OpenID Connect 로그인과 같은 기관별 로그인을 구성하면 기관의 구성원이 기관의 내부 시스템을 접근하는 데 사용한 것과 동일한 로그인을 사용하여 ArcGIS Enterprise에 로그인할 수 있습니다. 이 접근 방법을 사용하여 기관별 로그인을 설정하면 구성원이 ArcGIS Enterprise 시스템 내에서 추가 로그인을 생성할 필요 없이 해당 기관에 이미 설정된 로그인을 사용할 수 있다는 이점이 있습니다. 구성원은 ArcGIS Enterprise에 로그인할 때 기관의 ID 공급자(IdP)라고도 하는 기관의 로그인 관리자에 기관별 사용자 이름과 비밀번호를 입력합니다. 구성원의 자격 증명을 확인할 때 IdP는 로그인하려는 구성원의 확인된 ID를 ArcGIS Enterprise에 알립니다.
ArcGIS Enterprise는 OpenID Connect 인증 프로토콜을 지원하며 OpenID Connect를 지원하는 Okta, Google 등의 IdP와 통합됩니다.
OpenID Connect 로그인만 표시되거나 OpenID Connect 로그인이 ArcGIS 로그인 및 SAML 로그인(구성된 경우)과 함께 표시되도록 기관의 로그인 페이지를 구성할 수 있습니다.
OpenID Connect 로그인 설정
아래에서는 ArcGIS Enterprise에서 OpenID Connect IdP를 구성하는 프로세스에 대해 설명합니다. 계속 진행하기 전에 IdP 관리자에게 문의하여 구성에 필요한 매개변수를 얻는 것을 권장합니다. 또한 ArcGIS/idp GitHub 저장소에서 상세한 서드 파티 IdP 구성 문서에 접근하거나 이에 기여할 수도 있습니다.
- 내 기관의 관리자로 로그인되어 있는지 확인합니다.
- 사이트 상단에서 기관을 클릭한 다음 설정 탭을 클릭합니다.
- 구성원 자동 가입을 허용하려는 경우 먼저 새 구성원에 대한 기본 설정을 구성해야 합니다.
필요한 경우 기관에 가입되어 있는 구성원에 대해 이러한 설정을 변경할 수 있습니다.
- 페이지 옆쪽에서 새 구성원 기본값을 클릭합니다.
- 새 구성원의 기본 사용자 유형과 역할을 선택합니다.
- 구성원이 기관에 가입할 때 자동으로 할당받게 될 애드온 라이선스를 선택합니다.
- 구성원이 기관에 가입할 때 추가될 그룹을 선택합니다.
- 구성원이 기관에 가입할 때 추가될 구성원 범주를 선택합니다.
- 페이지 옆쪽에서 보안을 클릭합니다.
- 로그인 섹션에서 새 OpenID Connect 로그인을 클릭합니다.
- 로그인 버튼 레이블 상자에서 구성원이 OpenID Connect 로그인으로 로그인할 때 사용하는 버튼에 표시할 텍스트를 입력합니다.
- OpenID Connect 로그인을 가진 구성원이 기관에 가입하는 방법(자동 또는 관리자가 추가)을 선택합니다.
자동 옵션을 사용하면 구성원이 OpenID Connect 로그인으로 로그인하여 기관에 가입할 수 있습니다. 다른 옵션을 사용하면 관리자가 기관에 구성원을 추가할 수 있습니다. 자동 옵션을 선택하는 경우에도 OpenID Connect ID를 사용하여 구성원을 직접 추가할 수 있습니다. 자세한 내용은 포털에 구성원 추가를 참고하세요.
- 등록된 클라이언트 ID 상자에 IdP의 클라이언트 ID를 입력합니다.
- 인증 방법의 경우 다음 중 하나를 지정합니다.
- 클라이언트 비밀번호 - IdP의 등록된 클라이언트 비밀번호를 입력합니다.
- 공개 키/비공개 키 - 인증을 위해 공개 키 또는 공개 키 URL을 생성하려면 이 옵션을 선택합니다.
비고:
새 공개/비공개 키 쌍을 생성하면 기존의 공개/비공개 키가 무효화됩니다. IdP 구성에서 공개 키 URL 대신 저장된 공개 키를 사용하는 경우, 새 키 쌍을 생성하려면 로그인이 중단되지 않도록 IdP 구성에서 공개 키를 업데이트해야 합니다.
- 공급자 범위/권한 상자에 요청과 함께 인증 끝점에 보낼 범위를 입력합니다.
