La configurazione di accessi specifici dell'organizzazione, ad esempio OpenID Connect, consente ai membri dell'organizzazione di accedere a ArcGIS Enterprise utilizzando gli stessi accessi utilizzati per accedere ai sistemi interni dell'organizzazione. La configurazione di account di accesso specifici per un'organizzazione con questo approccio presenta un indubbio vantaggio. I membri infatti non devono più creare ulteriori account di accesso nel sistema ArcGIS Enterprise, ma possono utilizzare l'account di accesso già configurato con l'organizzazione. Quando i membri accedono a ArcGIS Enterprise, forniscono nome utente e password specifici dell'organizzazione nel gestore accessi dell'organizzazione, detto anche idP (Identity Provider). Alla verifica delle credenziali del membro, IdP informa ArcGIS Enterprise dell'identità verificata per il membro che sta effettuando l'accesso.
ArcGIS Enterprise supporta il protocollo di autenticazione OpenID Connect e si integra con IdP come Okta e Google che supportano OpenID Connect.
È possibile configurare la pagina di accesso dell'organizzazione in modo da mostrare solo l'accesso OpenID Connect o mostrare l'accesso OpenID Connect insieme all'accesso ArcGIS e l'accesso SAML (se configurato).
Installare account di accessoOpenID Connect
Il processo di configurazione di un IdP OpenID Connect con ArcGIS Enterprise è descritto di seguito. Prima di procedere, si consiglia di rivolgersi all'amministratore dell'IdP per ottenere i parametri indispensabili per la configurazione. È possibile, inoltre, accedere e contribuire alla documentazione della configurazione IDP di terzi dettagliata nel repository ArcGIS/idp GitHub.
- Verificare di aver effettuato l'accesso come amministratore dell'organizzazione.
- Nella parte superiore della schermata del sito, fare clic su Organizzazione e scegliere la scheda Impostazioni.
- Se intendi consentire ai membri di entrare automaticamente, configura prima le impostazioni predefinite per i nuovi membri.
Se necessario, è possibile modificare queste impostazioni per membri specifici dopo che si sono iscritti all'organizzazione.
- Fare clic su Predefinite dei nuovi membri sul lato della pagina.
- Selezionare il tipo di utente e ruolo predefinito per i nuovi membri.
- Selezionare le licenze aggiuntive da assegnare automaticamente ai membri quando si iscrivono all'organizzazione.
- Selezionare i gruppi ai quali verranno aggiunti i membri una volta iscritti all'organizzazione.
- Selezionare le categorie di membri ai quali verranno aggiunti i membri una volta iscritti all'organizzazione.
- Fare clic su Protezione sul lato della pagina.
- Nella sezione Accessi, fare clic su Impostare accesso ad OpenID Connect.
- Nella casella Etichetta pulsante Accesso, immettere il testo che si desidera che appaia sul pulsante che i membri utilizzano per accedere con le loro credenziali di accesso OpenID Connect.
- Scegliere in che modo i membri con account di accesso OpenID Connect potranno accedere all'organizzazione: automaticamente o aggiunto da un amministratore.
Con l'opzione automatica i membri possono accedere all'organizzazione effettuando l'accesso con il proprio account di accesso OpenID Connect. L'altra opzione consente agli amministratori di aggiungere membri alla propria organizzazione. Anche se si sceglie l'opzione automatica, si può comunque aggiungere membri direttamente usando il loro ID OpenID Connect. Per ulteriori informazioni, vedere Aggiungere membri al portale.
- Nella casella ID client registrato, inserisci l'ID cilent dell'IdP.
- Per Metodo di autenticazione, specifica uno dei seguenti:
- Segreto client - Indica il segreto client registrato dall'IdP.
- Chiave pubblica/Chiave privata - Scegli questa opzione per generare una chiave pubblica o un URL a chiave pubblica per l'autenticazione.
Nota:
La generazione di una nuova coppia di chiavi pubblica/privata invalida le chiavi pubbliche/private esistenti. Se la configurazione dell'IdP utilizza una chiave pubblica salvata invece dell'URL a chiave pubblica, la generazione di una nuova coppia di chiavi richiederà l'aggiornamento della chiave pubblica nella configurazione dell'IdP per evitare l'interruzione dell'accesso.
- Nella casella Ambiti/autorizzazioni provider, fornisci gli ambiti da inviare insieme alla richiesta all'endpoint di autorizzazione.
