ThingWorx Navigate installieren, lizenzieren und konfigurieren > ThingWorx Navigate für Single Sign-On einrichten
  
ThingWorx Navigate für Single Sign-On einrichten
Auf den Bildschirmen für Single Sign-On geben Sie die Informationen für den Windchill Server und für die Verbindung mit PingFederate ein.
Vorbereitung
Lassen Sie uns kurz einige Hintergrundinformationen zu PingFederate erläutern. Es wird außerdem empfohlen, das englische Handbuch PTC Single Sign-on Architecture and Configuration Overview Guide zu lesen, bevor Sie beginnen.
Windchill Server Informationen eingeben
Stellen wir zuerst eine Verbindung zu Windchill her. Wir empfehlen die Konfiguration von Windchill für SSL.
1. Geben Sie die Windchill Server-URL ein.
Für eine Verbindung mit einem einzelnen Windchill Server: Die URL muss das Format [http oder https]://[windchill-host]:[windchill-port]/[windchill-web-app] aufweisen.
Für Windchill Cluster-Umgebungen: Geben Sie die URL des Lastenausgleichs-Routers ein. Beispiel: [https]://[LB-host]:[port]/[windchill-web-app]
Lesen Sie in ThingWorx Navigate mit einer Windchill Cluster-Umgebung konfigurieren die Abschnitte zu Single Sign-On-Umgebungen.
Für Verbindungen mit mehreren Windchill Systemen: Stellen Sie zunächst eine Verbindung mit einem einzelnen Server her. Nachdem Sie die Erstkonfiguration abgeschlossen haben, befolgen Sie die manuellen Schritte in ThingWorx Navigate für Verbindungen mit mehreren Windchill Systemen konfigurieren.
2. Klicken Sie auf Next.
TrustStore-Anmeldeinformationen für ThingWorx angeben
Bevor Sie die Informationen auf diesem Bildschirm eingeben, bereiten Sie die richtige TrustStore-Datei vor, je nachdem, ob Apache Tomcat für SSL konfiguriert ist:
Apache Tomcat mit SSL: Verwenden Sie dieselbe ThingWorx TrustStore-Datei, die Sie während der Installation verwendet haben, um Apache Tomcat für SSL zu konfigurieren. Verwenden Sie dann das Dienstprogramm keytool, um das Windchill SSL-Zertifikat in die ThingWorx TrustStore-Datei zu importieren.
Apache Tomcat ohne SSL: Erstellen Sie eine ThingWorx TrustStore-Datei mit dem Java-Dienstprogramm keytool, und importieren Sie das Windchill SSL-Zertifikat in die TrustStore-Datei.
Das Thema ThingWorx Navigate für SSL einrichten enthält Anweisungen zum Generieren von TrustStore-Dateien mit dem keytool.
Nachdem Sie die TrustStore-Datei vorbereitet haben, geben Sie die Informationen auf dem Bildschirm SSO: TrustStore for ThingWorx ein:
1. Klicken Sie neben TrustStore file auf , und navigieren Sie anschließend zu Ihrer TrustStore-Datei. Die Datei muss im JKS-Format (*.jks) vorliegen.
2. Klicken Sie auf Öffnen.
3. Geben Sie neben Password das Passwort für die TrustStore-Datei ein.
4. Klicken Sie auf Next.
Token-Persistenzeinstellungen aufrufen
Geben Sie auf diesem Bildschirm das Zugriffs-Token für Ihre Datenbank ein. Speicherort, Port, Benutzername und Name der Datenbank werden automatisch entsprechend Ihren Installationseinstellungen angezeigt.
IP Address or Host Name
Port
Database Name
User name
Passwort
PingFederate Server-Informationen eingeben
1. Geben Sie diese Informationen für PingFederate ein:
Hostname: Geben Sie den vollständig qualifizierten Hostnamen für den PingFederate Server ein, z.B. <hostname.domain.com>.
Runtime port: Geben Sie den PingFederate Laufzeitport an. Die Standardeinstellung ist 9031.
2. Klicken Sie auf Next.
Einstellungen für Identitätsanbieter (IdP) und Dienstanbieter (SP) eingeben
Geben Sie auf diesem Bildschirm Informationen aus PingFederate an. Überprüfen Sie Ihre Eingabe sorgfältig. Diese Werte werden nicht überprüft, und Sie erhalten keine Fehlermeldung, wenn die Informationen nicht korrekt sind.
