ArcGIS Online verbinden

Mithilfe des OAuth 2.0 Protokolls kann der Identity Service die Authentifizierung von Personen an ArcGIS Online delegieren. Dies bedeutet, dass diese sich mit ihrem ArcGIS Online-Account anmelden können.

Die Verbindung zu ArcGIS Online erfolgt in mehreren Schritten:
Zuerst registrieren Sie den Identity Service als Anwendung in ArcGIS Online. Danach passen Sie die Konfiguration an, damit die Anmeldung an ArcGIS Online erfolgen kann. Testen Sie dann die Konfiguration, indem Sie sich über den Identity Service bei ArcGIS Online anmelden.

Schritt 1: Identity Service registrieren

Der Identity Service muss in ArcGIS Online als Anwendung registriert werden, um das Single Sign-on nutzen zu können. Führen Sie dazu folgende Schritte aus:

Melden Sie sich mit Administrationsrechten in ArcGIS Online an.
Wechseln Sie zum Tab Inhalt.
Klicken Sie auf Neues Element und im anschließenden Dialog auf Anwendung.
Ein Dialog zum Anlegen des neuen Elements wird angezeigt. Verwenden Sie dort folgende Einstellungen:
- Typ: Web Mapping
- URL: URL der Identity Service Installation, z.B. https://www.example.com/identity
Klicken Sie auf Weiter.
Legen Sie jetzt die weiteren Eigenschaften des Elements wie folgt fest:
- Titel: Identity Service
- Ordner: Wählen Sie den Ordner, in dem Sie das Element speichern möchten.
- Kategorien (optional): Sie können ein oder mehrere Kategorien für das Element setzen.
- Tags: identity
- Zusammenfassung (optional): Sie können eine Zusammenfassung für das Element erstellen, z.B.: Registrierung von Identity Service in ArcGIS Online
Klicken Sie auf Speichern. Die Übersicht des neu erstellten Elements wird angezeigt.
Setzen Sie weitere Registrierungseinstellungen, indem Sie wie folgt vorgehen:
- Klicken Sie in der Übersicht des Elements auf Einstellungen und gehen Sie zum Abschnitt Web Mapping Application.
- Klicken Sie auf Anwendung registrieren.
- Geben Sie bei Umleitungs-URLs ebenfalls die URL der Identity Service Installation ein (https://www.example.com/identity).
- Klicken Sie auf Hinzufügen um die URI zur Liste der gültigen Umleitungs-URIs aufzunehmen.
- Wählen Sie Browser als Anwendungsumgebung aus.
- Klicken Sie auf Registrieren, um den Dialog zu schließen.
Nachdem Sie die Anwendung erfolgreich registriert haben, werden die Registrierungsdaten angezeigt, die Sie für die anschließende Konfiguration benötigen:
- Merken Sie sich die angezeigte Client-ID an beliebiger Stelle.
- Klicken Sie auf den Knopf mit dem Augen-Symbol, um den Geheimer Clientschlüssel anzuzeigen. Diesen müssen Sie sich auch merken.

Die Registrierung ist nun abgeschlossen und Sie können mit der Konfiguration vom Identity Service fortfahren.

Schritt 2: Identity Service konfigurieren

Die folgenden Parameter müssen in der globalen Konfiguration ergänzt oder geändert werden.

Beispiel-Konfiguration

# .identity-service/application.properties
security.oauth.provider=arcgis
security.oauth.provider.arcgis.url=https://myorganization.maps.arcgis.com
security.oauth.clientId=6nyEFYqYSYtu60Ws
security.oauth.clientSecret=fb3e3425976e4980a1793cbe6231f4b6

security.oauth.provider: Der Wert arcgis legt ArcGIS Online als Identitätsanbieter fest.
security.oauth.provider.arcgis.url: URL Ihrer ArcGIS Online Organisation.
security.oauth.clientId: Client-ID, die bei der Registrierung als Anwendung in ArcGIS Online erstellt worden ist.
security.oauth.clientSecret: Geheimer Zugriffsschlüssel, der bei der Registrierung als Anwendung in ArcGIS Online angezeigt worden ist.

Anmeldungen für mehrere Organisationen erlauben

Um den Zugriff von Personen aus mehr als einer Organisation zu erlauben, setzen Sie security.oauth.provider.arcgis.url auf https://www.arcgis.com und konfigurieren Sie zusätzlich den Parameter security.oauth.provider.arcgis.organizations wie in folgendem Beispiel:

Beispiel-Konfiguration

# .identity-service/application.properties
security.oauth.provider.arcgis.url=https://www.arcgis.com
security.oauth.provider.arcgis.organizations=myorganization.maps.arcgis.com,otherorg.maps.arcgis.com

Listen Sie alle gewünschten Organisationen per Komma getrennt auf.

