن يحتوي اسم مستخدم ArcGIS على 6 إلى 128 حرفًا أبجديًا رقميًا ويمكن أن يتضمن الأحرف الخاصة التالية:. (نقطة) و_ (شرطة سفلية) و @ (علامة @). غير مسموح بالأحرف الخاصة الأخرى والأحرف غير الأبجدية والمسافات.
إذا حددت قيمة تحتوي على أقل من ستة أحرف، أو إذا كانت القيمة تتطابق مع اسم مستخدم موجود، فستتم إضافة الأرقام إلى القيمة. إذا تركت هذا الحقل فارغًا، فسيتم إنشاء اسم المستخدم من بادئة البريد الإلكتروني إن وجدت؛ خلاف ذلك، يتم استخدام مطالبة المعرف لإنشاء اسم المستخدم.
- عند الانتهاء من ذلك، انقر فوق حفظ.
- انقر فوق رابط تكوين تسجيل الدخول بجوار تسجيل الدخول إلى OpenID Connect.
- لاستكمال عملية التكوين، انسخ معرف URI لإعادة توجيه تسجيل الدخول الذي تم إنشاؤه ومعرف URI لإعادة توجيه تسجيل الخروج (إن أمكن)، وأضفهما إلى قائمة عناوين URL لرد الاتصال المسموح بها لمعرف هوية OpenID Connect.
تعديل أو إزالة موفر هوية OpenID Connect
عند إعدادك موفر هوية OpenID Connect، يمكنك تحديث الإعدادات الخاصة به من خلال النقر فوق تكوين تسجيل الدخول بجوار موفر الهوية المسجل حاليًا. قم بتحديث الإعدادات الخاصة بك في نافذة تحرير تسجيل الدخول إلى OpenID Connect.
لإزالة موفر الهوية المسجل حاليًا، انقر فوق تكوين تسجيل الدخول بجوار موفر الهوية وانقر فوق حذف تسجيل الدخول في نافذة تحرير تسجيل الدخول إلى OpenID Connect.
ملاحظة:
لا يمكن حذف تسجيل دخول OpenID Connect حتى تتم إزالة جميع الأعضاء من الموفر.