Skonfigurowanie loginów specyficznych dla instytucji, takich jak loginy OpenID Connect pozwala członkom instytucji logować się w usłudze ArcGIS Enterprise przy użyciu tych samych danych logowania, których używają do uzyskania dostępu do systemów informacyjnych przedsiębiorstwa. Zaletą konfiguracji loginów specyficznych dla instytucji zgodnie z opisaną procedurą jest brak konieczności tworzenia przez członków dodatkowych danych logowania w usłudze ArcGIS Enterprise. Zamiast tego mogą oni korzystać z danych logowania zdefiniowanych w instytucji. Podczas logowania do usługi ArcGIS Enterprise członkowie wprowadzają specyficzne dla instytucji nazwę użytkownika i hasło bezpośrednio w pola menedżera logowania instytucji, nazywanego również dostawcą tożsamości instytucji. Po weryfikacji poświadczeń członka dostawca tożsamości przesyła do usługi ArcGIS Enterprise informację dotyczącą zweryfikowanej tożsamości logującego się członka.
Usługa ArcGIS Enterprise obsługuje protokół uwierzytelniania OpenID Connect i integruje się z dostawcami tożsamości, takimi jak Okta i Google, którzy obsługują protokół OpenID Connect.
Można skonfigurować stronę logowania instytucji w taki sposób, aby zawierała tylko login OpenID Connect lub login OpenID Connect z loginem ArcGIS i loginem SAML (jeśli jest skonfigurowany).
Konfigurowanie loginów OpenID Connect
Proces konfigurowania dostawcy tożsamości OpenID Connect w oprogramowaniu ArcGIS Enterprise został opisany poniżej. Przed przystąpieniem do wykonywania opisywanych czynności zalecane jest skontaktowanie się z administratorem dostawcy tożsamości w celu uzyskania parametrów niezbędnych w procesie konfiguracji. Szczegółowa dokumentacja konfiguracji zewnętrznych dostawców tożsamości, do której można uzyskać dostęp i którą można współtworzyć, znajduje się w repozytorium GitHub ArcGIS/idp.
Notatka:
Obecnie można skonfigurować tylko jednego dostawcę tożsamości OpenID Connect dla instytucji ArcGIS Enterprise. Możliwość skonfigurowania więcej niż jednego dostawcy tożsamości będzie obsługiwana w przyszłości.
- Należy się upewnić, że bieżący użytkownik jest zalogowany jako administrator instytucji.
- Kliknij przycisk Instytucja znajdujący się w górnej części witryny, a następnie kliknij kartę Ustawienia.
- Jeśli chcesz umożliwić automatyczne dołączanie członków, najpierw skonfiguruj domyślne ustawienia dla nowych członków. Jeśli to konieczne, możesz zmienić te ustawienia dla konkretnych członków, gdy dołączą do instytucji.
- Kliknij opcję Wartości domyślne nowych członków z boku strony.
- Ustaw domyślne typ użytkownika i rolę dla nowych członków.
- Wybierz licencje aplikacji dodatkowych do automatycznego przypisania do członków, gdy dołączą do instytucji.
- Wybierz grupy, do których członkowie zostaną dodani, gdy dołączą do instytucji.
- Kliknij opcję Bezpieczeństwo z boku strony.
- W sekcji Loginy kliknij opcję Nowy login OpenID Connect.
- W polu Etykieta przycisku logowania wpisz tekst, który ma być wyświetlany na przycisku służącym do logowania z użyciem loginu OpenID Connect.
- Wybierz sposób dołączania członków z loginami OpenID Connect do instytucji: automatycznie lub przez administratora. Wybór opcji automatycznego przyłączania umożliwia członkom przystąpienie do instytucji poprzez zalogowanie za pomocą loginów OpenID Connect. Druga opcja umożliwia administratorom dodawanie członków do instytucji. Jeśli wybierzesz opcję automatycznego dodawania, nadal możesz dodawać członków bezpośrednio przy użyciu ich identyfikatorów OpenID Connect.
