A configuração de logins específicos da organização, como logins do OpenID Connect, permite aos membros de sua organização entrar no ArcGIS Enterprise utilizando os mesmos logins utilizados para acessar os sistemas internos da sua organização. A vantagem de configurar logins específicos da organização utilizando esta abordagem é que membros não precisam criar logins adicionais dentro do sistema do ArcGIS Enterprise ; pelo contrário, eles podem utilizar o login que já está configurado com a organização. Quando os membros entram no ArcGIS Enterprise, eles fornecem seu nome de usuário e senha específicos da organização no gerenciador de login da sua organização, também conhecido como provedor de identidade da sua organização (IdP). Na verificação das credenciais do membro, o IdP informa ao ArcGIS Enterprise da identidade verificada do membro que está entrando.
O ArcGIS Enterprise suporta o protocolo de autenticação do OpenID Connect e integra com IdPs como Okta e Google que suporta OpenID Connect.
Você pode configurar sua página de registro da organização para mostrar somente o login do OpenID Connect ou mostrar o login do OpenID Connect junto com o login do ArcGIS e login de SAML (se configurado).
Configurar os logins do OpenID Connect
O processo para configurar um IdP do OpenID Connect com ArcGIS Enterprise está descrito abaixo. Antes de continuar, é recomendado que você entre em contato com o administrador do seu IdP para obter os parâmetros necessários para configuração. Você também pode acessar e contribuir para a documentação detalhada de configuração do IdP de terceiros no repositório de GitHub do ArcGIS/idp.
- Verifique se você está registrado como um administrador da sua organização.
- No parte superior do site, clique em Organização e clique na guia Configurações.
- Se você planejar permitir que os membros participem automaticamente, defina as configurações padrão para novos membros primeiro.
Se necessário, você pode alterar estas configurações para membros específicos após eles participarem da organização.
- Clique em Novos padrões do membro no lado da página.
- Selecione o tipo de usuário padrão e papel para novos membros.
- Selecione as licenças complementares para atribuir aos membros automaticamente quando eles participarem da organização.
- Selecione os grupos nos quais os membros serão adicionados quando eles participarem da organização.
- Selecione as categorias de membros às quais os membros serão adicionados quando ingressarem na organização.
- Clique em Segurança no lado da página.
- Na seção Logins , clique em Novo Login de Conexão do OpenID.
- Na caixa Rótulo do botão Login, digite o texto que deseja que apareça no botão que os membros usam para entrar com seu login do OpenID Connect .
- Escolha como membros com logins do OpenID Connect participarão da sua organização: automaticamente ou adicionados pelo administrador.
A opção automática permite que membros participem da organização ao entrarem com seu login do OpenID Connect. A outra opção permite a administradores adicionar membros de sua organização. Se você escolher a opção automática, poderá ainda adicionar membros diretamente usando seu ID do OpenID Connect . Para mais informações, consulte Adicionar membros ao seu portal.
- Na caixa ID de cliente registrado, forneça o ID de cliente do IdP.
- Para Método de autenticação, especifique um dos seguintes:
- Segredo do cliente—Forneça o segredo do cliente registrado do IdP.
- Chave pública / Chave privada—Escolha esta opção para gerar uma chave pública ou uma URL de chave pública para autenticação.
Anotação:
A geração de um novo par de chaves pública/privada invalida qualquer chave pública/privada existente. Se a sua configuração de IdP usar uma chave pública salva em vez da URL de chave pública, a geração de um novo par de chaves exigirá que você atualize a chave pública em sua configuração de IdP para evitar interrupções de registro.
- Na caixa Escopos/permissões do provedor, forneça os escopos a serem enviados junto com a solicitação para o terminal de autorização.
Anotação:
O ArcGIS Enterprise suporta escopos correspondentes aos atributos de identificador OpenID Connect, email e perfil de usuário. Você pode usar o valor padrão de openid profile email para escopos se for compatível com seu provedor OpenID Connect. Consulte a documentação do seu provedor OpenID Connect para os escopos suportados. - Na caixa ID do emissor do provedor, forneça o identificador do provedor OpenID Connect.
