Настройка учетных записей OpenID Connect

Настройка корпоративных учетных записей, таких как OpenID Connect, позволяет участникам вашей организации выполнять вход в ArcGIS Enterprise с использованием тех же учетных данных, которые они используют для входа во внутренние системы вашей организации. Преимущество настройки корпоративных учетных записей заключается в том, что участникам не нужно создавать дополнительные учетные записи в системе ArcGIS Enterprise, вместо этого они могут использовать те, которые уже настроены в их организации. Когда участники входят в ArcGIS Enterprise, они вводят корпоративные имя пользователя и пароль в менеджер корпоративных учетных записей, также известный как провайдер корпоративной аутентификации (IdP). После проверки имени пользователя провайдер корпоративной аутентификации передает в ArcGIS Enterprise проверенные данные участника, выполняющего вход.

ArcGIS Enterprise поддерживает протокол аутентификации OpenID Connect и интегрируется с такими провайдерами идентификации, как Okta и Google, которые поддерживают OpenID Connect.

Можно настроить страницу входа в организацию так, чтобы на ней отображалась только опция входа OpenID Connect, или вход в OpenID Connect вместе с входом ArcGIS и входом SAML (если настроено).

Установка учетных записей OpenID Connect

Процесс настройки провайдера аутентификации OpenID Connect на работу с ArcGIS Enterprise описан ниже. Перед продолжением рекомендуется связаться с администратором провайдера идентификации для получения параметров, необходимых для настройки. Вы можете также просматривать и использовать подробную документацию по конфигурации IDP сторонних организаций в репозитории ArcGIS/idp GitHub.

  1. Убедитесь, что вы вошли в систему в качестве администратора вашей организации.
  2. Щелкните Организация вверху сайта, затем выберите вкладку Настройки.
  3. Если вы планируете разрешить автоматическое присоединение участников, сначала измените настройки по умолчанию для новых участников.

    Если необходимо, можно изменить эти настройки для определенных участников после их присоединения к организации.

    1. Щелкните Параметры по умолчанию для новых участников сбоку страницы.
    2. Выберите тип пользователя и роль по умолчанию для новых участников.
    3. Выберите добавочные лицензии для автоматического присвоения участникам при их присоединении к организации.
    4. Выберите группы, в которые будут добавлены участники при присоединении к организации.
    5. Выберите категории участников, в которые будут добавлены участники при присоединении к организации.
  4. Щелкните Безопасность сбоку страницы.
  5. В разделе Учетные записи щелкните Новая учетная запись OpenID Connect.
  6. В поле Надпись для кнопки входа введите текст, который вы хотите отобразить на кнопке, используемой участниками для входа с помощью своей учетной записи OpenID Connect.
  7. Выберите, как участники с учетными записями OpenID Connect будут присоединяться к организации: автоматически или добавляться администратором.

    Автоматическое присоединение позволяет участникам присоединяться к организации при входе с указанием учетной записи OpenID Connect. Другие опции позволяют администраторам добавлять участников в организацию. Если выбрано автоматическое присоединение, вы все равно имеете возможность напрямую добавлять участников с помощью их OpenID Connect ID. Для получения дополнительной информации см. раздел Добавление пользователей портала.

  8. В поле ID зарегистрированного клиента введите ID клиента из провайдера идентификации.
  9. Для Метода аутентификации укажите одно из следующего:
    • Секрет клиента - укажите зарегистрированный секрет клиента от IdP.
    • Открытый ключ / закрытый ключ - выберите этот вариант, чтобы сгенерировать открытый ключ или URL-адрес открытого ключа для аутентификации.
      Примечание:

      Создание новой пары открытого/закрытого ключа делает недействительными все существующие открытые/закрытые ключи. Если конфигурация IdP использует сохраненный открытый ключ вместо URL закрытого ключа, создание новой пары ключей потребует обновить открытый ключ в конфигурации IdP, чтобы избежать проблем при входе.

  10. В поле Возможности/права доступа провайдера введите области действия идентификатора, которые будут отправляться вместе с запросом на конечную точку авторизации.

