Impostare ThingWorx Navigate con l'autenticazione Single Sign-On
Nelle schermate per l'autenticazione Single Sign-On è necessario immettere le informazioni per il server Windchill e per la connessione a PingFederate.
Prima di iniziare
Leggere alcune informazioni di base su
PingFederate. Si consiglia inoltre di leggere la
PTC Single Sign-on Architecture and Configuration Overview Guide prima di iniziare.
Immettere le informazioni del server Windchill
Connettersi innanzitutto a Windchill. Si consiglia di configurare Windchill per SSL.
1. Immettere l'URL del server Windchill nel campo Windchill server URL.
◦ Per connettersi a un unico server Windchill, assicurarsi che l'URL segua il formato [http o https]://[windchill-host]:[windchill-port]/[windchill-web-app].
◦ Per gli ambienti cluster Windchill, immettere l'URL del router di bilanciamento del carico. Ad esempio, [https]://[LB-host]:[port]/[windchill-web-app]
2. Fare clic su Next.
Fornire le informazioni truststore per ThingWorx
Prima di fornire le informazioni in questa schermata, preparare il file truststore corretto, a seconda che Apache Tomcat sia configurato con SSL.
• Apache Tomcat con SSL - Utilizzare lo stesso file truststore di ThingWorx impiegato durante l'installazione per configurare Apache Tomcat con SSL. Quindi, utilizzare l'utilità keytool per importare il certificato SSL Windchill nel file truststore di ThingWorx.
• Apache Tomcat senza SSL - Creare un file truststore di ThingWorxutilizzando l'utilità keytool Java, quindi importare il certificato SSL Windchill nel file truststore.
L'argomento
Configurare ThingWorx Navigate con SSL contiene istruzioni per la generazione di file truststore tramite l'utilità
keytool.
Ora che si dispone del file truststore, fornire le informazioni nella schermata SSO: TrustStore for ThingWorx, attenendosi alla procedura riportata di seguito.
1. Accanto a
TrustStore file, fare clic su
, quindi passare al file truststore. Assicurarsi che il file sia in formato JKS (
*.jks).
2. Fare clic su Open.
3. Accanto a Password, immettere la password per il file truststore.
4. Fare clic su Next.
Impostazioni per la persistenza dei token di accesso
In questa schermata immettere le informazioni del token di accesso per il database. La posizione, la porta, il nome utente e il nome del database vengono visualizzati automaticamente in base alle impostazioni di installazione.
• IP Address or Host Name
• Port
• Database Name
• User name
• Password
Immettere le informazioni del server PingFederate
1. Immettere questa informazione per PingFederate:
◦ Hostname - Immettere il nome host completo per il server PingFederate, ad esempio <hostname.domain.com>.
◦ Runtime port - Specificare la porta di runtime del server PingFederate. L'impostazione di default è 9031.
2. Fare clic su Next.
Fornire le informazioni per il provider di identità (IdP) e il provider di servizi (SP)
In questa schermata fornire le informazioni da PingFederate. Verificare l'input attentamente. Questi valori non vengono convalidati e non viene visualizzato un errore se le informazioni non sono corrette.
1. Specificare le informazioni dei metadati IdP per il server PingFederate:
◦ IdP metadata file - Fare clic su
, quindi individuare il file di metadati IdP del server
PingFederate. Ad esempio,
sso-idp-metadata.xml.
◦ SAML Assertion UserName AttributeName - Accettare l'impostazione di default uid o immettere un nuovo nome di attributo.
2. Immettere le informazioni per la connessione al provider di servizi ThingWorx:
◦ SP Connection Entity ID - Immettere il valore per metadataEntityId. Si tratta dell'ID di connessione del provider di servizi ThingWorx fornito quando è stata configurata la connessione al provider di servizi nel server PingFederate.
3. Fare clic su Next.
Impostazioni per la gestione chiavi SSO
Prima di immettere le informazioni in questa schermata, preparare il file keystore e la coppia di chiavi corretti.
| Si tratta del certificato di firma ThingWorx, ovvero di un certificato a livello di applicazione che non deve essere identico al nome host ThingWorx. Ad esempio, ThingWorx. |
2. Importare il certificato di firma PingFederate nel file keystore SSO creato al passo 1.
Le risorse indicate di seguito possono essere utili.
Ora che si dispone dei file e dei certificati corretti, è possibile immettere le informazioni nella schermata SSO Key Manager Settings attenendosi alla procedura riportata di seguito.
1. Specificare le informazioni del keystore SSO:
◦ KeyStore file - Fare clic su
, quindi individuare il file JKS (
*.jks).
◦ KeyStore password - Immettere la password definita durante la creazione del file keystore.
2. Immettere le informazioni sulla coppia di chiavi ThingWorx definite in precedenza.
◦ Key Pair alias name
◦ Key Pair password
3. Fare clic su Next.
Impostazioni del server di autenticazione
PingFederate funge da server di autenticazione.
1. Fornire le impostazioni per il server PingFederate:
◦ Authorization Server ID - ID del server PingFederate.
◦ Authorization Server Scope - Nome dell'ambito registrato nel server PingFederate. Ad esempio, SCOPE NAME = WINDCHILL_READ
◦ ThingWorx OAuth Client ID - ID del client OAuth che permette di identificare l'applicazione ThingWorx per PingFederate.
◦ ThingWorx OAuth Client Secret - Segreto del client menzionato in PingFederate.
◦ Client Authentication Scheme - L'impostazione di default è form.
2. Accettare l'impostazione di default Encrypt OAuth refresh tokens, per proteggere i token prima che vengano resi persistenti nel database. Si consiglia di utilizzare questa impostazione.
3. Fare clic su Next.
Summary: Configuration Settings
Rivedere le impostazioni di configurazione. Quando si è pronti, fare clic su Configure.
Operazione completata
ThingWorx Navigate è configurato con l'autenticazione Single Sign-On. Selezionare i programmi da aprire:
• Open ThingWorx Navigate
• Open ThingWorx Composer
Quindi, fare clic su Close. Si viene reindirizzati alla pagina di accesso del provider di identità. Per eseguire l'accesso, utilizzare le credenziali IdP.
Passi successivi
ThingWorx Navigate è ora installato e concesso in licenza e la configurazione di base è completa. Il prossimo passo richiesto è concedere l'autorizzazione agli utenti non amministrativi. Attenersi alla procedura descritta in
Modificare i permessi ThingWorx di utenti e gruppi.
È anche possibile passare alle configurazioni avanzate e facoltative, come quelle indicate di seguito.
• Effettuare la connessione a SAP
• Eseguire la configurazione con sistemi Windchill multipli