Skip To Content

Konfigurowanie loginów OpenID Connect

Skonfigurowanie loginów specyficznych dla instytucji, takich jak loginy OpenID Connect pozwala członkom instytucji logować się w oprogramowaniu ArcGIS Enterprise przy użyciu tych samych danych logowania, których używają do uzyskania dostępu do systemów informacyjnych instytucji. Zaletą konfiguracji loginów specyficznych dla instytucji zgodnie z opisaną procedurą jest brak konieczności tworzenia przez członków dodatkowych danych logowania w usłudze ArcGIS Enterprise. Zamiast tego mogą oni korzystać z danych logowania zdefiniowanych w instytucji. Podczas logowania do oprogramowania ArcGIS Enterprise członkowie podają specyficzną dla instytucji nazwę użytkownika i hasło w polach menedżera logowania instytucji, nazywanego również dostawcą tożsamości instytucji. Po weryfikacji poświadczeń członka dostawca tożsamości przesyła do oprogramowania ArcGIS Enterprise informację dotyczącą zweryfikowanej tożsamości logującego się członka.

Oprogramowanie ArcGIS Enterprise obsługuje protokół uwierzytelniania OpenID Connect i integruje się z dostawcami tożsamości, takimi jak Okta i Google, którzy obsługują protokół OpenID Connect.

Można skonfigurować stronę logowania instytucji w taki sposób, aby zawierała tylko login OpenID Connect lub login OpenID Connect z loginem ArcGIS i loginem SAML (jeśli jest skonfigurowany).

Konfigurowanie loginów OpenID Connect

Proces konfigurowania dostawcy tożsamości OpenID Connect w oprogramowaniu ArcGIS Enterprise został opisany poniżej. Przed przystąpieniem do wykonywania opisywanych czynności zalecane jest skontaktowanie się z administratorem dostawcy tożsamości w celu uzyskania parametrów niezbędnych w procesie konfiguracji. Szczegółowa dokumentacja konfiguracji zewnętrznych dostawców tożsamości, do której można uzyskać dostęp i którą można współtworzyć, znajduje się w repozytorium GitHub ArcGIS/idp.

  1. Należy się upewnić, że bieżący użytkownik jest zalogowany jako administrator instytucji.
  2. Kliknij przycisk Instytucja znajdujący się w górnej części witryny, a następnie kliknij kartę Ustawienia.
  3. Jeśli chcesz umożliwić automatyczne dołączanie członków, najpierw skonfiguruj domyślne ustawienia dla nowych członków.

    Jeśli to konieczne, możesz zmienić te ustawienia dla konkretnych członków, gdy dołączą do instytucji.

    1. Kliknij opcję Wartości domyślne nowych członków z boku strony.
    2. Ustaw domyślne typ użytkownika i rolę dla nowych członków.
    3. Wybierz licencje aplikacji dodatkowych do automatycznego przypisania do członków, gdy dołączą do instytucji.
    4. Wybierz grupy, do których członkowie zostaną dodani, gdy dołączą do instytucji.
    5. Wybierz kategorie członków, do których członkowie zostaną dodani, gdy dołączą do instytucji.
  4. Kliknij opcję Bezpieczeństwo z boku strony.
  5. W sekcji Loginy kliknij opcję Nowy login OpenID Connect.
  6. W polu Etykieta przycisku logowania wpisz tekst, który ma być wyświetlany na przycisku służącym do logowania z użyciem loginu OpenID Connect.
  7. Wybierz sposób dołączania członków z loginami OpenID Connect do instytucji: automatycznie lub przez administratora.

    Wybór opcji automatycznego przyłączania umożliwia członkom przystąpienie do instytucji poprzez zalogowanie za pomocą loginów OpenID Connect. Druga opcja umożliwia administratorom dodawanie członków do instytucji. Jeśli wybierzesz opcję automatycznego dodawania, nadal możesz dodawać członków bezpośrednio przy użyciu ich identyfikatorów OpenID Connect. Więcej informacji zawiera sekcja Dodawanie członków do portalu.

  8. W polu Zarejestrowany identyfikator klienta podaj identyfikator klienta uzyskany od dostawcy tożsamości.
  9. Podaj jedną z następujących metod uwierzytelniania:
    • Klucz tajny klienta — podaj zarejestrowany klucz tajny klienta od IdP.
    • Klucz publiczny / klucz prywatny — wybierz tę opcję, aby wygenerować klucz publiczny lub adres URL klucza publicznego na potrzeby uwierzytelniania.
      Notatka:

      Wygenerowanie nowej pary kluczy publiczny/prywatny spowoduje unieważnienie wszystkich istniejących kluczy publiczny/prywatny. Jeśli w konfiguracji IdP jest używany zapisany klucz publiczny zamiast adresu URL klucza publicznego, wygenerowanie nowej pary kluczy będzie wymagać zaktualizowania klucza publicznego w konfiguracji IdP, aby uniknąć przerwy w zalogowaniu.

  10. W polu Zakresy/uprawnienia dostawcy podaj zakresy, które mają być wysłane wraz z żądaniem do punktu końcowego autoryzacji.

    Notatka:
    Oprogramowanie ArcGIS Enterprise obsługuje zakresy, które odpowiadają identyfikatorowi OpenID Connect, adresowi e-mail i atrybutom profilu użytkownika. Dla zakresów można użyć wartości standardowej openid profile email, jeśli jest ona obsługiwana przez dostawcę OpenID Connect. Informacje na temat obsługiwanych zakresów zawiera dokumentacja dostawcy OpenID Connect.

