OpenID Connect 로그인과 같은 기관별 로그인을 구성하면 기관의 구성원이 기관의 내부 시스템을 접근하는 데 사용한 것과 동일한 로그인을 사용하여 ArcGIS Enterprise에 로그인할 수 있습니다. 이 접근 방법을 사용하여 기관별 로그인을 설정하면 구성원이 ArcGIS Enterprise 시스템 내에서 추가 로그인을 생성할 필요 없이 해당 기관에 이미 설정된 로그인을 사용할 수 있다는 이점이 있습니다. 구성원은 ArcGIS Enterprise에 로그인할 때 기관의 ID 공급자(IDP)라고도 하는 기관의 로그인 관리자에 기관의 사용자 이름과 비밀번호를 입력합니다. 구성원의 자격 증명을 확인할 때 IDP는 로그인하려는 구성원의 확인된 ID를 ArcGIS Enterprise에 알립니다.
ArcGIS Enterprise은 OpenID Connect 인증 프로토콜을 지원하며 Okta를 지원하는 Google, OpenID Connect 등의 IDP와 통합됩니다.
OpenID Connect 로그인만 표시되거나 OpenID Connect 로그인이 ArcGIS 로그인 및 SAML 로그인(구성된 경우)과 함께 표시되도록 기관의 로그인 페이지를 구성할 수 있습니다.
OpenID Connect 로그인 설정
아래에서는 아래에서는 ArcGIS Enterprise에서 OpenID Connect IDP를 구성하는 프로세스에 대해 설명합니다. 계속 진행하기 전에 IDP 관리자에게 문의하여 구성에 필요한 매개변수를 얻는 것을 권장합니다. 또한 ArcGIS/idp GitHub 저장소에서 상세한 서드 파티 IDP 구성 문서에 접근하거나 이에 기여할 수도 있습니다.
- 내 기관의 관리자로 로그인되어 있는지 확인합니다.
- 사이트 상단에서 기관을 클릭한 다음 설정 탭을 클릭합니다.
- 구성원 자동 가입을 허용하려는 경우 먼저 새 구성원에 대한 기본 설정을 구성해야 합니다.
필요한 경우 기관에 가입되어 있는 구성원에 대해 이러한 설정을 변경할 수 있습니다.
- 페이지 옆쪽에서 새 구성원 기본값을 클릭합니다.
- 새 구성원의 기본 사용자 유형과 역할을 선택합니다.
- 구성원이 기관에 가입할 때 자동으로 할당받게 될 애드온 라이선스를 선택합니다.
- 구성원이 기관에 가입할 때 추가될 그룹을 선택합니다.
- 페이지 옆쪽에서 보안을 클릭합니다.
- 로그인 섹션에서 새 OpenID Connect 로그인을 클릭합니다.
- 로그인 버튼 레이블 상자에서 구성원이 OpenID Connect 로그인으로 로그인할 때 사용하는 버튼에 표시할 텍스트를 입력합니다.
- OpenID Connect 로그인을 가진 구성원이 기관에 가입하는 방법(자동 또는 관리자가 추가)을 선택합니다.
자동 옵션을 사용하면 구성원이 OpenID Connect 로그인으로 로그인하여 기관에 가입할 수 있습니다. 다른 옵션을 사용하면 관리자가 기관에 구성원을 추가할 수 있습니다. 자동 옵션을 선택하는 경우에도 OpenID Connect ID를 사용하여 구성원을 직접 추가할 수 있습니다.
- 등록된 클라이언트 ID 상자에 IDP의 클라이언트 ID를 입력합니다.
- 등록된 클라이언트 비밀번호 상자에 IDP의 클라이언트 비밀번호를 입력합니다.
- 공급자 범위/권한 상자에 요청과 함께 인증 끝점에 보낼 범위를 입력합니다.
비고:
ArcGIS Enterprise는 OpenID Connect 식별자, 이메일 및 사용자 프로필 속성에 해당하는 범위를 지원합니다. OpenID Connect 공급자가 지원하는 경우 범위에 대한 openid profile email의 표준 값을 사용할 수 있습니다. 지원되는 범위에 대한 OpenID Connect 공급자의 설명서를 참조하세요. - 공급자 발급자 ID 상자에 OpenID Connect 공급자의 식별자를 입력합니다.
- 다음과 같이 OpenID Connect IDP URL을 입력합니다.
팁:
아래 정보를 입력하는 데 도움을 받으려면 IDP에 대한 잘 알려진 구성 설명서(예시: https:/[IdPdomain]/.well-known/openid-configuration)를 참조하세요.
- OAuth 2.0 인증 끝점 URL에는 IDP OAuth 2.0 인증 끝점의 URL을 입력합니다.
- 토큰 끝점 URL에는 접근 및 ID 토큰을 가져오기 위한 IDP 토큰 끝점의 URL을 입력합니다.
- 필요에 따라 JSON 웹 키 세트(JWKS) URL에는 IDP JSON 웹 키 세트 문서의 URL을 입력합니다.
이 문서에는 공급자 서명의 유효성을 검사하는 데 사용한 서명 키가 포함됩니다. 사용자 프로필 끝점 URL(권장)이 구성되지 않은 경우에만 해당 URL이 사용됩니다.
- 사용자 프로필 끝점 URL(권장)에는 사용자에 대한 ID 정보를 가져오기 위해 끝점을 입력합니다.
이 URL을 지정하지 않은 경우 JSON 웹 키 세트(JWKS) URL이 대신 사용됩니다.
- 필요한 경우 로그아웃 끝점 URL(선택 사항)에는 인증 서버의 로그아웃 끝점 URL을 입력합니다.
구성원이 ArcGIS에서 로그아웃할 때 IDP에서 구성원을 로그아웃시키는 데 사용됩니다.
- 쿼리 문자열 대신 헤더에 토큰을 보내려면 헤더에 접근 토큰 전송 토글 버튼을 켭니다.
- 필요한 경우 PKCE 향상 인증 코드 흐름 사용 토글 버튼을 켭니다.
이 옵션을 켜면 보다 안전한 OpenID Connect 인증 코드 흐름을 위해 PKCE(Proof Key for Code Exchange) 프로토콜이 사용됩니다. 모든 인증 요청은 고유한 코드 검증자를 생성하며, 변환 값인 코드 챌린지는 인증 코드를 받기 위해 인증 부여 서버로 전송됩니다. 이 변환에 사용된 코드 챌린지 메소드는 S256이며, 이는 코드 챌린지가 코드 검증기의 Base64 URL로 인코딩된 SHA-256 해시임을 의미합니다.
- 구성 프로세스를 완료하려면 생성된 로그인 재전송 URI 및 로그아웃 재전송 URI(해당하는 경우)를 복사하고 이를 OpenID Connect IDP에 대해 허용되는 콜백 URL 목록에 추가합니다.
- 작업을 마쳤으면 저장을 클릭합니다.
OpenID Connect IDP 수정 또는 제거
OpenID Connect IDP를 설정한 경우 현재 등록된 IDP 옆의 로그인 구성을 클릭하여 설정을 업데이트할 수 있습니다. OpenID Connect 로그인 편집 창에서 설정을 업데이트합니다.
현재 등록된 IDP를 제거하려면 IDP 옆의 로그인 구성을 클릭하고 OpenID Connect 로그인 편집 창에서 로그인 삭제를 클릭합니다.
비고:
공급자의 모든 구성원이 제거될 때까지 OpenID Connect 로그인을 삭제할 수 없습니다.