Konfigurieren von OpenID Connect-Anmeldungen

Durch die Konfiguration von organisationsspezifischen Anmeldenamen, wie OpenID Connect-Anmeldungen, können die Mitglieder Ihrer Organisation für die Anmeldung bei ArcGIS Enterprise dieselben Anmeldeinformationen wie für den Zugriff auf die internen Systeme Ihrer Organisation verwenden. Der Vorteil der Einrichtung von organisationsspezifischen Anmeldenamen mit dieser Methode besteht darin, dass Mitglieder innerhalb des ArcGIS Enterprise-Systems keine zusätzlichen Anmeldenamen erstellen müssen, sondern stattdessen den Anmeldenamen verwenden können, der bereits für die Organisation eingerichtet wurde. Während der Anmeldung bei ArcGIS Enterprise geben Mitglieder den organisationsspezifischen Benutzernamen und das entsprechende Kennwort in den Anmelde-Manager der Organisation ein, der auch als der Identity-Provider (IdP) der Organisation bezeichnet wird. Nachdem der Anmeldeinformationen des Mitglieds bestätigt wurden, informiert der IdP ArcGIS Enterprise darüber, dass die Identität des Mitglieds, das sich anmeldet, überprüft wurde.

ArcGIS Enterprise unterstützt das OpenID Connect-Authentifizierungsprotokoll und kann in IdPs mit Unterstützung von OpenID Connect, wie z. B. Okta und Google, integriert werden.

Sie können die Anmeldeseite Ihrer Organisation so konfigurieren, dass nur die OpenID Connect-Anmeldung oder die OpenID Connect-Anmeldung zusammen mit der ArcGIS-Anmeldung und der SAML-Anmeldung angezeigt wird (falls konfiguriert).

Einrichten von OpenID Connect-Anmeldungen

Nachfolgend wird das Vorgehen bei der Konfiguration eines OpenID Connect-IdP für ArcGIS Enterprise beschrieben. Wenden Sie sich an den Administrator des IdP, um die für die Konfiguration erforderlichen Parameter zu erhalten, bevor Sie den Vorgang fortsetzen. Zugriff auf detaillierte Drittanbieterdokumentation für die IdP-Konfiguration haben Sie über das ArcGIS/idp-Repository auf GitHub, wo Sie ebenfalls eigene Beiträge zur Dokumentation leisten können.

  1. Überprüfen Sie, ob Sie als Administrator Ihrer Organisation angemeldet sind.
  2. Klicken Sie im oberen Bereich der Seite auf Organisation und dann auf die Registerkarte Einstellungen.
  3. Wenn Sie planen, dass Mitglieder automatisch beitreten können sollen, konfigurieren Sie zunächst die Standardeinstellungen für neue Mitglieder.

    Bei Bedarf können Sie diese Einstellungen für bestimmte Mitglieder ändern, nachdem sie der Organisation beigetreten sind.

    1. Klicken Sie am Rand der Seite auf Standardeinstellungen für neue Mitglieder.
    2. Wählen Sie den Standardbenutzertyp und die Standardrolle für neue Mitglieder aus.
    3. Wählen Sie die Add-on-Lizenzen aus, die Mitgliedern automatisch zugewiesen werden sollen, wenn sie der Organisation beitreten.
    4. Wählen Sie die Gruppen aus, zu denen Mitglieder hinzugefügt werden sollen, wenn sie der Organisation beitreten.
    5. Wählen Sie die Mitgliederkategorien aus, denen Mitglieder hinzugefügt werden sollen, wenn sie der Organisation beitreten.
  4. Klicken Sie am Rand der Seite auf Sicherheit.
  5. Klicken Sie im Bereich Anmeldungen auf Neue OpenID Connect-Anmeldung.
  6. Geben Sie im Feld Beschriftung für Anmeldeschaltfläche den Text ein, der auf der Schaltfläche angezeigt werden soll, über die sich die Mitglieder mit ihrer OpenID Connect-Anmeldung anmelden.
  7. Legen Sie fest, wie Mitglieder mit OpenID Connect-Anmeldungen der Organisation beitreten sollen: automatisch oder indem sie von einem Administrator hinzugefügt werden.

    Die automatische Option ermöglicht Mitgliedern den Beitritt zur Organisation durch die Anmeldung mit ihrem OpenID Connect-Anmeldenamen. Bei der anderen Option können Administratoren der Organisation Mitglieder hinzufügen. Wenn Sie die automatische Option auswählen, können Sie weiterhin Mitglieder direkt hinzufügen, indem Sie deren OpenID Connect-ID verwenden. Weitere Informationen erhalten Sie unter Hinzufügen von Mitgliedern zum Portal.

  8. Geben Sie im Feld ID des registrierten Clients die Client-ID des IdP ein.
  9. Geben Sie eine der folgenden Authentifizierungsmethoden an:
    • Geheimer Clientschlüssel: Geben Sie den registrierten geheimen Clientschlüssel des IDP ein.
    • Öffentlicher Schlüssel/Privater Schlüssel: Aktivieren Sie diese Option, wenn Sie zur Authentifizierung die URL eines öffentlichen oder privaten Schlüssels generieren möchten.
      Hinweis:

      Durch Generieren eines neuen öffentlichen/privaten Schlüsselpaares werden die vorhandenen öffentlichen/privaten Schlüssel ungültig. Wenn Ihre IdP-Konfiguration anstelle der URL des öffentlichen Schlüssels einen gespeicherten öffentlichen Schlüssel verwendet, müssen Sie beim Generieren eines neuen Schlüsselpaares den öffentlichen Schlüssel in Ihrer IdP-Konfiguration aktualisieren, um Anmeldeunterbrechungen zu verhindern.

