La configurazione di credenziali di accesso specifiche per l'organizzazione, come le credenziali di accesso a OpenID Connect, consente ai membri dell'organizzazione di effettuare l'accesso ad ArcGIS Enterprise con gli stessi account di accesso usati per i sistemi interni dell'organizzazione. La configurazione di account di accesso specifici per un'organizzazione con questo approccio presenta un indubbio vantaggio. I membri infatti non devono più creare ulteriori account di accesso nel sistema ArcGIS Enterprise, ma possono utilizzare l'account di accesso già configurato con l'organizzazione. Quando i membri accedono a ArcGIS Enterprise inseriscono il loro nome utente e la loro password specifici dell'organizzazione nel gestore di accesso dell'organizzazione, noto anche come identity provider (IDP) dell'organizzazione. In seguito alla verifica delle credenziali del membro, il provider di identità informerà ArcGIS Enterprise che l'identità del membro è stata verificata.
ArcGIS Enterprise supporta il protocollo di autenticazione di OpenID Connect e si integra con IDP come Okta e Google che supportano OpenID Connect.
È possibile configurare la pagina di accesso dell'organizzazione in modo da mostrare solo l'accesso OpenID Connect o mostrare l'accesso OpenID Connect insieme all'accesso ArcGIS e l'accesso SAML (se configurato).
Installare account di accessoOpenID Connect
ll processo di configurazione di un OpenID Connect IDP con ArcGIS Enterprise è descritto di seguito. Prima di procedere, si consiglia di rivolgersi all'amministratore dell'IDP per ottenere i parametri indispensabili per la configurazione. È possibile, inoltre, accedere e contribuire alla documentazione di configurazione IDP di terzi dettagliata nel repository ArcGIS/idp GitHub.
- Verificare di aver effettuato l'accesso come amministratore dell'organizzazione.
- Nella parte superiore della schermata del sito, fare clic su Organizzazione e scegliere la scheda Impostazioni.
- Se si intende consentire ai membri di iscriversi automaticamente, innanzitutto configurare le impostazioni predefinite per i nuovi membri.
Se necessario, è possibile modificare queste impostazioni per membri specifici dopo che si sono iscritti all'organizzazione.
- Fare clic su Predefinite dei nuovi membri sul lato della pagina.
- Selezionare il tipo di utente e ruolo predefinito per i nuovi membri.
- Selezionare le licenze aggiuntive da assegnare automaticamente ai membri quando si iscrivono all'organizzazione.
- Selezionare i gruppi ai quali verranno aggiunti i membri una volta iscritti all'organizzazione.
- Fare clic su Protezione sul lato della pagina.
- Nella sezione Accessi, fare clic su Impostare accesso ad OpenID Connect.
- Nella casella Etichetta pulsante Accesso, immettere il testo che si desidera che appaia sul pulsante che i membri utilizzano per accedere con le loro credenziali di accesso OpenID Connect.
- Scegliere in che modo i membri con account di accesso OpenID Connect potranno accedere all'organizzazione: automaticamente o aggiunto da un amministratore.
Con l'opzione automatica i membri possono accedere all'organizzazione effettuando l'accesso con il proprio account di accesso OpenID Connect. L'altra opzione consente agli amministratori di aggiungere membri alla propria organizzazione. Anche se si sceglie l'opzione automatica, si può comunque aggiungere membri direttamente usando il loro ID OpenID Connect.
- Nella casella ID client registrato, immettere l'ID client dall'IDP.
- Nella casella Segreto client registrato, immettere il segreto client dall'IDP.
- Nella casella Ambiti/autorizzazioni provider, immettere gli ambiti da inviare insieme alla richiesta per l'endpoint di autorizzazione.
Nota:
ArcGIS Enterprise supporta ambiti che corrispondono all'identificativo OpenID Connect, all'e-mail e agli attributi del profilo utente. È possibile utilizzare il valore standard di openid profile emailper gli ambiti, se questo è supportato dal provider OpenID Connect. Fa riferimento alla documentazione del providerOpenID Connect per gli ambiti supportati. - Nella casella ID emittente provider, immettere l'identificatore per il provider OpenID Connect.
- Compilare gli URL dell'IDP di OpenID Connect come segue:
Suggerimento:
Fare riferimento al documento di configurazione noto per l'IDP (ad esempio, in https:/[IdPdomain]/.well-known/openid-configuration) per ricevere assistenza nella compilazione delle seguenti informazioni.
- Per URL dell'endpoint di autorizzazione OAuth 2.0, immettere l'URL dell'endpoint di autorizzazione 2.0 OAuth dell'IDP.
- Per URL dell'endpoint del token, immettere l'URL dell'endpoint del token dell'IDP per ottenere token di accesso e ID.
- Se lo si desidera, per URL JSON web key set (JWKS), immettere l'URL del documento JSON Web Key Set dell'IDP.
Questo documento contiene chiavi di accesso utilizzate per la convalida delle firme da parte del provider. L'URL viene utilizzato solo se non è configurato URL dell'endpoint del profilo utente (consigliato).
- Per URL dell'endpoint del profilo utente (consigliato), immettere l'endpoint per ottenere informazioni sull'identità dell'utente.
Se non si specifica questo URL, al suo posto si utilizza l'URL JSON web key set (JWKS).
- Se lo si desidera, per URL dell'endpoint di disconnessione (opzionale), immettere l'URL dell'endpoint di disconnessione del server di autorizzazione.
Questo viene utilizzato per disconnettere il membro dall'IDP quando tale membro esce da ArcGIS.
- Attivare il pulsante di selezione Inviare il token di accesso nell'intestazione se si preferisce che il token venga inviato a un'intestazione e non a una stringa di interrogazione.
- Se lo si desidera, abilitare il pulsante Utilizzare il flusso del codice di autorizzazione migliorato PKCE.
Quando questa opzione è abilitata, il Proof Key del protocollo Code Exchange (PKCE) viene utilizzato per rendere il flusso del codice di autorizzazione OpenID Connect più sicuro. Ogni richiesta di autorizzazione crea un verificatore di codice univoco, e il suo valore trasformato, il code challenge, viene inviato al server di autorizzazione per ottenere il codice di autorizzazione. Il metodo code challenge utilizzato per questa trasformazione è S256, che significa che il code challenge è codificato con Base64 URL, hash SHA-256 del verificatore del codice.
- Per completare il processo di configurazione, copiare l'URI di reindirizzamento del login generato e l'URI di reindirizzamento del logout (se applicabile) nella sezione Login, e aggiungerli all'elenco degli URL di callback consentiti per l'IDP OpenID Connect.
- Una volta terminato, fare clic su Salva.
Modificare o rimuovere l'IDP di OpenID Connect
Quando avete impostato un OpenID Connect IDP, puoi aggiornare le sue impostazioni cliccando su Configure login accanto all'IDP attualmente registrato. Aggiornare le impostazioni nella finestra Modificare accesso ad OpenID Connect.
Per rimuovere l'IDP attualmente registrato, fare clic sul pulsante Configurare accesso accanto all'IDP e fare clic su Eliminare accesso nella finestra Modificare accesso ad OpenID Connect.
Nota:
Impossibile eliminare credenziali di accesso OpenID Connect finché non sono stati rimosso tutti i membri dal provider.