Rollen-Zuordnung

Um z.B. auf den map.apps Manager zugreifen zu können, muss die interne Rolle maAdmin einer ArcGIS Online Rolle oder Gruppe zugeordnet werden.

Diese Zuordnung von ArcGIS Online Rollen oder Gruppen zu internen Rollen kann durch die Konfigurationsoption security.oauth.provider.arcgis.roles angepasst werden.

ArcGIS Online-Rollen

Die Rolle, der eine Person ArcGIS Online zugeordnet ist, wird wie folgt übersetzt:

ArcGIS Online Rolle Interne Rollen Beschreibung

ArcGIS Online Rolle	Interne Rollen	Beschreibung
`org_admin`	`maAdmin, solrAdmin, mon_Administrator, tc_Administrator`	Personen mit Administrationsrechten in ArcGIS Online erhalten diese auch in map.apps, service.monitor, smart.finder und smart.finder SDI.
`org_publisher`	`maEditor`	ArcGIS Online-Publisher erhalten Redaktionsrechte in map.apps.
`rolleX`	`rolleX`	Alle anderen Rollen werden ohne Änderung von ArcGIS Online übernommen.

org_admin

maAdmin, solrAdmin, mon_Administrator, tc_Administrator

Personen mit Administrationsrechten in ArcGIS Online erhalten diese auch in map.apps, service.monitor, smart.finder und smart.finder SDI.

org_publisher

maEditor

ArcGIS Online-Publisher erhalten Redaktionsrechte in map.apps.

rolleX

Alle anderen Rollen werden ohne Änderung von ArcGIS Online übernommen.

Gehört der ArcGIS Online Zugang zu einer Organisation, so wird der Domain-Name der Organisation als map.apps Rolle registriert.

Beispiel: myorganization.maps.arcgis.com

ArcGIS Online-Gruppen

Die Gruppen denen eine Person in ArcGIS Online angehört, werden ebenfalls übersetzt. Da mehrere Personen ArcGIS Online-Gruppen mit gleichem Titel anlegen können, wird eine Gruppe in eine Rolle der Form <Titel>::<Besitzer> übersetzt.

ArcGIS Online-Gruppe Interne Rolle

ArcGIS Online-Gruppe	Interne Rolle
`Wald` (Owner: `user1`)	`Wald::user1`
`Wasser` (Owner: `user2`)	`Wasser::user2`

Wald (Owner: user1)

Wald::user1

Wasser (Owner: user2)

Wasser::user2

Schritt 3: Konfiguration testen

Sie können die Konfiguration von ArcGIS Online als Identitätsanbieter testen, indem Sie eine Anmeldung über den Identity Service durchführen. Führen Sie dazu folgende Schritte aus:

Stellen Sie sicher, dass Sie einen Account bei ArcGIS Online besitzen.
Falls Sie bei ArcGIS Online angemeldet sind: Melden Sie sich ab.
Öffnen Sie die Basis-URL des Identity Service im Browser, z.B. http://www.example.com/identity oder http://www.example.com:8080/identity. Achten Sie darauf, dass die URL genau der Umleitungs-URI entsprechen muss, die Sie bei der Registrierung der Anwendung in ArcGIS Online in Schritt 1 dieser Dokumentation angegeben haben.

Der Browser zeigt eine Seite mit der Liste der verfügbaren Dienstendpunkte:
Klicken Sie auf den Link, der mit Login überschrieben ist. Der Browser leitet Sie auf die Login-Seite des Portal um.
Geben Sie Kennung und Passwort für Ihren ArcGIS Online Zugang ein, um sich anzumelden.

Nach erfolgreicher Anmeldung werden Sie zurück zum "Self"-Endpunkt des Identity Service geleitet (/identity/account/self), wo Ihre Zugangsinformation als JSON präsentiert werden. In diesem Fall haben Sie ArcGIS Online erfolgreich mit dem Identity Service verbunden.

Nächste Schritte

Nachdem Sie ArcGIS Online als Identitätsanbieter mit dem Identity Service verbunden haben, müssen Sie die Dienste Ihrer ArcGIS Online Organisation als vertrauenswürdige Dienste konfigurieren. Nur dann können Nutzerinnen und Nutzer von Anwendungen, die den Identity Service nutzen, ohne weitere Anmeldung auf Dienste Ihrer Organisation zugreifen.