Konfigurieren von OpenID Connect-Anmeldungen

Durch die Konfiguration von organisationsspezifischen Anmeldungen, wie OpenID Connect-Anmeldungen, können die Mitglieder Ihrer Organisation für die Anmeldung bei ArcGIS Enterprise dieselben Anmeldeinformationen wie für den Zugriff auf die internen Systeme Ihrer Organisation verwenden. Der Vorteil der Einrichtung von organisationsspezifischen Anmeldenamen mit dieser Methode besteht darin, dass Mitglieder innerhalb des ArcGIS Enterprise-Systems keine zusätzlichen Anmeldenamen erstellen müssen, sondern stattdessen den Anmeldenamen verwenden können, der bereits für die Organisation eingerichtet wurde. Während der Anmeldung bei ArcGIS Enterprise geben Mitglieder den organisationsspezifischen Benutzernamen und das entsprechende Kennwort direkt in den Anmelde-Manager der Organisation ein, der auch als der Identity-Provider (IDP) der Organisation bezeichnet wird. Nachdem der Anmeldeinformationen des Mitglieds bestätigt wurden, informiert der IDP ArcGIS Enterprise darüber, dass die Identität des Mitglieds, das sich anmeldet, überprüft wurde.

ArcGIS Enterprise unterstützt das OpenID Connect-Authentifizierungsprotokoll und kann in IDPs mit Unterstützung von OpenID Connect, wie z. B. Okta und Google, integriert werden.

Sie können die Anmeldeseite Ihrer Organisation so konfigurieren, dass nur die OpenID Connect-Anmeldung oder die OpenID Connect-Anmeldung zusammen mit der ArcGIS-Anmeldung und der SAML-Anmeldung angezeigt wird (falls konfiguriert).

Einrichten von OpenID Connect-Anmeldungen

Nachfolgend wird das Vorgehen bei der Konfiguration eines OpenID Connect-IDP für ArcGIS Enterprise beschrieben. Wenden Sie sich an den Administrator des IDP, um die für die Konfiguration erforderlichen Parameter zu erhalten, bevor Sie den Vorgang fortsetzen.

Hinweis:

Derzeit kann nur ein OpenID Connect-IDP für Ihre ArcGIS Enterprise-Organisation konfiguriert werden. Die Funktion zur Konfiguration von mehr als einem IDP wird künftig unterstützt.

  1. Überprüfen Sie, ob Sie als Administrator Ihrer Organisation angemeldet sind.
  2. Klicken Sie im oberen Bereich der Seite auf Organisation und dann auf die Registerkarte Einstellungen.
  3. Wenn Sie planen, dass Mitglieder automatisch beitreten können sollen, konfigurieren Sie zunächst die Standardeinstellungen für neue Mitglieder. Bei Bedarf können Sie diese Einstellungen für bestimmte Mitglieder ändern, nachdem sie der Organisation beigetreten sind.
    1. Klicken Sie am Rand der Seite auf Standardeinstellungen für neue Mitglieder.
    2. Wählen Sie den Standardbenutzertyp und die Standardrolle für neue Mitglieder aus.
    3. Wählen Sie die Add-on-Lizenzen aus, die Mitgliedern automatisch zugewiesen werden sollen, wenn sie der Organisation beitreten.
    4. Wählen Sie die Gruppen aus, zu denen Mitglieder hinzugefügt werden sollen, wenn sie der Organisation beitreten.
  4. Klicken Sie am Rand der Seite auf Sicherheit.
  5. Klicken Sie im Bereich Anmeldungen auf Neue OpenID Connect-Anmeldung.
  6. Geben Sie im Feld Beschriftung für Anmeldeschaltfläche den Text ein, der auf der Schaltfläche angezeigt werden soll, über die sich die Mitglieder mit ihrer OpenID Connect-Anmeldung anmelden.
  7. Legen Sie fest, wie Mitglieder mit OpenID Connect-Anmeldungen der Organisation beitreten sollen: automatisch oder indem sie von einem Administrator hinzugefügt werden. Die automatische Option ermöglicht Mitgliedern den Beitritt zur Organisation durch die Anmeldung mit ihrem OpenID Connect-Anmeldenamen. Bei der anderen Option können Administratoren der Organisation Mitglieder hinzufügen. Wenn Sie die automatische Option auswählen, können Sie weiterhin Mitglieder direkt hinzufügen, indem Sie deren OpenID Connect-ID verwenden.
  8. Geben Sie im Feld ID des registrierten Clients die Client-ID des IDP ein.
  9. Geben Sie in das Feld Geheimer Schlüssel des registrierten Clients den geheimen Clientschlüssel des IDP ein.
  10. Geben Sie in das Feld Berechtigungsbereiche/Berechtigungen des Providers die Berechtigungsbereiche ein, die zusammen mit der Anforderung an den Autorisierungsendpunkt gesendet werden.

