Single Sign-on으로 ThingWorx Navigate 설정

Single Sign-on 화면에서 Windchill 서버와 PingFederate 연결에 필요한 정보를 입력하겠습니다.

잠시 시간을 내어 PingFederate에 대한 사전 정보를 검토해 보십시오. 또한, 시작하기 전에 PTC Single Sign-on Architecture and Configuration Overview Guide(PTC SSO(Single Sign-On) 아키텍처 및 구성 개요 안내서)를 읽어볼 것을 권장합니다.

먼저, Windchill에 연결합니다. Windchill를 SSL용으로 구성하는 것이 좋습니다.

◦ 단일 Windchill 서버에 연결 - URL의 형식은 [http 또는 https]://[windchill-host]:[windchill-port]/[windchill-web-app]이어야 합니다.

◦ 클러스터 Windchill 환경의 경우 - 부하 분산 라우터의 URL를 입력합니다. 예를 들면 다음과 같습니다. [https]://[LB-host]:[port]/[windchill-web-app]

클러스터형 Windchill 환경으로 ThingWorx Navigate 구성에서 Single Sign-on 환경 관련 단원을 참조하십시오.

◦ 여러 Windchill 시스템에 연결 - 현재로서는 단일 서버에 연결합니다. 그런 다음, 초기 구성을 완료한 후 여러 Windchill 시스템에 연결하도록 ThingWorx Navigate 구성의 수동 단계를 따릅니다.

ThingWorx에 대한 사용자의 신뢰 저장소 정보 제공

이 화면에 정보를 제공하기 전에 사용자의 Apache Tomcat이 SSL로 구성되었는지 여부에 따라 올바른 키 저장소 파일을 준비하십시오.

• SSL로 구성된 Apache Tomcat - SSL로 Apache Tomcat을 구성하기 위해 설치 과정에서 사용한 동일한 ThingWorx 신뢰 저장소 파일을 사용합니다. 그런 다음, keytool 유틸리티를 사용하여 Windchill SSL 인증서를 ThingWorx 신뢰 저장소 파일로 가져옵니다.

• SSL로 구성되지 않은 Apache Tomcat - Java keytool 유틸리티를 사용하여 ThingWorx 신뢰 저장소 파일을 만든 다음, Windchill SSL 인증서를 신뢰 저장소 파일로 가져옵니다.

도움말 항목 SSL을 사용하여 ThingWorx Navigate 설정에는 keytool을 사용하여 신뢰 저장소 파일을 생성하는 지침이 포함되어 있습니다.

이제 신뢰 저장소 파일이 준비되었으므로, SSO: ThingWorx에 대한 신뢰 저장소 화면에 정보를 제공합니다.

1. 신뢰 저장소 파일 옆에 있는

를 클릭한 다음 신뢰 저장소 파일로 이동합니다. 파일이 JKS(*.jks) 형식인지 확인하십시오.

3. 암호 옆에 신뢰 저장소 파일의 암호를 입력합니다.

이 화면에서는 데이터베이스에 대한 액세스 토큰 정보를 입력합니다. 사용자의 설치 설정에 따라 위치, 포트, 사용자 이름 및 데이터베이스 이름을 자동으로 표시됩니다.

• IP Address or Host Name

◦ Hostname - PingFederate 서버의 정규화된 호스트 이름(예: <hostname.domain.com>)을 입력합니다.

◦ Runtime port - PingFederate 런타임 포트를 제공합니다. 기본값은 9031입니다.

IdP(ID 공급자) 및 SP(서비스 공급자)에 대한 정보 제공

이 화면에서는 PingFederate의 정보를 제공합니다. 입력한 내용을 신중하게 확인하십시오. 이러한 값은 유효성이 확인되지 않았으며, 정보가 정확하지 않더라도 오류 정보를 받지 않습니다.

1. PingFederate의 IdP 메타데이터 정보를 제공합니다.

◦ IdP metadata file -

을 클릭한 다음 PingFederate의 IdP 메타데이터 파일로 이동합니다. 예: sso-idp-metadata.xml.

◦ SAML Assertion UserName AttributeName - 기본값인 uid를 그대로 사용하거나, 새 속성 이름을 입력합니다.

2. ThingWorx 서비스 제공자 연결에 대한 정보를 입력합니다.

◦ SP Connection Entity ID - metadataEntityId에 대한 값을 입력합니다. 이 값은 PingFederate에서 사용자가 서비스 공급자 연결을 구성할 때 제공했던 ThingWorx 서비스 제공자 연결 ID입니다.

이 화면에 정보를 입력하기 전에 올바른 키 저장소 파일 및 키 쌍을 준비하십시오.

1. Java keytool 유틸리티를 사용하여 SSO 키 저장소 파일을 생성합니다. SSL을 사용하여 ThingWorx Navigate 설정에 나오는 keytool 명령을 사용하여 키 쌍을 생성합니다.

이는 ThingWorx 서명 인증서입니다. 이 인증서는 응용 프로그램 계층 인증서이며, 사용자의 ThingWorx 호스트 이름과 동일할 필요는 없습니다. 예를 들면 다음과 같습니다. ThingWorx

2. PingFederate 서명 인증서를 1단계에서 생성한 SSO 키 저장소 파일로 가져옵니다.

• PTC Single Sign-on Architecture and Configuration Overview Guide(PTC SSO(Single Sign-On) 아키텍처 및 구성 개요 안내서)

• ThingWorx 도움말의 "인증서를 키 저장소 파일로 가져오기" 항목

이제 올바른 파일과 인증서가 준비되었으므로, SSO 키 관리자 설정 화면에 정보를 제공할 수 있습니다.

◦ 키 저장소 파일 -

를 클릭한 다음 JKS(*.jks) 파일로 이동합니다.

◦ 키 저장소 암호 - 키 저장소 파일을 만들 때 위에서 정의한 암호를 입력합니다.

2. 위에서 정의한 ThingWorx 키 쌍 정보를 입력합니다.

PingFederate가 사용자의 승인 서버 역할을 수행합니다.

◦ Authorization Server ID - PingFederate 서버의 ID입니다.

◦ Authorization Server Scope - PingFederate에 등록된 범위의 이름입니다. 예를 들면 다음과 같습니다. SCOPE NAME = WINDCHILL_READ

◦ ThingWorx OAuth Client ID - ThingWorx 응용 프로그램을 PingFederate에 식별해 주는 OAuth 클라이언트 ID입니다.

◦ ThingWorx OAuth Client Secret - PingFederate에서 언급된 클라이언트 보안입니다.

◦ Client Authentication Scheme - 기본값은 form입니다.

2. 토큰이 데이터베이스에 저장되기 전에 토큰을 확보하려면 기본값인 Encrypt OAuth refresh tokens를 그대로 사용합니다. 이 설정을 권장합니다.

구성 설정을 검토합니다. 준비 완료가 되면 Configure를 클릭합니다.

ThingWorx Navigate는 Single Sign-on으로 구성되어 있습니다. 열려는 프로그램을 선택합니다.

• ThingWorx Navigate 열기

• ThingWorx Composer 열기

그런 다음 닫기를 클릭합니다. ID 공급자 로그인 페이지로 리디렉션됩니다. 사용자의 IdP 자격 증명을 사용하여 로그인합니다.

ThingWorx Navigate가 설치되고 라이선스가 부여되고 기본 구성이 완료되었습니다. 필요한 다음 단계는 관리자가 아닌 사용자에게 권한을 부여하는 것입니다. ThingWorx 권한 수정: 사용자 및 그룹의 단계를 따르십시오.

다음과 같은 선택적 구성으로 이동할 수도 있습니다.