Configurar inicios de sesión específicos de la organización, como inicios de sesión de OpenID Connect, permite a los miembros de su organización iniciar sesión en ArcGIS Enterprise utilizando los mismos inicios de sesión que utilizan para acceder a los sistemas internos de su organización. La ventaja de configurar inicios de sesión específicos de la organización con esta fórmula es que los miembros no necesitan crear inicios de sesión adicionales en el sistema de ArcGIS Enterprise, sino que pueden usar los que ya están configurados en la organización. Cuando los miembros inician sesión en ArcGIS Enterprise, introducen su nombre de usuario y su contraseña específicos de la organización en el administrador de inicio de sesión de la organización, también conocido como proveedor de identidad (IdP) de la organización. Después de verificar las credenciales del miembro, el IdP informa a ArcGIS Enterprise de la identidad verificada del miembro que inicia sesión.
ArcGIS Enterprise admite el protocolo de autenticación OpenID Connect y se integra con IdP como Okta y Google que son compatibles con OpenID Connect.
Es posible configurar la página de inicio de sesión de su organización para mostrar solo el inicio de sesión de OpenID Connect, o bien mostrar el inicio de sesión de OpenID Connect junto con el inicio de sesión de ArcGIS y el inicio de sesión de SAML (si está configurado).
Definir inicios de sesión de OpenID Connect
El proceso de configuración de un IDP de OpenID Connect con ArcGIS Enterprise se describe a continuación. Antes de continuar, es recomendable que se ponga en contacto con el administrador del IdP para obtener los parámetros necesarios para la configuración. También puede acceder y contribuir a la documentación detallada de configuración de IdP de terceros en el repositorio de ArcGIS/idp GitHub.
- Compruebe que haya iniciado sesión como administrador de su organización.
- En la parte superior del sitio, haga clic en Organización y haga clic en la pestaña Configuración.
- Si tiene previsto permitir que los miembros se unan automáticamente, determine una configuración predeterminada para los nuevos miembros primero.
Si es necesario, puede cambiar esta configuración para miembros específicos después de que se unan a la organización.
- Haga clic en Opciones predeterminadas para miembros nuevos en el lado izquierdo de la página.
- Seleccione el rol y tipo de usuario predeterminados para los nuevos miembros.
- Seleccione las licencias complementarias que asignar automáticamente a los miembros cuando se unan a la organización.
- Seleccione los grupos a los que se van a agregar los miembros cuando se unan a la organización.
- Seleccione las categorías de miembros a las que se van a agregar los miembros cuando se unan a la organización.
- Haga clic en Seguridad en el lateral de la página.
- En la sección Inicios de sesión, haga clic en Nuevo inicio de sesión de OpenID Connect.
- En el cuadro de etiqueta del botón Iniciar sesión, escriba el texto que desea que aparezca en el botón que los miembros utilizan para iniciar sesión con su inicio de sesión de OpenID Connect.
- Elija cómo se unirán los miembros con inicios de sesión de OpenID Connect a la organización: automáticamente o agregados por un administrador.
La opción automática permite a los miembros unirse a la organización iniciando sesión con sus datos de inicio de sesión OpenID Connect. La otra opción permite a los administradores agregar miembros a la organización. Si elige la opción automática, sigue pudiendo agregar miembros directamente mediante su Id. de OpenID Connect. Para obtener más información, consulte Agregar miembros al portal.
- En el cuadro Id. de cliente registrado, introduzca el Id. de cliente desde el IdP.
- En Método de autenticación, especifique una de las opciones siguientes:
- Secreto de cliente: proporcione el secreto de cliente registrado desde el IDP.
- Clave pública/clave privada: elija esta opción para generar una URL de clave pública o privada para la autenticación.
Nota:
La generación de un nuevo par de claves públicas/privadas invalida las claves públicas/privadas existentes. Si su configuración de IdP usa una clave pública guardada en lugar de la URL de la clave pública, la generación de un nuevo par de claves requerirá que actualice la clave pública en su configuración de IdP para impedir la interrupción del inicio de sesión.
- En el cuadro Alcances/permisos de proveedor, introduzca los alcances a enviar junto con la solicitud al extremo de autorización.