- Preencha as URLs de IdP do OpenID Connect como segue:
Dica:
Consulte o documento de configuração conhecido para o IdP—por exemplo, em https:/[IdPdomain]/.well-known/openid-configuration—para obter assistência com o preenchimento das informações abaixo.
- Para URL do parâmetro de autorização do OAuth 2.0, forneça a URL do parâmetro de autorização do OAuth 2.0 do IdP.
- Para URL de parâmetro do token, forneça a URL de parâmetro do IdP para obter acesso e tokens de ID.
- Opcionalmente, para a URL do conjunto de chaves da web de JSON (JWKS), forneça a URL do documento Conjunto de Chaves da Web de JSON do IdP.
Este documento contém chaves de assinatura usadas para validar as assinaturas do provedor. Esta URL é usada apenas se a URL de parâmetro do perfil de usuário (recomendado) não estiver configurada.
- Para URL do parâmetro do perfil de usuário (recomendado), forneça o parâmetro para obter informações de identidade sobre o usuário.
Se você não especificar esta URL, a URL do conjunto de chaves da web JSON (JWKS) será usada.
- Opcionalmente, para a URL do parâmetro da saída (opcional), forneça a URL do parâmetro de saída do servidor de autorização.
Isso é usado para desconectar o membro do IdP quando o membro sai do ArcGIS.
- Ative o botão de alternar Enviar token de acesso no cabeçalho, se desejar que o token seja enviado em um cabeçalho, em vez de em uma string de consulta.
- Opcionalmente, desative o botão Usar Fluxo de Código de Autorização melhorado do PKCE.
Quando essa opção está ativada, o protocolo Proof Key for Code Exchange (PKCE) é usado para tornar o fluxo do código de autorização do OpenID Connect mais seguro. Cada pedido de autorização cria um verificador de código exclusivo e seu valor transformado, o desafio de código, é enviado ao servidor de autorização para obter o código de autorização. O método de desafio de código usado para essa transformação é S256, o que significa que o desafio de código é um hash SHA-256 codificado por URL de Base64 do verificador de código.
- Opcionalmente, para nome do campo/reivindicação de nome de usuário do ArcGIS, forneça o nome da reivindicação do token de ID que será usado para configurar o nome de usuário do ArcGIS.
O valor que você fornece deve estar de acordo com os requisitos de nome de usuário do ArcGIS. Um nome de usuário do ArcGIS deve conter de 6 a 128 caracteres alfanuméricos e pode incluir os seguintes caracteres especiais: . (ponto), _ (underscore) e @ (arroba). Outros caracteres especiais, caracteres não alfanuméricos e espaços não são permitidos.
Se você especificar um valor com menos de seis caracteres ou se o valor corresponder a um nome de usuário existente, os números serão adicionados ao valor. Se você deixar este campo em branco, o nome de usuário será criado a partir do prefixo do e-mail, se disponível; caso contrário, a declaração de ID é usada para criar o nome de usuário.
- Ao finalizar, clique em Salvar.
- Clique no link Configurar login próximo do Login OpenID Connect.
- Para concluir o processo de configuração, copie a URI de Redirecionamento de Login e URI de Redirecionamento de Logout (se aplicável) geradas, e adicione-as à lista de URLs de retorno da solicitação permitidas para o IdP do OpenID Connect.
Modificar ou remover o IdP do OpenID Connect
Após configurar um IdP do OpenID Connect, é possível atualizar suas configurações clicando em Configurar login ao lado do IdP atualmente registrado. Atualize suas configurações na janela de login Editar OpenID Connect.
Para remover o IdP registrado atualmente, clique em Configurar login ao lado do IdP e clique em Excluir login na janela Editar Login de Conexão do OpenID.
Anotação:
Um login OpenID Connect não pode ser excluído até que todos os membros do provedor sejam removidos.