  11. W polu Identyfikator wystawcy dostawcy podaj identyfikator dostawcy OpenID Connect.
  12. Wypełnij adresy URL dostawcy tożsamości OpenID Connect w następujący sposób:
    Wskazówka:

    Podczas wypełniania poniższych informacji zapoznaj się z dokumentem powszechnie znanej konfiguracji dostawcy tożsamości — na przykład https:/[IdPdomain]/.well-known/openid-configuration.

    1. W polu Adres URL punktu końcowego autoryzacji OAuth 2.0 podaj adres URL punktu końcowego autoryzacji OAuth 2.0 dostawcy tożsamości.
    2. W polu Adres URL punktu końcowego tokena podaj adres URL punktu końcowego tokena dostawcy tożsamości umożliwiającego uzyskanie tokenów dostępu i identyfikatorów.
    3. Opcjonalnie w polu Adres URL zestawu kluczy internetowych JSON (JWKS) podaj adres URL dokumentu zestawu kluczy internetowych JSON dostawcy tożsamości.

      Ten dokument zawiera klucze podpisywania, które służą do weryfikacji podpisów od dostawcy. Ten adres URL jest używany tylko wtedy, gdy Adres URL punktu końcowego profilu użytkownika (zalecany) nie jest skonfigurowany.

    4. W polu Adres URL punktu końcowego profilu użytkownika (zalecany) podaj punkt końcowy uzyskiwania informacji o tożsamości użytkownika.

      Jeśli ten adres URL nie zostanie określony, zamiast niego używany jest Adres URL zestawu kluczy internetowych JSON (JWKS).

    5. Opcjonalnie w polu Adres URL punktu końcowego wylogowania (opcjonalny) podaj adres URL punktu końcowego wylogowania serwera autoryzacji.

      Jest on używany do wylogowania członka z dostawcy tożsamości, gdy wylogowuje się on z systemu ArcGIS.

  13. Włącz przełącznik Wyślij token dostępu w nagłówku, jeśli token ma być wysyłany w nagłówku zamiast w ciągu znakowym zapytania.
  14. Opcjonalnie włącz przełącznik Użyj przepływu kodów autoryzacyjnych wzbogaconych o PKCE.

    Gdy ta opcja jest włączona, protokół Proof Key for Code Exchange (PKCE) jest używany do zwiększenia bezpieczeństwa przepływu kodów autoryzacyjnych OpenID Connect. Każde żądanie autoryzacji tworzy unikalny weryfikator kodu, a jego wartość po transformacji (wyzwanie kodu) jest wysyłana do serwera autoryzacji w celu uzyskania kodu autoryzacji. Metodą wyzwania kodu używaną na potrzeby tej transformacji jest S256, co oznacza, że wyzwanie kodu jest zakodowanym w formacie URL Base64 skrótem weryfikatora kodu powstałym przy użyciu algorytmu SHA-256.

  15. Opcjonalnie w polu Nazwa pola/poświadczenia nazwy użytkownika ArcGIS podaj nazwę poświadczenia z tokena ID, która zostanie użyta do skonfigurowania nazwy użytkownika ArcGIS.

    Podana wartość musi być zgodna z wymaganiami dotyczącymi nazwy użytkownika ArcGIS. Nazwa użytkownika ArcGIS musi zawierać od 6 do 128 znaków alfanumerycznych i może zawierać następujące znaki specjalne: . (kropka), _ (podkreślenie) i znak @. Użycie innych znaków specjalnych, znaków niealfanumerycznych oraz spacji jest niedozwolone.

    Jeśli zostanie podana wartość krótsza niż sześć znaków lub jeśli wartość jest zgodna z istniejącą nazwą użytkownika, do tej wartości zostaną dodane liczby. Jeśli to pole pozostanie puste, nazwa użytkownika zostanie utworzona na podstawie przedrostka adresu e-mail, jeśli jest dostępny. W przeciwnym razie do utworzenia nazwy użytkownika zostanie użyte poświadczenie ID.

  16. Po zakończeniu działania kliknij przycisk Zapisz.
  17. Kliknij łącze Skonfiguruj logowanie znajdujące się obok opcji Login OpenID Connect.
  18. Aby ukończyć proces konfiguracji, skopiuj wygenerowany Identyfikator URI przekierowania logowania i Identyfikator URI przekierowania wylogowania (jeśli ma zastosowanie) i dodaj je do listy dozwolonych adresów URL wywołania zwrotnego dla dostawcy tożsamości OpenID Connect.

Modyfikowanie lub usuwanie dostawcy tożsamości OpenID Connect

Po skonfigurowaniu dostawcy tożsamości OpenID Connect możesz zaktualizować jego ustawienia, klikając opcję Skonfiguruj login obok obecnie zarejestrowanego dostawcy tożsamości. Zaktualizuj ustawienia w oknie Edycja loginu OpenID Connect.

Aby usunąć aktualnie zarejestrowanego dostawcę tożsamości, kliknij opcję Skonfiguruj logowanie obok dostawcy tożsamości i kliknij przycisk Usuń login w oknie Edycja loginu OpenID Connect.

Notatka:

Loginu OpenID Connect nie można usunąć do chwili usunięcia wszystkich członków z dostawcy.