Configurar inicios de sesión específicos de la organización, como inicios de sesión de OpenID Connect, permite a los miembros de su organización iniciar sesión en ArcGIS Enterprise utilizando los mismos inicios de sesión que utilizan para acceder a los sistemas internos de su organización. La ventaja de configurar inicios de sesión específicos de la organización con esta fórmula es que los miembros no necesitan crear inicios de sesión adicionales en el sistema de ArcGIS Enterprise, sino que pueden usar los que ya están configurados en la organización. Cuando los miembros inician sesión en ArcGIS Enterprise, introducen su nombre de usuario y su contraseña específicos de la organización en el administrador de inicio de sesión de la organización, también conocido como proveedor de identidad de la organización (IDP). Después de verificar las credenciales del miembro, el IDP informa a ArcGIS Enterprise de la identidad verificada del miembro que inicia sesión.
ArcGIS Enterprise admite el protocolo de autenticación OpenID Connect y se integra con IDP como Okta y Google que son compatibles con OpenID Connect.
Es posible configurar la página de inicio de sesión de su organización para mostrar solo el inicio de sesión de OpenID Connect, o bien mostrar el inicio de sesión de OpenID Connect junto con el inicio de sesión de ArcGIS y el inicio de sesión de SAML (si está configurado).
Definir inicios de sesión de OpenID Connect
El proceso de configuración de un IDP de OpenID Connect con ArcGIS Enterprise se describe a continuación. Antes de continuar, es recomendable que se ponga en contacto con el administrador del IDP para obtener los parámetros necesarios para la configuración. También puede acceder y contribuir a la documentación detallada de configuración de IDP de terceros en el repositorio de ArcGIS/idp GitHub.
- Compruebe que haya iniciado sesión como administrador de su organización.
- En la parte superior del sitio, haga clic en Organización y haga clic en la pestaña Configuración.
- Si tiene previsto permitir que los miembros se unan automáticamente, determine una configuración predeterminada para los nuevos miembros primero.
Si es necesario, puede cambiar esta configuración para miembros específicos después de que se unan a la organización.
- Haga clic en Opciones predeterminadas para miembros nuevos en el lado izquierdo de la página.
- Seleccione el rol y tipo de usuario predeterminados para los nuevos miembros.
- Seleccione las licencias complementarias que asignar automáticamente a los miembros cuando se unan a la organización.
- Seleccione los grupos a los que se van a agregar los miembros cuando se unan a la organización.
- Haga clic en Seguridad en el lateral de la página.
- En la sección Inicios de sesión, haga clic en Nuevo inicio de sesión de OpenID Connect.
- En el cuadro de etiqueta del botón Iniciar sesión, escriba el texto que desea que aparezca en el botón que los miembros utilizan para iniciar sesión con su inicio de sesión de OpenID Connect.
- Elija cómo se unirán los miembros con inicios de sesión de OpenID Connect a la organización: automáticamente o agregados por un administrador.
La opción automática permite a los miembros unirse a la organización iniciando sesión con sus datos de inicio de sesión OpenID Connect. La otra opción permite a los administradores agregar miembros a la organización. Si elige la opción automática, sigue pudiendo agregar miembros directamente mediante su Id. de OpenID Connect.
- En el cuadro Id. del cliente registrado, introduzca el Id. del cliente desde el IDP.
- En el cuadro Secreto de cliente registrado, introduzca el secreto de cliente desde el IDP.
- En el cuadro Ámbitos/permisos del proveedor, introduzca los ámbitos a enviar junto con la solicitud para el extremo de autorización.
Nota:
ArcGIS Enterprise admite ámbitos correspondientes a los atributos de identificador, correo electrónico y perfil de usuario de OpenID Connect. Puede utilizar el valor estándar de openid profile email para los ámbitos si lo permite su proveedor de OpenID Connect. Consulte los ámbitos admitidos en la documentación del proveedor de OpenID Connect. - En el cuadro Id. de emisor del proveedor, introduzca el identificador para el proveedor de OpenID Connect.
- Rellene las URL de IDP de OpenID Connect como se describe a continuación:
Sugerencia:
Consulte el documento de configuración conocido para el IDP (por ejemplo, en https:/[IdPdomain]/.well-known/openid-configuration) para obtener asistencia a la hora de rellenar la información que aparece a continuación.
- Para URL del extremo de autorización de OAuth 2.0, introduzca la URL del extremo de autorización de OAuth 2.0 del IDP.
- Para URL del extremo del token, introduzca la URL del extremo del token el IDP para obtener acceso y tokens del Id.
- Si lo desea, para URL del conjunto de claves web JSON (JWKS), introduzca la URL del documento del conjunto de claves web JSON del IDP.
Este documento contiene claves de firma que se utilizan para validar las firmas desde el proveedor. Esta URL solo se utiliza si la URL de extremo de perfil de usuario (recomendado) no está configurada.
- Para URL del extremo del perfil de usuario (recomendado), introduzca el extremo para obtener la información de identidad sobre el usuario.
Si no se especifica esta URL, se utiliza la URL de clave web JSON establecida (JWKS) en su lugar.
- Si lo desea, para URL de extremo de cierre de sesión (opcional), introduzca la URL del extremo de cierre de sesión del servidor de autorización.
Esto se utiliza para cerrar la sesión del miembro del IDP cuando el miembro cierra sesión de ArcGIS.
- Active el botón para alternar Enviar token de acceso en encabezado si desea que se envíe este token en un encabezado en lugar de una cadena de consulta.
- Si lo desea, active el botón de alternancia Utilizar flujo de código de autorización mejorado PKCE.
Cuando esta opción está activada, el protocolo Proof Key for Code Exchange (PKCE) se utiliza para hacer que el flujo del código de autorización de OpenID Connect sea más seguro. Cada solicitud de autorización crea un verificador de código único, y su valor transformado, el desafío del código, se envía al servidor de autorización para obtener el código de autorización. El método de desafío de código utilizado para esta transformación es S256, lo que significa que el desafío de código es un hash SHA-256 codificado en URL Base64 del verificador de código.
- Para completar el proceso de configuración, copie la URI de redireccionamiento de inicio de sesión generada y la URI de redireccionamiento de cierre de sesión (si corresponde) y agréguelas a la lista de URL de devolución de llamada permitidas para el IDP de OpenID Connect.
- Cuando haya terminado, haga clic en Guardar.
Modificar o eliminar el IDP OpenID Connect
Cuando haya configurado un IDP de OpenID Connect, puede actualizar su configuración haciendo clic en Configurar inicio de sesión situado junto al IDP registrado actualmente. Actualice su configuración en la ventana Editar inicio de sesión de OpenID Connect.
Para eliminar el IDP registrado actualmente, haga clic en el botón Configurar inicio de sesión situado junto al IDP y haga clic en Eliminar inicio de sesión en la ventana Editar inicio de sesión de OpenID Connect.
Nota:
No es posible eliminar un inicio de sesión de OpenID Connect hasta que se eliminen todos los miembros del proveedor.