ArcGIS Online ja ArcGIS Pro käyttö kotikorkeakoulun tunnuksilla

# Tavoite * Korkeakoulun opiskelijat ja henkilökunta pystyvät kirjautumaan ArcGIS Online:iin kotikorkeakoulun tunnuksilla. * ArcGIS Pro:n lataus onnistuu ArcGIS Onlinen kautta ja ohjelmaan kirjaudutaan samoilla tunnuksilla kuin ArcGIS Onlineen, eli kotikorkeakoulun tunnuksilla. Huom. kotikorkeakoulun tunnusten käyttöönotto on lisämahdollisuus, varsinkin pienemmissä korkeakouluissa käsin luodut tunnukset voi olla helpompi/sopivampi ratkaisu. # Hyödyt * Kotikorkeakoulun ArcGIS Online pääkäyttäjän ei ole enää tarvetta käsin lisätä henkilöitä korkeakoulun ArcGIS Online organisaatioon. * ArcGIS Online jäsenistö pysyy automaattisesti ajantasalla, kotiorganisaation IdP:sta poistetuilla henkilöillä ei ole enää pääsyä ArcGIS Onlineen, eikä ArcGIS Pro käyttöoikeuksia. * ArcGIS Pron käyttö ei vaadi enää CSC:n lisenssipalvelinta. * CSC:n ArcGIS konsortio ja keskitetty lisenssipalvelin lopettaa 2025 lopussa. ArcGIS Desktop poistuu vähitelleen käytöstä, end of life: 3/2026. Jokaisen koulun 2026 itse päätettävää, tarvitaanko enää lisenssipalvelinta, tai riittäkö ArcGIS Onlinen kautta ArcGIS Pron lisensointi. # Tarvittavat toimeenpideet # ArcGIS Online asetuksien määrittely * Tekijä: Korkeakoulun ArcGIS pääkäyttäjä ja IDM-tiimi yhteistyössä. * Jokaisella korkeakoululla on oma ArcGIS Online, joten jokainen korkeakoulu on vastuussa oman ArcGIS Onlinen asetusten määrittelemisestä. * Vaihtoehtona kytkeytyminen SAML ja OpenID järjestelmiin. * [SAML ohjeet](https://doc.arcgis.com/en/arcgis-online/administer/saml-logins.htm) * Esim. Azure AD tai ADFS * Myös HAKA:ssa on SAML käytössä, joten kaikissa korkeakouluissa pitäisi olla olemassa SAML:ia tukeeva IdP * Novia, käytti ADFS integraatiota, siihen tarvittiin Claim rule asetuksia. Novia käytti näitä [ArcGIS Portal ADFS](https://enterprise.arcgis.com/en/portal/10.4/administer/windows/configure-adfs.htm) * **[ArcGIS Portal Azure AD ohjeet](https://enterprise.arcgis.com/en/portal/10.6/administer/windows/configure-azure-active-directory.htm)** * **[Azuren ohjeet ArcGIS Onlinelle](https://learn.microsoft.com/en-us/entra/identity/saas-apps/arcgis-tutorial)** * [OpenID ohjeet](https://doc.arcgis.com/en/arcgis-online/administer/openid-connect-logins.htm) * [ESRI Finlandin webinar](https://www.youtube.com/watch?v=iqgm3CwxN50), 27:50 eteenpäin lisenssoinnista, 1:11:00 SAML asetuksista * Suositeltavat oletusasetukset: * User type: GIS Professional Advanced, tähän sisältyy automaattisesti ArcGIS Pro lisenssi. * Role: Publisher, vaithoehtoisesti Viewer (rooleista ja niiden oikeuksista enemmän täällä https://doc.arcgis.com/en/arcgis-online/administer/member-roles.htm) * Add-on licenses: valitse halutut ArcGIS Pro laajennososat * Groups: Tyhjä (tai vaihtoehtoisesti tarvittavat ryhmät jos on) * Jos IDM:ssä on tieto esim. kurssiryhmistä, sitä voi hyödyntää tässä. * Credits: määritä tarvittaessa krediittien käyttörajoitus (esim. 300 krediittiä). Krediittejä kuluu tallennustilan käyttöön ja pilvipalvelussa tehtäviin analyyseihin. * Esri access: Enable ESRI access (mahdollistaa käyttäjälle pääsyn Esrin Training-materiaaleihin) * **Em. sekä oman AD toteutuksen ohjeita kannattaa seurata. Liika kikkailu pois. [SAML 2.0 token claims reference - Microsoft identity platform | Microsoft Learn](https://learn.microsoft.com/en-us/entra/identity-platform/reference-saml-tokens?source=recommendations)** # ArcGIS Online tunnukset ja niiden elinkaari * Voiko käyttää ArcGIS onlinen sisäisiä tunnuksia (käsin luodut) ja ArcGIS Online Enterprise tunnuksia (automaattisesti luodut) käyttää