  10. Geben Sie in das Feld Berechtigungsbereiche/Berechtigungen des Providers die Berechtigungsbereiche ein, die zusammen mit der Anforderung an den Autorisierungsendpunkt gesendet werden.

    Hinweis:
    ArcGIS Enterprise unterstützt Bereiche, die den OpenID Connect-Attributen für Kennung, E-Mail und Benutzerprofil entsprechen. Sie können den Standardwert openid profile email für Bereiche verwenden, wenn er von Ihrem OpenID Connect-Provider unterstützt wird. Die unterstützten Bereiche finden Sie in der Dokumentation Ihres OpenID Connect-Providers.

  11. Geben Sie in das Feld Aussteller-ID des Providers die Kennung des OpenID Connect-Providers ein.
  12. Füllen Sie die URLs des OpenID Connect-IdP wie folgt aus:
    Tipp:

    Informationen zu den nachfolgenden Angaben finden Sie im Konfigurationsdokument für den IdP, beispielsweise unter https:/[IdPdomain]/.well-known/openid-configuration.

    1. Geben Sie für URL des OAuth-2.0-Autorisierungsendpunktes die URL für den OAuth-2.0-Autorisierungsendpunkt des IdP an.
    2. Geben Sie für URL des Tokenendpunktes die URL für den Tokenendpunkt des IdP an, um Zugriffs- und ID-Token abzurufen.
    3. Geben Sie optional für URL des JSON Web Key Set (JWKS) die URL für das JSON-Web-Key-Set-Dokument des IdP an.

      Das Dokument enthält Signaturschlüssel, die für die Überprüfung der Signaturen des Providers verwendet werden. Diese URL wird nur verwendet, wenn Endpunkt-URL für Benutzerprofil (empfohlen) nicht konfiguriert wurde.

    4. Geben Sie für Endpunkt-URL für Benutzerprofil (empfohlen) den Endpunkt für den Abruf von Identitätsinformationen zum Benutzer an.

      Wenn Sie diese URL nicht angegeben, wird stattdessen die URL des JSON Web Key Set (JWKS) verwendet.

    5. Geben Sie ggf. für Endpunkt-URL für Abmeldung (optional) die URL für den Abmeldeendpunkt des Autorisierungsservers an.

      Dies dient der Abmeldung eines Mitglieds vom IdP, wenn sich das Mitglied von ArcGIS abmeldet.

  13. Aktivieren Sie die Umschalttaste Zugriffstoken in Header senden, wenn das Token im Header statt in einer Abfragezeichenfolge gesendet werden soll.
  14. Aktivieren Sie optional die Umschaltfläche Erweiterten PKCE-Autorisierungscodefluss verwenden.

    Wenn diese Option aktiviert ist, wird das PKCE-Protokoll (Proof Key for Code Exchange) verwendet, um den OpenID Connect-Autorisierungscodefluss sicherer zu machen. Bei jeder Autorisierungsanforderung wird eine eindeutige Codeüberprüfung erstellt, deren transformierter Wert, die Codeabfrage, an den Autorisierungsserver gesendet wird, um den Autorisierungscode zu erhalten. Die für diese Transformation verwendete Codeabfragemethode ist S256, was bedeutet, dass die Codeabfrage ein Base64-URL-codierter SHA-256-Hash der Codeüberprüfung ist.

  15. Geben Sie optional für Feld für ArcGIS-Benutzernamen/Anspruchsname den Anspruchsnamen des ID-Token an, das zum Einrichten des ArcGIS-Benutzernamens verwendet wird.

    Der Wert, den Sie angeben, muss den Anforderungen für ArcGIS-Benutzernamen entsprechen. Ein ArcGIS-Benutzername muss 6 bis 128 alphanumerische Zeichen enthalten und kann die folgenden Sonderzeichen enthalten: . (Punkt), _ (Unterstrich) und @ (at-Zeichen). Andere Sonderzeichen, nicht alphanumerische Zeichen und Leerzeichen sind nicht zulässig.

    Wenn Sie einen Wert mit weniger als sechs Zeichen angeben oder wenn der Wert einem vorhanden Benutzernamen entspricht, dann werden dem Wert Ziffern hinzugefügt. Wenn Sie das Feld leer lassen, wird der Benutzername, sofern verfügbar, aus dem Präfix der E-Mail-Adresse erstellt, ansonsten wird der ID-Anspruch zum Erstellen des Benutzernamens verwendet.

  16. Klicken Sie abschließend auf Speichern.
  17. Klicken Sie auf den Link Anmeldung konfigurieren neben OpenID Connect-Anmeldung.
  18. Um die Konfiguration abzuschließen, müssen Sie die generierte Umleitungs-URI für Anmeldung und die Umleitungs-URI für Abmeldung (falls zutreffend) kopieren und der Liste der zulässigen Rückruf-URLs für den OpenID Connect-IdP hinzufügen.

Ändern oder Entfernen des OpenID Connect-IdP

Wenn Sie einen OpenID Connect-IdP eingerichtet haben, können Sie dessen Einstellungen aktualisieren, indem Sie neben dem aktuell registrierten IdP auf die Schaltfläche Anmeldung konfigurieren klicken. Aktualisieren Sie die Einstellungen im Fenster OpenID Connect-Anmeldung bearbeiten.

Um den aktuell registrierten IdP zu entfernen, klicken Sie neben dem IdP auf die Schaltfläche Anmeldung konfigurieren und dann im Fenster OpenID Connect-Anmeldung bearbeiten auf Anmeldung löschen.

Hinweis:

Eine OpenID Connect-Anmeldung kann erst gelöscht werden, wenn alle Mitglieder des Providers entfernt wurden.