- W polu Zarejestrowany identyfikator klienta wpisz identyfikator klienta uzyskany od dostawcy tożsamości.
- W polu Zarejestrowany klucz tajny klienta wpisz klucz tajny klienta uzyskany od dostawcy tożsamości.
- W polu Zakresy/uprawnienia dostawcy wpisz zakresy, które mają być wysłane wraz z żądaniem do punktu końcowego autoryzacji.
Notatka:
Oprogramowanie ArcGIS Enterprise obsługuje zakresy, które odpowiadają identyfikatorowi OpenID Connect, adresowi e-mail i atrybutom profilu użytkownika. Dla zakresów można użyć wartości standardowej openid profile email, jeśli jest ona obsługiwana przez dostawcę OpenID Connect. Informacje na temat obsługiwanych zakresów zawiera dokumentacja dostawcy OpenID Connect. - W polu Identyfikator wystawcy dostawcy wpisz identyfikator dostawcy OpenID Connect.
- Wypełnij adresy URL dostawcy tożsamości OpenID Connect w następujący sposób:
Wskazówka:
Podczas wypełniania poniższych informacji zapoznaj się z dokumentem powszechnie znanej konfiguracji dostawcy tożsamości — na przykład https:/[IdPdomain]/.well-known/openid-configuration.
- W polu Adres URL punktu końcowego autoryzacji OAuth 2.0 wprowadź adres URL punktu końcowego autoryzacji OAuth 2.0 dostawcy tożsamości.
- W polu Adres URL punktu końcowego tokena wprowadź adres URL punktu końcowego tokena dostawcy tożsamości umożliwiającego uzyskanie tokenów dostępu i identyfikatorów.
- W polu Adres URL zestawu kluczy internetowych JSON (JWKS) opcjonalnie wprowadź adres URL dokumentu zestawu kluczy internetowych JSON dostawcy tożsamości. Ten dokument zawiera klucze podpisywania, które służą do weryfikacji podpisów od dostawcy. Ten adres URL jest używany tylko wtedy, gdy Adres URL punktu końcowego profilu użytkownika (zalecany) nie jest skonfigurowany.
- W polu Adres URL punktu końcowego profilu użytkownika (zalecany) wprowadź punkt końcowy uzyskiwania informacji o tożsamości użytkownika. Jeśli ten adres URL nie zostanie określony, zamiast niego używany jest Adres URL zestawu kluczy internetowych JSON (JWKS).
- W polu Adres URL punktu końcowego wylogowania (opcjonalny) opcjonalnie wprowadź adres URL punktu końcowego wylogowania serwera autoryzacji. Jest on używany do wylogowania członka z dostawcy tożsamości, gdy wylogowuje się on z systemu ArcGIS.
- Włącz przełącznik Wyślij token dostępu w nagłówku, jeśli token ma być wysyłany w nagłówku zamiast w ciągu znakowym zapytania.
- Aby ukończyć proces konfiguracji, skopiuj wygenerowany Identyfikator URI przekierowania logowania i Identyfikator URI przekierowania wylogowania (jeśli ma zastosowanie) i dodaj je do listy dozwolonych adresów URL wywołania zwrotnego dla dostawcy tożsamości OpenID Connect.
- Po zakończeniu działania kliknij przycisk Zapisz.
Modyfikowanie lub usuwanie dostawcy tożsamości OpenID Connect
Po skonfigurowaniu dostawcy tożsamości OpenID Connect możesz zaktualizować jego ustawienia, klikając opcję Skonfiguruj logowanie obok aktualnie zarejestrowanego dostawcy tożsamości. Zaktualizuj ustawienia w oknie Edycja loginu OpenID Connect.
Aby usunąć aktualnie zarejestrowanego dostawcę tożsamości, kliknij opcję Skonfiguruj logowanie obok dostawcy tożsamości i kliknij przycisk Usuń login w oknie Edycja loginu OpenID Connect.
Notatka:
Loginu OpenID Connect nie można usunąć do chwili usunięcia wszystkich członków z dostawcy.