sekaisin. * Kyllä, admin-käyttäjäille suositellaan sisäisten tunnusten käyttöä. * Vanhat sisäiset tunnukset voi olla jatkossakin käytössä. * Saako jokainen käyttäjä oman ArcGIS online tunnuksen, vaikka kirjautuminen on kotiorgansaation IDM:n kautta * Kyllä. * Voiko valita käyttätunnuksen ensimmäisen kirjautumsien aikana? * Ei, kaikilla samantyyppinen. Tarkka muoto säädettävä asetukseissa, esim.: firstName.lastName_UniversityX * NameID kenttä SAML:ista käytetään tunnuksen muodostamiseen. * ArcGIS Online tunnukset pitää olla globaalisti uniikkeja, joten hyvä pitää yliopiston tunnus käyttäjätunnuksessa mukana. * Käyttäjätunnus tulee näkyviin moneen paikkaan, parempi käyttää ihmisluettavia tunnuksia. * **Miten kurssiryhmät kannattaa tehdä IDM:n tietojen pohjalta?** * **AD ryhmien ja ArcGIS ryhmien välillä vallitsee 1:1 suhde eli ryhmätiedot tulevat "as-is" AD:sta - ryhmän näkyvä nimi voidaan määritellä ryhmäID:stä erillään.** * **Yleisesti ryhmätiedoissa (ID) KAIKKI erikoismerkit (mkl. ääkköset) kannattaa unohtaa.** * Mitä jos uusi automaattinen tunnus ja vanha käsin luotu tunnus olisi samanlaiset? * Etukäteen tulisi tarkistaa, että samantyyppisiä tunnuksia ei ole käytetty aikaisemmin. * **Jos näin olisi kannattaa SAML claim määrityksillä AD:ssa määritellä:** * **millainen / minkä muotoinen ja** * **mitä tietoja UID sisältää - tämä on täysin organisaation itsensä määriteltävissä** * Miten käsitellään tilanne, jossa samalla käyttäjällä on vanha käsin luotu käyttäjätili ja uusi automaattisesti luotu käyttäjätili? * Teknisesti samalla käyttäjällä voi olla 2 tunnusta, mutta se ei ole suositeltava. * Poislukien pääkäyttäjät, joille on suositeltava, että on myös käsin luodut tunnukset. * Peruskäyttäjiltä olisi hyvä poistaa vanhat käyttäjätilit. * Käyttäjän korkeakoulusta valmistuminen / työpaikan vaihto. * Automaattisesti IdP:sta poistunut käyttäjä ei enää pysty kirjautumaan ArcGIS Onlineen, eikä käyttämään ArcGIS Prota. * MUTTA käyttäjän ArcGIS Onlinen tili ei poistu automaattisesti. * ArcGIS Online pääkäyttäjän on hoidettava käyttäjän poisto. * Miten poistetaan ArcGIS Onlinesta käyttätäjätili? * Jos käyttäjätilillä ei ole ArcGIS Onlinessa sisältöjä, vanhan käyttäjän voi vain poistaa. * Jos käyttäjätilillä on ArcGIS Onlinessa sisältöjä, sisällöt on poistettava tai siirrettävä ennen käyttäjän poistoa. * Sisältöjä voi siirtää käyttäjän uudelle käyttäjätunnukselle (uudet automaattiset tunnukset), toiselle käyttäjälle tai roskakoriin. * Ohje sisällön manuaaliseen siirtoon: [linkki dokumentaatioon](https://doc.arcgis.com/en/arcgis-online/administer/manage-items.htm#ESRI_SECTION1_F9D72CA4252E4EB18F4B081C27ADF527) * Järjestelmästä näkyy milloin käyttäjä on viimeksi kirjautunut sisään, sitäkin tietoa voi hyödyntää. * Voi tehdä myös skriptin, joka tekee tämän siirron. * Huomioitava, jos siirto manuaalisesti tehtyistä käyttäjätileista automaattisesti luotuihin käyttäjätileihin: * Uusi automaattisesti luotu käyttäjätili syntyy vasta, jos käyttäjä on kirjautunut SAML:in kautta ArcGIS Onlineen. * Skriptille on käsin tehtävä lista, mikä uusia ja vanha tunnus ovat samalla henkilöllä. * **Azure ID, osaako ArcGIS poistaa, jos IDM:stä on poistettu? Azure ID osaa ilmoittaa poistuneet käyttäjät.** * **Ei. SAML (tai OIDC) standardit eivät pidä tällaista ominaisuutta sisällään. Käyttö/kirjautuminen estyy käyttäjältä automaattisesti. ArcGISissa käyttäjään linkittyy yleensä esim. tuotettua sisältöä/aineistoa, joista on huolehdittava jotenkin, jos/kun käyttäjätunnus poistetaan. Operointi on kuitenkin toteutettavissa automaatiolla, jos niin haluttaisiin.