    Hinweis:
    ArcGIS Enterprise unterstützt Bereiche, die den OpenID Connect-Attributen für Kennung, E-Mail und Benutzerprofil entsprechen. Sie können den Standardwert openid profile email für Bereiche verwenden, wenn er von Ihrem OpenID Connect-Provider unterstützt wird. Die unterstützten Bereiche finden Sie in der Dokumentation Ihres OpenID Connect-Providers.

  11. Geben Sie in das Feld Aussteller-ID des Providers die Kennung des OpenID Connect-Providers ein.
  12. Füllen Sie die URLs des OpenID Connect-IDP wie folgt aus:
    Tipp:

    Informationen zu den nachfolgenden Angaben finden Sie im Konfigurationsdokument für den IDP, beispielsweise unter https:/[IdPdomain]/.well-known/openid-configuration.

    1. Geben Sie für URL des OAuth-2.0-Autorisierungsendpunktes die URL für den OAuth-2.0-Autorisierungsendpunkt des IDP an.
    2. Geben Sie für URL des Tokenendpunktes die URL für den Tokenendpunkt des IDP an, um Zugriffs- und ID-Token abzurufen.
    3. Geben Sie optional für URL des JSON Web Key Set (JWKS) die URL für das JSON-Web-Key-Set-Dokument des IDP an. Das Dokument enthält Signaturschlüssel, die für die Überprüfung der Signaturen des Providers verwendet werden. Diese URL wird nur verwendet, wenn Endpunkt-URL für Benutzerprofil (empfohlen) nicht konfiguriert wurde.
    4. Geben Sie für Endpunkt-URL für Benutzerprofil (empfohlen) den Endpunkt für den Abruf von Identitätsinformationen zum Benutzer an. Wenn Sie diese URL nicht angegeben, wird stattdessen die URL des JSON Web Key Set (JWKS) verwendet.
    5. Geben Sie ggf. für Endpunkt-URL für Abmeldung (optional) die URL für den Abmeldeendpunkt des Autorisierungsservers an. Dies dient der Abmeldung eines Mitglieds vom IDP, wenn sich das Mitglied von ArcGIS abmeldet.
  13. Aktivieren Sie die Umschalttaste Zugriffstoken in Header senden, wenn das Token im Header statt in einer Abfragezeichenfolge gesendet werden soll.
  14. Um die Konfiguration abzuschließen, müssen Sie die generierte Umleitungs-URI für Anmeldung und die Umleitungs-URI für Abmeldung (falls zutreffend) kopieren und der Liste der zulässigen Rückruf-URLs für den OpenID Connect-IDP hinzufügen.
  15. Klicken Sie abschließend auf Speichern.

Ändern oder Entfernen des OpenID Connect-IDP

Wenn Sie einen OpenID Connect-IDP eingerichtet haben, können Sie dessen Einstellungen aktualisieren, indem Sie neben dem aktuell registrierten IDP auf die Schaltfläche Anmeldung konfigurieren klicken. Aktualisieren Sie die Einstellungen im Fenster OpenID Connect-Anmeldung bearbeiten.

Um den aktuell registrierten IDP zu entfernen, klicken Sie neben dem IDP auf die Schaltfläche Anmledung konfigurieren und dann im Fenster OpenID Connect-Anmeldung bearbeiten auf Anmeldung löschen.