配置 OpenID Connect 登录帐户等组织特定登录帐户后,组织成员可以通过访问组织内部系统时所用的相同帐户登录 ArcGIS Enterprise。 使用此方法设置组织特定登录帐户的优势在于:成员无需在 ArcGIS Enterprise 系统内创建其他登录帐户;而是可使用已在组织中设置的登录帐户。 当成员登录到 ArcGIS Enterprise 时,可直接将其组织特定的用户名和密码输入到组织的登录帐户管理器(也称组织身份提供者 (IDP))中。 验证成员的凭据之后,IDP 将通知 ArcGIS Enterprise 正在登录的成员的验证身份。
ArcGIS Enterprise 支持 OpenID Connect 身份验证协议,并与支持 Okta 的 IDP(例如 Google 和 OpenID Connect)集成。
您可以配置组织的登录界面,以仅显示 OpenID Connect 登录帐户或同时显示 OpenID Connect 登录帐户、ArcGIS 登录帐户和 SAML 登录帐户(如果已配置)。
设置 OpenID Connect 登录
下面介绍了通过 ArcGIS Enterprise 配置 OpenID ConnectIDP 的过程。 继续进行操作之前,建议联系您的 IDP 的管理员以获取配置所需的参数。 您还可以在 ArcGIS/idp GitHub 资料档案库中访问并提供详细的第三方 IDP 配置文档。
注:
此时,只能为您的 ArcGIS Enterprise 组织配置一个 OpenID Connect IDP。 未来将支持配置多个 IDP 的功能。
- 确认您是否以组织管理员的身份登录。
- 单击站点顶部的组织,然后单击设置选项卡。
- 如果您打算允许成员自动加入,请先为新成员配置默认设置。 如有必要,您可以在特定成员加入组织后为其更改这些设置。
- 单击页面一侧的新成员默认值。
- 选择新成员的默认用户类型和角色。
- 选择附加许可,以在成员加入组织时自动分配成员。
- 选择成员加入组织时会将其添加到的群组。
- 单击页面一侧的安全性。
- 在登录部分中,单击新建 OpenID Connect 登录帐户。
- 在登录按钮标签框中,输入希望显示在按钮上的文本,成员可通过该按钮使用 OpenID Connect 登录帐户登录系统。
- 选择拥有 OpenID Connect 登录帐户的成员加入组织的方法:自动加入或由管理员添加。 自动选项允许成员通过使用其 OpenID Connect 登录帐户进行登录来加入组织。 其他选项允许管理员向组织添加成员。 如果选择自动选项,仍可使用其 OpenID Connect ID 直接添加成员。
- 在注册的客户端 ID 框中,输入 IDP 中的客户端 ID。
- 在注册的客户端密码框中,输入 IDP 中的客户端密码。
- 在提供者范围/权限框中,输入要与请求一起发送到授权端点的范围。
注:
ArcGIS Enterprise 支持对应于 OpenID Connect 标识符、电子邮件和用户个人资料属性的范围。 如果您的 OpenID Connect 提供者支持,您可以使用 openid profile email 的标准值作为范围。 有关受支持的范围,请参阅 OpenID Connect 提供者文档。 - 在提供者发布者 ID 框中,输入 OpenID Connect 提供者的标识符。
- 填写 OpenID Connect IDP URL,如下所示:
提示:
如果在填写以下信息时需要帮助,请参阅 IDP 的已知配置文档(例如,https:/[IdPdomain]/.well-known/openid-configuration 中的文档)。
- 对于 OAuth 2.0 授权端点 URL,输入 IDP 的 OAuth 2.0 授权端点的 URL。
- 对于令牌端点 URL,输入 IDP 的令牌端点的 URL,以获取访问权限和 ID 令牌。
- 对于 JSON web 密钥集 (JWKS) URL,可以选择输入 IDP 的 JSON web 密钥集文档的 URL。 本文档包含用于验证提供者签名的签名密钥。 仅当未配置用户配置文件端点 URL(推荐)时才会使用此 URL。
- 对于用户配置文件端点 URL(推荐),输入端点以获取有关用户的身份验证信息。 如果未指定此 URL,系统将使用 JSON web 密钥集 (JWKS) URL。
- 对于登出端点 URL(可选),可以选择输入授权服务器的登出端点 URL。 成员从 ArcGIS 登出时,系统会使用该信息将成员从 IDP 登出。
- 如果要在令牌头而非查询字符串中发送令牌,请打开在令牌头中发送访问令牌切换按钮。
- 要完成配置过程,请复制生成的登录重定向 URI 和登出重定向 URI(如果适用),然后将其添加到 OpenID Connect IDP 允许的回调 URL 列表中。
- 输入完成后,单击保存。
修改或移除 OpenID Connect IDP
设置 OpenID Connect IDP 后,您可以单击当前已注册 IDP 旁边的配置登录帐户来更新其设置。 在编辑 OpenID 连接登录帐户窗口中更新您的设置。
要删除当前注册的 IDP,请单击 IDP 旁边的配置登录帐户,然后在编辑 OpenID Connect 登录帐户窗口中单击删除登录帐户。
注:
移除提供者中的所有成员之后才能删除 OpenID Connect 登录帐户。