Nota:
ArcGIS Enterprise admite ámbitos correspondientes a los atributos de identificador, correo electrónico y perfil de usuario de OpenID Connect. Puede utilizar el valor estándar de openid profile email para los ámbitos si lo permite su proveedor de OpenID Connect. Consulte los ámbitos admitidos en la documentación del proveedor de OpenID Connect. - En el cuadro Id. de emisor del proveedor, introduzca el identificador para el proveedor de OpenID Connect.
- Rellene las URL de IdP de OpenID Connect como se describe a continuación:
Sugerencia:
Consulte el documento de configuración conocido para el IdP (por ejemplo, en https:/[IdPdomain]/.well-known/openid-configuration) para obtener asistencia a la hora de rellenar la información que aparece a continuación.
- Para URL del extremo de autorización de OAuth 2.0, introduzca la URL del extremo de autorización de OAuth 2.0 del IdP.
- Para URL del extremo del token, introduzca la URL del extremo del token el IDP para obtener acceso y tokens de Id.
- Si lo desea, para URL del conjunto de claves web JSON (JWKS), introduzca la URL del documento del conjunto de claves web JSON del IdP.
Este documento contiene claves de firma que se utilizan para validar las firmas desde el proveedor. Esta URL solo se utiliza si la URL de extremo de perfil de usuario (recomendado) no está configurada.
- Para URL del extremo del perfil de usuario (recomendado), introduzca el extremo para obtener la información de identidad sobre el usuario.
Si no se especifica esta URL, se utiliza la URL de clave web JSON establecida (JWKS) en su lugar.
- Si lo desea, para URL de extremo de cierre de sesión (opcional), introduzca la URL del extremo de cierre de sesión del servidor de autorización.
Esto se utiliza para cerrar la sesión del miembro del IdP cuando el miembro cierra sesión de ArcGIS.
- Active el botón para alternar Enviar token de acceso en encabezado si desea que se envíe este token en un encabezado en lugar de una cadena de consulta.
- Si lo desea, active el botón de alternancia Utilizar flujo de código de autorización mejorado PKCE.
Cuando esta opción está activada, el protocolo Proof Key for Code Exchange (PKCE) se utiliza para hacer que el flujo del código de autorización de OpenID Connect sea más seguro. Cada solicitud de autorización crea un verificador de código único, y su valor transformado, el desafío del código, se envía al servidor de autorización para obtener el código de autorización. El método de desafío de código utilizado para esta transformación es S256, lo que significa que el desafío de código es un hash SHA-256 codificado en URL Base64 del verificador de código.
- Si lo desea, en Nombre de reclamo/campo de nombre de usuario de ArcGIS, proporcione el nombre del reclamo del token de Id. que se utilizará para configurar el nombre de usuario de ArcGIS.
El valor que proporcione debe cumplir los requisitos de nombre de usuario de ArcGIS. Un nombre de usuario de ArcGIS debe contener entre 6 y 128 caracteres alfanuméricos y puede incluir los siguientes caracteres especiales: . (punto), _ (guion bajo) y @ (arroba). No se permiten otros caracteres especiales, caracteres no alfanuméricos ni espacios.
Si especifica un valor con menos de seis caracteres o si el valor coincide con un nombre de usuario existente, se agregan números al valor. Si deja en blanco este campo, el nombre de usuario se crea a partir del prefijo del correo electrónico si está disponible; de lo contrario, se usa el reclamo de Id. para crear el nombre de usuario.
- Cuando haya terminado, haga clic en Guardar.
- Haga clic en el vínculo Configurar inicio de sesión junto al inicio de sesión de OpenID Connect.
- Para completar el proceso de configuración, copie la URI de redireccionamiento de inicio de sesión generada y la URI de redireccionamiento de cierre de sesión (si corresponde) y agréguelas a la lista de URL de devolución de llamada permitidas para el IdP de OpenID Connect.
Modificar o eliminar el IdP OpenID Connect
Cuando haya configurado un IdP de OpenID Connect, puede actualizar su configuración haciendo clic en Configurar inicio de sesión situado junto al IdP registrado actualmente. Actualice su configuración en la ventana Editar inicio de sesión de OpenID Connect.
Para eliminar el IsP registrado actualmente, haga clic en el botón Configurar inicio de sesión situado junto al IsP y haga clic en Eliminar inicio de sesión en la ventana Editar inicio de sesión de OpenID Connect.
Nota:
No es posible eliminar un inicio de sesión de OpenID Connect hasta que se eliminen todos los miembros del proveedor.