Skip To Content

Configurare account di accessoOpenID Connect

La configurazione di credenziali di accesso specifiche per l'organizzazione, come le credenziali di accesso a OpenID Connect, consente ai membri dell'organizzazione di effettuare l'accesso ad ArcGIS Enterprise con gli stessi account di accesso usati per i sistemi interni dell'organizzazione. La configurazione di account di accesso specifici per un'organizzazione con questo approccio presenta un indubbio vantaggio. I membri infatti non devono più creare ulteriori account di accesso nel sistema ArcGIS Enterprise, ma possono utilizzare l'account di accesso già configurato con l'organizzazione. Per accedere ad ArcGIS Enterprise, i membri devono quindi immettere nome utente e password specifici dell'organizzazione direttamente dall’applicazione di gestione degli accessi dell'organizzazione, conosciuta anche come provider di identità (IDP) dell'organizzazione. In seguito alla verifica delle credenziali del membro, il provider di identità informerà ArcGIS Enterprise che l'identità del membro è stata verificata.

ArcGIS Enterprise supporta il protocollo di autenticazione di OpenID Connect e si integra con IDP come Okta e Google che supportano OpenID Connect.

È possibile configurare la pagina di accesso dell'organizzazione in modo da mostrare solo l'accesso OpenID Connect o mostrare l'accesso OpenID Connect insieme all'accesso ArcGIS e l'accesso SAML (se configurato).

Installare account di accessoOpenID Connect

ll processo di configurazione di un OpenID Connect IDP con ArcGIS Enterprise è descritto di seguito. Prima di procedere, si consiglia di rivolgersi all'amministratore dell'IDP per ottenere i parametri indispensabili per la configurazione. È possibile, inoltre, accedere e contribuire alla documentazione di configurazione IDP di terzi dettagliata nel repository ArcGIS/idp GitHub.

Nota:

Allo stato attuale, solo un IDP OpenID Connect può essere configurato per la propria organizzazione ArcGIS Enterprise. In futuro sarà supportata la possibilità di configurare più di un IDP.

  1. Verificare di aver effettuato l'accesso come amministratore dell'organizzazione.
  2. Nella parte superiore della schermata del sito, fare clic su Organizzazione e scegliere la scheda Impostazioni.
  3. Se si intende consentire ai membri di iscriversi automaticamente, innanzitutto configurare le impostazioni predefinite per i nuovi membri. Se necessario, è possibile modificare queste impostazioni per membri specifici dopo che si sono iscritti all'organizzazione.
    1. Fare clic su Predefinite dei nuovi membri sul lato della pagina.
    2. Selezionare il tipo di utente e ruolo predefinito per i nuovi membri.
    3. Selezionare le licenze aggiuntive da assegnare automaticamente ai membri quando si iscrivono all'organizzazione.
    4. Selezionare i gruppi ai quali verranno aggiunti i membri una volta iscritti all'organizzazione.
  4. Fare clic su Protezione sul lato della pagina.
  5. Nella sezione Accessi, fare clic su Impostare accesso ad OpenID Connect.
  6. Nella casella Etichetta pulsante Accesso, immettere il testo che si desidera che appaia sul pulsante che i membri utilizzano per accedere con le loro credenziali di accesso OpenID Connect.
  7. Scegliere in che modo i membri con account di accesso OpenID Connect potranno accedere all'organizzazione: automaticamente o aggiunto da un amministratore. Con l'opzione automatica i membri possono accedere all'organizzazione effettuando l'accesso con il proprio account di accesso OpenID Connect. L'altra opzione consente agli amministratori di aggiungere membri alla propria organizzazione. Anche se si sceglie l'opzione automatica, si può comunque aggiungere membri direttamente usando il loro ID OpenID Connect.
  8. Nella casella ID client registrato, immettere l'ID client dall'IDP.
  9. Nella casella Segreto client registrato, immettere il segreto client dall'IDP.
  10. Nella casella Ambiti/autorizzazioni provider, immettere gli ambiti da inviare insieme alla richiesta per l'endpoint di autorizzazione.

    Nota:
    ArcGIS Enterprise supporta ambiti che corrispondono all'identificativo OpenID Connect, all'e-mail e agli attributi del profilo utente. È possibile utilizzare il valore standard di openid profile emailper gli ambiti, se questo è supportato dal provider OpenID Connect. Fa riferimento alla documentazione del providerOpenID Connect per gli ambiti supportati.

  11. Nella casella ID emittente provider, immettere l'identificatore per il provider OpenID Connect.
  12. Compilare gli URL dell'IDP di OpenID Connect come segue:
    Suggerimento:

    Fare riferimento al documento di configurazione noto per l'IDP (ad esempio, in https:/[IdPdomain]/.well-known/openid-configuration) per ricevere assistenza nella compilazione delle seguenti informazioni.

    1. Per URL dell'endpoint di autorizzazione OAuth 2.0, immettere l'URL dell'endpoint di autorizzazione 2.0 OAuth dell'IDP.
    2. Per URL dell'endpoint del token, immettere l'URL dell'endpoint del token dell'IDP per ottenere token di accesso e ID.
    3. Per URL JSON web key set (JWKS), se lo si desidera, immettere l'URL del documento JSON Web Key Set dell'IDP. Questo documento contiene chiavi di accesso utilizzate per la convalida delle firme da parte del provider. L'URL viene utilizzato solo se non è configurato URL dell'endpoint del profilo utente (consigliato).
    4. Per URL dell'endpoint del profilo utente (consigliato), immettere l'endpoint per ottenere informazioni sull'identità dell'utente. Se non si specifica questo URL, al suo posto si utilizza l'URL JSON web key set (JWKS).
    5. Per URL dell'endpoint di disconnessione (opzionale), se lo si desidera, immettere l'URL dell'endpoint di disconnessione del server di autorizzazione. Questo viene utilizzato per disconnettere il membro dall'IDP quando tale membro esce da ArcGIS.
  13. Attivare il pulsante di selezione Inviare il token di accesso nell'intestazione se si preferisce che il token venga inviato a un'intestazione e non a una stringa di interrogazione.
  14. Per completare il processo di configurazione, copiare l'URI di reindirizzamento del login generato e l'URI di reindirizzamento del logout (se applicabile) nella sezione Login, e aggiungerli all'elenco degli URL di callback consentiti per l'IDP OpenID Connect.
  15. Una volta terminato, fare clic su Salva.

Modificare o rimuovere l'IDP di OpenID Connect

Una volta configurato un IDP di OpenID Connect, è possibile aggiornare le sue impostazioni facendo clic sul pulsante Configurare accesso accanto all'IDP attualmente registrato. Aggiornare le impostazioni nella finestra Modificare accesso ad OpenID Connect.

Per rimuovere l'IDP attualmente registrato, fare clic sul pulsante Configurare accesso accanto all'IDP e fare clic su Eliminare accesso nella finestra Modificare accesso ad OpenID Connect.

Nota:

Impossibile eliminare credenziali di accesso OpenID Connect finché non sono stati rimosso tutti i membri dal provider.