1. Stellen Sie die IdP-Metadateninformationen für PingFederate bereit:
IdP metadata file: Klicken Sie auf , und navigieren Sie zur IdP-Metadatendatei aus PingFederate. Beispiel: sso-idp-metadata.xml.
SAML Assertion UserName AttributeName: Übernehmen Sie den Standardwert uid, oder geben Sie einen neuen Attributnamen ein.
2. Geben Sie die Informationen für die ThingWorx Dienstanbieter-Verbindung ein:
SP Connection Entity ID: Geben Sie den Wert für metadataEntityId ein. Hierbei handelt es sich um die ThingWorx Dienstanbieter-Verbindungs-ID, welche Sie bei der Konfiguration der Dienstanbieter-Verbindung in PingFederate angegeben haben.
3. Klicken Sie auf Next.
Einstellungen für SSO Key Manager
Bevor Sie die Informationen auf diesem Bildschirm eingeben, bereiten Sie die richtige KeyStore-Datei und das richtige Schlüsselpaar vor:
1. Erstellen Sie eine SSO KeyStore-Datei mit dem Java-Dienstprogramm keytool. Erstellen Sie ein Schlüsselpaar mit den keytool Befehlen aus ThingWorx Navigate für SSL einrichten.
* 
Dies ist das ThingWorx Unterzeichnungszertifikat. Dies ist ein Zertifikat der Anwendungsschicht und muss nicht Ihrem ThingWorx Hostnamen entsprechen. Beispiel: ThingWorx.
2. Importieren Sie das PingFederate Unterzeichnungszertifikat in die SSO KeyStore-Datei, die Sie in Schritt 1 erstellt haben.
Diese Ressourcen können nützlich sein:
PTC Single Sign-on Architecture and Configuration Overview guide
Das Thema "Zertifikate in die KeyStore-Datei importieren" in der ThingWorx Hilfe
Nachdem Sie nun die richtigen Dateien und Zertifikate haben, können Sie die Informationen auf dem Bildschirm SSO Key Manager Settings eingeben:
1. Geben Sie Ihre Anmeldeinformationen für den SSO-KeyStore an:
KeyStore file: Klicken Sie auf , und navigieren Sie dann zur JKS-Datei (*.jks).
KeyStore password: Geben Sie das Passwort ein, das Sie oben beim Erstellen der KeyStore-Datei festgelegt haben.
2. Geben Sie die ThingWorx Schlüsselpaarinformationen ein, die Sie oben festgelegt haben.
Key Pair alias name
Key Pair password
3. Klicken Sie auf Next.
Einstellungen für den Autorisierungsserver
PingFederate wird als Autorisierungsserver verwendet.
1. Geben Sie die Einstellungen für Ihren PingFederate Server an:
Authorization Server ID: Die ID Ihres PingFederate Servers.
Authorization Server Scope: Der Name des Bereichs, der in PingFederate registriert ist. Beispiel: SCOPE NAME = WINDCHILL_READ
ThingWorx OAuth Client ID: Die OAuth-Client-ID zur Identifizierung der ThingWorx Anwendung gegenüber PingFederate.
ThingWorx OAuth Client Secret: Das Client-Verschlüsselungswort in PingFederate.
Client Authentication Scheme: Die Standardeinstellung ist form.
2. Akzeptieren Sie die Standardeinstellung, Encrypt OAuth refresh tokens, um die Token zu sichern, bevor sie in der Datenbank persistiert werden. Wir empfehlen diese Einstellung.
3. Klicken Sie auf Next.
Summary: Configuration settings
Überprüfen Sie die Konfigurationseinstellungen. Wenn Sie bereit sind, klicken Sie auf Configure.
Erfolg!
ThingWorx Navigate ist mit Single Sign-On konfiguriert. Wählen Sie die Programme aus, die geöffnet werden sollen:
ThingWorx Navigate öffnen
ThingWorx Composer öffnen
Klicken Sie anschließend auf Schließen. Sie werden auf die Anmeldeseite des Identitätsanbieters umgeleitet. Verwenden Sie Ihre IdP-Anmeldeinformationen, um sich anzumelden.
Nächste Schritte
ThingWorx Navigate ist jetzt installiert und lizenziert, und die grundlegende Konfiguration ist abgeschlossen. Im nächsten Schritt müssen nicht als Administratoren eingerichteten Benutzern Berechtigungen gewährt werden. Führen Sie die Schritte in ThingWorx Berechtigungen ändern: Benutzer und Gruppen aus.
Sie können auch mit optionalen Konfigurationen wie folgenden weitermachen:
Mit SAP verbinden
Mit mehreren Windchill Systemen konfigurieren