シングルサインオンでの ThingWorx Navigate の設定
シングルサインオンの画面では、Windchill サーバーの情報と PingFederate への接続に関する情報を入力します。
開始する前に
PingFederate に関するバックグラウンド情報を確認してください。また、設定を開始する前に、
PTC Single Sign-on Architecture and Configuration Overview Guide を読んでおくことをお勧めします。
Windchill サーバー情報の入力
まず、Windchill に接続します。Windchill を SSL で設定することをお勧めします。
1. 「Windchill サーバーの URL」を入力します。
◦ 単一の Windchill サーバーへの接続 - URL がフォーマット [http または https]://[windchill-host]:[windchill-port]/[windchill-web-app] に従っていることを確認します。
◦ クラスタの Windchill 環境 - 負荷分散ルータの URL を入力します。たとえば、[https]://[LB-host]:[port]/[windchill-web-app] です。
2. 「Next」をクリックします。
ThingWorx の TrustStore 情報を入力します。
この画面に情報を入力する前に、Apache Tomcat が SSL で設定されているかどうかに応じて、正しい TrustStore ファイルを準備します。
• SSL 使用の Apache Tomcat - インストール時に使用したものと同じ ThingWorx TrustStore ファイルを使用して、SSL 使用の Apache Tomcat を設定します。次に、keytool ユーティリティを使用して、Windchill SSL 認証を ThingWorx TrustStore ファイルにインポートします。
• SSL を使用しない Apache Tomcat - Java keytool ユーティリティを使用して ThingWorx TrustStore ファイルを作成して、Windchill SSL 認証を TrustStore ファイルにインポートします。
keytool を使用した TrustStore ファイルの生成手順は、
SSL での ThingWorx Navigate の設定で説明されています。
これで TrustStore ファイルが準備できたので、次は「SSO: TrustStore for ThingWorx」画面に情報を入力します。
1. 「TrustStore file」の横にある
をクリックし、TrustStore ファイルをブラウズします。ファイルが JKS (
*.jks) フォーマットであることを確認します。
2. 「Open」をクリックします。
3. 「Password」の横に、TrustStore ファイルのパスワードを入力します。
4. 「Next」をクリックします。
アクセストークンの永続性の設定
この画面では、データベースのアクセストークン情報を入力します。インストール設定に従って、場所、ポート、ユーザー名、データベース名が自動的に表示されます。
• IP Address or Host Name
• Port
• Database Name
• User name
• Password
PingFederate サーバー情報の入力
1. PingFederate に関する次の情報を入力します。
◦ 「Hostname」 - PingFederate サーバーの完全修飾ホスト名 (<hostname.domain.com> など) を入力します。
◦ 「Runtime port」 - PingFederate ランタイムポートを指定します。デフォルトは 9031 です。
2. 「Next」をクリックします。
ID プロバイダ (IdP) とサービスプロバイダ (SP) の情報を入力します。
この画面では、PingFederate からの情報を入力します。ここでは入力内容を慎重に確認します。これらの値が有効でないと、情報が正しくない場合にエラーメッセージが表示されません。
1. PingFederate の IdP メタデータ情報を指定します。
◦ 「IdP metadata file」 -
をクリックして、
PingFederate から IdP メタデータファイルをブラウズします。たとえば、
sso-idp-metadata.xml です。
◦ 「SAML Assertion UserName AttributeName」 - デフォルトの uid をそのまま使用するか、新しい属性名を入力します。
2. ThingWorx サービスプロバイダ接続の情報を入力します:
◦ 「SP Connection Entity ID」 - metadataEntityId の値を入力します。これは、PingFederate でサービスプロバイダ接続を設定したときに指定した、ThingWorx サービスプロバイダ接続 ID です。
3. 「Next」をクリックします。
SSO キーマネージャの設定
この画面に情報を入力する前に、正しい KeyStore ファイルとキーペアを準備します。
| これは、ThingWorx の署名証明書です。これはアプリケーション層の証明書で、ThingWorx ホスト名と同じである必要はありません。たとえば、「ThingWorx」と入力します。 |
2. PingFederate の署名証明書を、ステップ 1 で作成した SSO KeyStore ファイルにインポートします。
次のリソースが役に立つと思われます。
これで正しいファイルと証明書が準備できたので、次は「SSO Key Manager Settings」画面に情報を入力できます。
1. SSO KeyStore 情報を入力します。
◦ 「KeyStore file」 -
をクリックして、JKS (
*.jks) ファイルをブラウズします。
◦ 「KeyStore password」 - 前述の、KeyStore ファイルの作成時に定義したパスワードを入力します。
2. 上記で定義した ThingWorx キーペア情報を入力します。
◦ 「Key Pair alias name」
◦ 「Key Pair password」
3. 「Next」をクリックします。
認証サーバーの設定
PingFederate は、認証サーバーとして機能します。
1. PingFederate サーバーの設定を指定します。
◦ 「Authorization Server ID」 - PingFederate サーバーの ID。
◦ 「Authorization Server Scope」 - PingFederate に登録されている範囲の名前。たとえば、SCOPE NAME = WINDCHILL_READ です。
◦ 「ThingWorx OAuth Client ID」 - PingFederate に対して ThingWorx アプリケーションを識別するための OAuth クライアント ID。
◦ 「ThingWorx OAuth Client Secret」 - PingFederate に示されているクライアントシークレット。
◦ Client Authentication Scheme - デフォルトは form です。
2. デフォルトの「Encrypt OAuth refresh tokens」をそのまま使用して、トークンをセキュリティで保護してからデータベースに保存します。この設定をお勧めします。
3. 「Next」をクリックします。
サマリー: コンフィギュレーション設定
コンフィギュレーション設定を確認します。準備ができたら、「Configure」をクリックします。
設定完了
ThingWorx Navigate がシングルサインオンで設定されました。開くプログラムを選択します。
• Open ThingWorx Navigate
• Open ThingWorx Composer
その後、「Close」をクリックします。ID プロバイダのログインページにリダイレクトされます。IdP 資格証明を使用してログインします。
次のステップ
ThingWorx Navigate がインストールおよびライセンス付与され、基本設定が完了しました。次の必須ステップでは、管理者以外のユーザーにアクセス許可を付与します。
ThingWorx アクセス許可の修正: ユーザーとグループの手順に従います。
次のようなオプションの設定に進むこともできます。
• SAP への接続
• 複数の Windchill システムでの設定