** # Käyttäjien ohjeistus * ArcGIS Online:iin kirjautuminen * Kirjautumissivulta valitaan yrityskirjautuminen (Your ArcGIS organization's URL) ja syötetään organisaation ArcGIS Online URL (https:*xxx*.maps.arcgis.com). Valitaan kotikorkeakoulun kirjautumispalvelu. * [ArcGIS Pron lataus ArcGIS Onlinesta](https://pro.arcgis.com/en/pro-app/latest/get-started/download-arcgis-pro.htm) * Puhelinsovellukset puhelimen sovelluskaupasta * ArcGIS Pron käyttö kotiorganisaation tunnuksilla, kirjautumisohjeet. * Kirjautumisikkunassa valitaan yrityskirjautuminen (Your ArcGIS organization's URL) ja syötetään organisaation ArcGIS Online URL (https:*xxx*.maps.arcgis.com). Valitaan kotikorkeakoulun kirjautumispalvelu. * ArcGIS Pro hakee lisenssin ArcGIS Onlinesta. # Kysymyksiä * Onko mahdollista saada kustomoitu DPA - Data Processing Agreement? * Ei, vakio kaikille. * https://www.esri.com/content/dam/esrisites/en-us/media/legal/gdpr-data-processing-addendums/data-process-addend.pdf # Tilanne ## Ingraatio käytössä: * **HY** on toteuttanut tämän. Ei käyttäjän poistamistamiseen liittyvää automatiikkaa. Integrointi tehty HY:n oman henkilökunnan puolesta. * **Novia** - Integraatio käytössa, SAML+ADFS. IT-palvelujen kommentti: melko helppo. Opettaja ja opiskelijat on kokeilut sitä. Toteutus n kuukausi sitten. Vanhat tunnukset rinnalla, uudet tulee integraation kautta. Uusissa käyttäjätunnuksessa Novia, vanhoissa vain nimi. * Novian toteutus SAML ohjeiden mukaan 1) Määritä Arcgis Onlinessa meidän ADFS palvelin, että se voisi ladata meidän metatiedot 2) Lataa metatiedot Arcgis Onlinesta ADFS:ään 3) Luo Claim rules, jotka määritteleävt millaisia tietoja tulisi käyttää ja lähettää ArcGIS Onlineen, jos joku kirjautuu sisään. SAML ohjeessa ei ole selkeästi, millaisia Claim rules tulisi käyttää, käytettiin: https://enterprise.arcgis.com/en/portal/10.4/administer/windows/configure-adfs.htm kohta 14. * **XAMK** - Azure AD. * Integraatio tehty * Vanhojen tunnusten lopettaminen vielä edessä ## Ingraatio suunnitelmissa * **UTU** - periaatteessa kiinnostuneita, ei juuri nyt resurssia, tavoite 2025 mennessä, SAML+Keycloak * **JYU** - Integraatiota kokeiltu, mutta ei käytössä. Digipalvelut ei ole ottanut kantaa. * **Aalto** - löydettävä sisäistä resurssia integraation todeuttamiseksi, teknisesti muihin palveluihin on tehtu IDM-integraatioita. Tärkeä saada tietosuojapuoli kuntoon. * **UEF** - kiinnostuneita * **TAU** - kiinnostuneita, ei aikataulusuunnitelmia, mieluiten lukukauden vaihdon aikana, Azure ID * **HAMK** - kiinnostuneita, ei paikalla 23.11.2023 ja 28.22.2024 Oulu, Lapin AMK, Karelia, Åbo Akademi - ? 23.11.2023 * Anssi Lensu JYU * Pertti Kilpeläinen, Ville Liukkonen, Janne Korhonen XAMK * Mikko Järvinen, Elina Kasvi UTU * Pekka Karppinen, Jussi Nikander Aalto * Katja Iltanen, Harrri Nystedt TAU * Johan Nordström Novia 15.5.2024 * Juuso Suomi, Mikko Järveläinen, Jouni Haltta UTU * Pertti Kilpeläinen, Janne Korhonen, Ville Liukkonen XAMK * Anssi Lensu JYU * Katja Iltanen TAU * Sonja Kivinen UEF (Toni Mönkköinen teknisenä taustalla) * Jussi Nikander Aalto * Johan Nordström Novia 28.11.2024 * Jussi Nikander Aalto * Juuso Suomi, Jouni Haltta UTU * Katja Iltanen, Harri Nystedt TAU * Janne Korhonen, Ville Liukkonen XAMK * Anssi Lensu JYU * Sonja Kivinen, UEF # Yhteystiedot * Kylli Ek, CSC, kylli.ek@csc.fi * Lauri Vallo, ESRI Finland, lauri.vallo@esri.fi * Tommi Terävä, Kaisa Voipio, ESRI Finland, tuki@esri.fi * Kaisa Voipio * Jos halutaan kehittää skriptejä vanhojen käyttäjien poistamiseksi (joko käsin luodut tunnukset tai organisaatiosta poistuneet henkilöt) ESRI Finlandilta ilmeiseti on mahdollista tilata tähän liittyvää työtä.