Skip To Content

配置 OpenID Connect 登录

配置 OpenID Connect 登录帐户等组织特定登录帐户后,组织成员可以通过访问组织内部系统时所用的相同帐户登录 ArcGIS Enterprise。 使用此方法设置组织特定登录帐户的优势在于:成员无需在 ArcGIS Enterprise 系统内创建其他登录帐户;而是可使用已在组织中设置的登录帐户。 当成员登录到 ArcGIS Enterprise 时,可直接将其组织特定的用户名和密码输入到组织的登录帐户管理器(也称组织身份提供者 (IDP))中。 验证成员的凭据之后,IDP 将通知 ArcGIS Enterprise 正在登录的成员的验证身份。

ArcGIS Enterprise 支持 OpenID Connect 身份验证协议,并与支持 Okta 的 IDP(例如 GoogleOpenID Connect)集成。

您可以配置组织的登录界面,以仅显示 OpenID Connect 登录帐户或同时显示 OpenID Connect 登录帐户、ArcGIS 登录帐户和 SAML 登录帐户(如果已配置)。

设置 OpenID Connect 登录

下面介绍了通过 ArcGIS Enterprise 配置 OpenID ConnectIDP 的过程。 继续进行操作之前,建议联系您的 IDP 的管理员以获取配置所需的参数。 您还可以在 ArcGIS/idp GitHub 资料档案库中访问并提供详细的第三方 IDP 配置文档。

注:

此时,只能为您的 ArcGIS Enterprise 组织配置一个 OpenID Connect IDP。 未来将支持配置多个 IDP 的功能。

  1. 确认您是否以组织管理员的身份登录。
  2. 单击站点顶部的组织,然后单击设置选项卡。
  3. 如果您打算允许成员自动加入,请先为新成员配置默认设置。 如有必要,您可以在特定成员加入组织后为其更改这些设置
    1. 单击页面一侧的新成员默认值
    2. 选择新成员的默认用户类型和角色。
    3. 选择附加许可,以在成员加入组织时自动分配成员。
    4. 选择成员加入组织时会将其添加到的群组。
  4. 单击页面一侧的安全性
  5. 登录部分中,单击新建 OpenID Connect 登录帐户
  6. 登录按钮标签框中,输入希望显示在按钮上的文本,成员可通过该按钮使用 OpenID Connect 登录帐户登录系统。
  7. 选择拥有 OpenID Connect 登录帐户的成员加入组织的方法:自动加入或由管理员添加。 自动选项允许成员通过使用其 OpenID Connect 登录帐户进行登录来加入组织。 其他选项允许管理员向组织添加成员。 如果选择自动选项,仍可使用其 OpenID Connect ID 直接添加成员
  8. 注册的客户端 ID 框中,输入 IDP 中的客户端 ID。
  9. 注册的客户端密码框中,输入 IDP 中的客户端密码。
  10. 提供者范围/权限框中,输入要与请求一起发送到授权端点的范围。

    注:
    ArcGIS Enterprise 支持对应于 OpenID Connect 标识符、电子邮件和用户个人资料属性的范围。 如果您的 OpenID Connect 提供者支持,您可以使用 openid profile email 的标准值作为范围。 有关受支持的范围,请参阅 OpenID Connect 提供者文档。

  11. 提供者发布者 ID 框中,输入 OpenID Connect 提供者的标识符。
  12. 填写 OpenID Connect IDP URL,如下所示:
    提示:

    如果在填写以下信息时需要帮助,请参阅 IDP 的已知配置文档(例如,https:/[IdPdomain]/.well-known/openid-configuration 中的文档)。

    1. 对于 OAuth 2.0 授权端点 URL,输入 IDP 的 OAuth 2.0 授权端点的 URL。
    2. 对于令牌端点 URL,输入 IDP 的令牌端点的 URL,以获取访问权限和 ID 令牌。
    3. 对于 JSON web 密钥集 (JWKS) URL,可以选择输入 IDP 的 JSON web 密钥集文档的 URL。 本文档包含用于验证提供者签名的签名密钥。 仅当未配置用户配置文件端点 URL(推荐)时才会使用此 URL。
    4. 对于用户配置文件端点 URL(推荐),输入端点以获取有关用户的身份验证信息。 如果未指定此 URL,系统将使用 JSON web 密钥集 (JWKS) URL
    5. 对于登出端点 URL(可选),可以选择输入授权服务器的登出端点 URL。 成员从 ArcGIS 登出时,系统会使用该信息将成员从 IDP 登出。
  13. 如果要在令牌头而非查询字符串中发送令牌,请打开在令牌头中发送访问令牌切换按钮。
  14. 要完成配置过程,请复制生成的登录重定向 URI登出重定向 URI(如果适用),然后将其添加到 OpenID Connect IDP 允许的回调 URL 列表中。
  15. 输入完成后,单击保存

修改或移除 OpenID Connect IDP

设置 OpenID Connect IDP 后,您可以单击当前已注册 IDP 旁边的配置登录帐户来更新其设置。 在编辑 OpenID 连接登录帐户窗口中更新您的设置。

要删除当前注册的 IDP,请单击 IDP 旁边的配置登录帐户,然后在编辑 OpenID Connect 登录帐户窗口中单击删除登录帐户

注:

移除提供者中的所有成员之后才能删除 OpenID Connect 登录帐户。