비고:
ArcGIS Enterprise는 OpenID Connect 식별자, 이메일 및 사용자 프로필 속성에 해당하는 범위를 지원합니다. OpenID Connect 공급자가 지원하는 경우 범위에 대한 openid profile email의 표준 값을 사용할 수 있습니다. 지원되는 범위에 대한 OpenID Connect 공급자의 설명서를 참조하세요. - 공급자 발급자 ID 상자에 OpenID Connect 공급자의 식별자를 입력합니다.
- 다음과 같이 OpenID Connect IdP URL을 입력합니다.
팁:
아래 정보를 입력하는 데 도움을 받으려면 IdP에 대한 잘 알려진 구성 문서(예시: https:/[IdPdomain]/.well-known/openid-configuration)를 참조하세요.
- OAuth 2.0 인증 끝점 URL에 IdP OAuth 2.0 인증 끝점의 URL을 입력합니다.
- 토큰 끝점 URL에 접근 및 ID 토큰을 가져오기 위한 IdP 토큰 끝점의 URL을 입력합니다.
- 필요에 따라 JSON 웹 키 세트(JWKS) URL에 IdP JSON 웹 키 세트 문서의 URL을 입력합니다.
이 문서에는 공급자 서명의 유효성을 검사하는 데 사용한 서명 키가 포함됩니다. 사용자 프로필 끝점 URL(권장)이 구성되지 않은 경우에만 해당 URL이 사용됩니다.
- 사용자 프로필 끝점 URL(권장)에 사용자에 대한 ID 정보를 가져오기 위한 끝점을 입력합니다.
이 URL을 지정하지 않은 경우 JSON 웹 키 세트(JWKS) URL이 대신 사용됩니다.
- 필요에 따라 로그아웃 끝점 URL(선택 사항)에 인증 서버의 로그아웃 끝점 URL을 입력합니다.
구성원이 ArcGIS에서 로그아웃할 때 IdP에서 구성원을 로그아웃시키는 데 사용됩니다.
- 쿼리 문자열 대신 헤더에 토큰을 보내려면 헤더에 접근 토큰 전송 토글 버튼을 켭니다.
- 필요한 경우 PKCE 향상 인증 코드 흐름 사용 토글 버튼을 켭니다.
이 옵션을 켜면 보다 안전한 OpenID Connect 인증 코드 흐름을 위해 PKCE(Proof Key for Code Exchange) 프로토콜이 사용됩니다. 모든 인증 요청은 고유한 코드 검증자를 생성하며, 변환 값인 코드 챌린지는 인증 코드를 받기 위해 인증 부여 서버로 전송됩니다. 이 변환에 사용된 코드 챌린지 메소드는 S256이며, 이는 코드 챌린지가 코드 검증기의 Base64 URL로 인코딩된 SHA-256 해시임을 의미합니다.
- 필요에 따라 ArcGIS 사용자 이름 필드/클레임 이름에 ArcGIS 사용자 이름을 설정하는 데 사용할 ID 토큰의 클레임 이름을 제공합니다.
제공하는 값은 ArcGIS 사용자 이름 요구 사항을 준수해야 합니다. ArcGIS 사용자 이름에는 6~128자의 영숫자를 포함해야 하며, .(점), _(밑줄), @(@ 기호)와 같은 특수 문자를 사용할 수 있습니다. 기타 특수 문자, 영숫자 이외의 문자 및 공백은 사용할 수 없습니다.
6자 미만의 값을 지정하거나 해당 값이 기존 사용자 이름과 일치하는 경우 해당 값에 숫자가 추가됩니다. 이 필드를 비워 두면 사용 가능한 경우 이메일 접두어에서 사용자 이름이 생성되며, 그렇지 않으면 ID 클레임이 사용자 이름을 생성하는 데 사용됩니다.
- 작업을 마쳤으면 저장을 클릭합니다.
- OpenID Connect 로그인 옆에 있는 로그인 구성 링크를 클릭합니다.
- 구성 프로세스를 완료하려면 생성된 로그인 재전송 URI 및 로그아웃 재전송 URI(해당하는 경우)를 복사하고 이를 OpenID Connect IdP에 대해 허용되는 콜백 URL 목록에 추가합니다.
OpenID Connect IdP 수정 또는 제거
OpenID Connect IdP를 설정한 경우 현재 등록된 IdP 옆의 로그인 구성을 클릭하여 설정을 업데이트할 수 있습니다. OpenID Connect 로그인 편집 창에서 설정을 업데이트합니다.
현재 등록된 IdP를 제거하려면 IdP 옆의 로그인 구성을 클릭하고 OpenID Connect 로그인 편집 창에서 로그인 삭제를 클릭합니다.
비고:
공급자의 모든 구성원이 제거될 때까지 OpenID Connect 로그인을 삭제할 수 없습니다.