A configuração de logins específicos da organização, como logins do OpenID Connect , permite aos membros de sua organização entrar no ArcGIS Enterprise utilizando os mesmos logins utilizados para acessar os sistemas internos da sua organização. A vantagem de configurar logins específicos da organização utilizando esta abordagem é que membros não precisam criar logins adicionais dentro do sistema do ArcGIS Enterprise ; pelo contrário, eles podem utilizar o login que já está configurado com a organização. Quando os membros entram no ArcGIS Enterprise, eles inserem o nome de usuário e senha espcíficos da organização diretamente no seu gerenciador de login da organização, também conhecido como seu provedor de identidade da organização (IDP). Na verificação das credenciais do membro, o IDP enterprise informa o ArcGIS Enterprise da identidade verificada do membro que está registrando.
ArcGIS Enterprise suporta o protocolo de autenticação do OpenID Connect e integra com IDPs como Okta e Google que suporta OpenID Connect.
Você pode configurar sua página de registro da organização para mostrar somente o login do OpenID Connect ou mostrar o login do OpenID Connect junto com o login do ArcGIS e login do SAML (se configurado).
Configurar os logins do OpenID Connect
O processo para configurar um IDP do OpenID Connect com ArcGIS Enterprise está descrito abaixo. Antes de continuar, é recomendado que você entre em contato com o administrador do seu IDP para obter os parâmetros necessários para configuração. Você também pode acessar e contribuir para a documentação detalhada de configuração do IDP de terceiros no repositório de GitHub do ArcGIS/idp.
Anotação:
Neste momento, somente um IDP do OpenID Connect pode ser configurado para sua organização do ArcGIS Enterprise . A capacidade de configurar mais de um IDP será suportada no futuro.
- Verifique se você está registrado como um administrador da sua organização.
- No parte superior do site, clique em Organização e clique na guia Configurações.
- Se você planejar permitir que os membros participem automaticamente, defina as configurações padrão para novos membros primeiro. Se necessário, você pode alterar estas configurações para membros específicos após eles participarem da organização.
- Clique em Novos padrões do membro no lado da página.
- Selecione o tipo de usuário padrão e papel para novos membros.
- Selecione as licenças complementares para atribuir aos membros automaticamente quando eles participarem da organização.
- Selecione os grupos nos quais os membros serão adicionados quando eles participarem da organização.
- Clique em Segurança no lado da página.
- Na seção Logins , clique em Novo Login de Conexão do OpenID.
- Na caixa Rótulo do botão Login, digite o texto que deseja que apareça no botão que os membros usam para entrar com seu login do OpenID Connect .
- Escolha como membros com logins do OpenID Connect participarão da sua organização: automaticamente ou adicionados pelo administrador. A opção automática permite que membros participem da organização ao entrarem com seu login do OpenID Connect. A outra opção permite a administradores adicionar membros de sua organização. Se você escolher a opção automática, poderá ainda adicionar membros diretamente usando seu ID do OpenID Connect .
- Na caixa ID de cliente registrado, insira o ID do cliente a partir do IDP.
- Na caixa Segredo do cliente registrado, insira o segredo do cliente a partir do IDP.
- Na caixa Escopos/permissões do provedor, insira os escopos a serem enviados junto com a solicitação para o terminal de autorização.
Anotação:
O ArcGIS Enterprise suporta escopos correspondentes aos atributos de identificador OpenID Connect, email e perfil de usuário. Você pode usar o valor padrão de openid profile email para escopos se for compatível com seu provedor OpenID Connect. Consulte a documentação do seu provedor OpenID Connect para os escopos suportados. - Na caixa ID do emissor do provedor, insira o identificador do provedor OpenID Connect.
- Preencha as URLs de IDP do OpenID Connect como segue:
Dica:
Consulte o documento de configuração conhecido para o IDP—por exemplo, na https:/[IdPdomain]/.well-known/openid-configuration—para obter assistência com o preenchimento das informações abaixo.
- Para URL do do ponto final de autorização do OAuth 2.0, digite a URL do ponto final de autorização do OAuth 2.0 do IDP.
- Para URL do ponto final do token, insira a URL do ponto final do IDP para obter acesso e tokens de ID.
- Para a URL do conjunto de chaves da Web JSON (JWKS), insira opcionalmente a URL do documento Conjunto de Chaves da Web JSON do IDP. Este documento contém chaves de assinatura usadas para validar as assinaturas do provedor. Esta URL é usada apenas se a URL de parâmetro do perfil de usuário (recomendado) não estiver configurada.
- Para URL do ponto final do perfil de usuário (recomendado), insira o ponto final para obter informações de identidade sobre o usuário. Se você não especificar esta URL, a URL do conjunto de chaves da web JSON (JWKS) será usada.
- Para URL de parâmetro de logoff (opcional), insira opcionalmente a URL de parâmetro de logoff do servidor de autorização. Isso é usado para desconectar o membro do IDP quando o membro sai do ArcGIS.
- Ative o botão de alternar Enviar token de acesso no cabeçalho, se desejar que o token seja enviado em um cabeçalho, em vez de em uma string de consulta.
- Para concluir o processo de configuração, copie a URI de Redirecionamento de Login e URI de redirecionamento de Logout (se aplicável), geradas e adicione-as à lista de URLs de retorno de solicitação permitidas para o IDP do OpenID Connect .
- Ao finalizar, clique em Salvar.
Modificar ou remover o IDP do OpenID Connect
Ao configurar um IDP de OpenID Connect, é possível atualizar as configurações clicando em Configurar login ao lado do IDP de atualmente registrado. Atualize suas configurações na janela de login Editar OpenID Connect.
Para remover o IDP registrado atualmente, clique em Confgurar login ao lado do IDP e clique em Excluir login na janela Editar Login de Conexão do OpenID.
Anotação:
Um login OpenID Connect não pode ser excluído até que todos os membros do provedor sejam removidos.