    Примечание:
    ArcGIS Enterprise поддерживает области, соответствующие идентификатору OpenID Connect, email и атрибутам профиля пользователя. Можно использовать стандартное значение openid profile email для областей, если это поддерживается провайдером OpenID Connect. Обратитесь к документации провайдера OpenID Connect для поддерживаемых областей.

  11. В поле ID отправителя провайдера введите идентификатор провайдера OpenID Connect.
  12. Заполните URL провайдера индентификации OpenID Connect следующим образом:
    Подсказка:

    Обратитесь к документу конфигурации провайдера идентификации (например, в https:/[IdPdomain]/.well-known/openid-configuration), если вам нужна помощь в заполнении приведенной ниже информации.

    1. Для URL конечной точки авторизации OAuth 2.0 введите URL конечной точки авторизации OAuth 2.0 провайдера идентификации.
    2. Для URL конечной точки токена введите URL конечной точки токена провайдера идентификации для получения токенов доступа и ID.
    3. Дополнительно, для URL задания конечной точки JSON (JWKS) введите URL документа задания конечной точки JSON провайдера идентификации.

      Этот документ содержит ключи подписи, которые используются для проверки подписей из провайдера. Этот URL используется только в том случае, если не настроен URL конечной точки профиля пользователя (рекомендуется).

    4. Для URL конечной точки профиля пользователя (рекомендуется) введите конечную точку для получения идентификационной информации о пользователе.

      Если этот URL не указан, используется URL задания конечной точки JSON (JWKS).

    5. Дополнительно, для URL конечной точки выхода (опционально) введите URL конечной точки выхода сервера авторизации.

      Это используется для выхода участника из провайдера идентификации, когда он выходит из ArcGIS.

  13. Включите переключатель Отправить токен доступа в заголовке, если хотите, чтобы токен был отправлен в заголовке, а не в строке запроса.
  14. Дополнительно, включите переключатель Использование Authorization Code Flow с PKCE.

    Если эта опция включена, протокол Proof Key for Code Exchange (PKCE) используйется, чтобы сделать OpenID Connect authorization code flow более безопасным. Каждый запрос авторизации создает уникальный код верификации, а его преобразованное значение, контрольный код, отправляется серверу авторизации для получения кода авторизации. При преобразовании в контрольный код используется алгоритм S256, это означает, что код имеет формат URL-encoded на базе Base64, т.е. является хешем SHA-256 кода верификации.

  15. Дополнительно для ArcGIS username field/claim name укажите имя утверждения из токена ID, который будет использоваться для настройки имени пользователя ArcGIS.

    Введенное вами значение должно соответствовать требованиям к имени пользователя ArcGIS. Имя пользователя ArcGIS должно содержать от 6 до 128 буквенно-цифровых символов и может включать следующие специальные символы: . (точка), _ (подчеркивание) и @ (при знаке). Другие специальные символы, символы, не являющиеся буквенно-цифровыми, а также пробелы не допускаются.

    Если вы указываете значение, содержащее менее шести символов, или если значение совпадает с существующим именем пользователя, к значению добавляются числа. Если вы оставите это поле пустым, имя пользователя будет создано из префикса электронной почты, если он доступен; в противном случае для создания имени пользователя используется утверждение ID.

  16. Когда закончите, щелкните Сохранить.
  17. Щелкните ссылку Настройка учетной записи рядом с Учетной записью OpenID Connect.
  18. Чтобы завершить процесс конфигурации, скопируйте сгенерированный URI перенаправления входа и URI перенаправления выхода (если используется) и добавьте их в список разрешенных URL обратных вызовов для IDP OpenID Connect.

Изменение или удаление провайдра идентификации OpenID Connect

Когда вы установите OpenID Connect IdP, вы cможете обновить его настройки, щелкнув Настройка учетной записи рядом с зарегистрированным в данный момент провайдером идентификации. Обновите настройки в окне Редактировать учетную запись OpenID Connect.

Чтобы удалить зарегистрированный в данный момент IdP, щелкните Настройка учетной записи рядом с этим IdP, а затем щелкните Удалить учетную запись в окне Редактировать учетную запись OpenID Connect.

Примечание:

Имя пользователя OpenID Connect не может быть удалено до тех пор, пока из провайдера не будут удалены все участники.