Nota:
ArcGIS Enterprise supporta ambiti che corrispondono all'identificativo OpenID Connect, all'e-mail e agli attributi del profilo utente. È possibile utilizzare il valore standard di openid profile emailper gli ambiti, se questo è supportato dal provider OpenID Connect. Fa riferimento alla documentazione del providerOpenID Connect per gli ambiti supportati. - Nella casella ID emittente provider, fornisci l'identificatore per il provider OpenID Connect.
- Compila gli URL si IdP OpenID Connect come segue:
Suggerimento:
Fai riferimento al documento di configurazione noto per l'IdP, ad esempio in https:/[IdPdomain]/.well-known/openid-configuration, per assistenza con la compilazione delle informazioni seguenti.
- Per URL endpoint di autorizzazione OAuth 2.0, fornisci l'URL dell'endpoint di autorizzazione OAuth 2.0 dell'IdP.
- Per URL endpoint token, fornisci l'URL dell'endpoint token dell'IdP per ottenere i token di accesso e ID.
- Facoltativamente, per RL JSON web key set (JWKS), forensci l'URL del documento JSON Web Key Set dell'IdP.
Questo documento contiene chiavi di accesso utilizzate per la convalida delle firme da parte del provider. L'URL viene utilizzato solo se non è configurato URL dell'endpoint del profilo utente (consigliato).
- Per URL endpoint profilo utente (consigliato), fornisci l'endpoint per ottenere le informazioni sull'identità dell'utente.
Se non si specifica questo URL, al suo posto si utilizza l'URL JSON web key set (JWKS).
- Opzionalmente, per URL endpoint di disconnessione (facoltativo), fornisci l'URL dell'endpoint di disconnessione del server di autorizzazione.
Viene utilizzato per disconnettere il membro dall'IdP quando tale membro esce da ArcGIS.
- Attivare il pulsante di selezione Inviare il token di accesso nell'intestazione se si preferisce che il token venga inviato a un'intestazione e non a una stringa di interrogazione.
- Se lo si desidera, abilitare il pulsante Utilizzare il flusso del codice di autorizzazione migliorato PKCE.
Quando questa opzione è abilitata, il Proof Key del protocollo Code Exchange (PKCE) viene utilizzato per rendere il flusso del codice di autorizzazione OpenID Connect più sicuro. Ogni richiesta di autorizzazione crea un verificatore di codice univoco, e il suo valore trasformato, il code challenge, viene inviato al server di autorizzazione per ottenere il codice di autorizzazione. Il metodo code challenge utilizzato per questa trasformazione è S256, che significa che il code challenge è codificato con Base64 URL, hash SHA-256 del verificatore del codice.
- Per Nome richiesta/campo nome utente ArcGIS è possibile anche fornire il nome della richiesta dal token ID che verrà utilizzato per configurare il nome utente ArcGIS.
Il valore fornito deve essere conforme ai requisiti dei nomi utente di ArcGIS. Un nome utente di ArcGIS deve contenere da 6 a 128 caratteri alfanumerici e può includere i seguenti caratteri speciali: . (punto), _ (carattere di sottolineatura) e @ (chiocciola). Non sono consentiti altri caratteri speciali, caratteri non alfanumerici e spazi.
Se si specifica un valore che include meno di sei caratteri o se il valore corrisponde a un nome utente esistente, al valore vengono aggiunti numeri. Se si lascia vuoto questo campo, il nome utente viene creato dal prefisso dell'email, se disponibile, altrimenti per creare il nome utente viene utilizzata la richiesta ID.
- Una volta terminato, fare clic su Salva.
- Fare clic sul link Configura accesso accanto a Accesso a OpenID Connect.
- Per completare il processo di configurazione, copia URI di reindirizzamento di accesso e URI di reindirizzamento di disconnessione (se applicabile) e aggiungili all'elenco di URL di richiamata consentiti per l'IdPOpenID Connect.
Modificare o rimuovere l'IdP di OpenID Connect
Una volta impostato un IdP di OpenID Connect, è possibile aggiornarne le impostazioni facendo clic su Configura accesso accanto all'IdP registrato. Aggiornare le impostazioni nella finestra Modificare accesso ad OpenID Connect.
Per rimuovere l'IdP registrato, fai clic su Configura accesso accanto all'IdP e fai clic su Elimina accesso nella finestra Modifica accesso OpenID Connect.
Nota:
Impossibile eliminare credenziali di accesso OpenID Connect finché non sono stati rimosso tutti i membri dal provider.