Configuration de ThingWorx Navigate avec l'authentification unique
Dans les écrans pour l'authentification unique, nous allons entrer les informations pour le serveur Windchill et pour la connexion à PingFederate.
Avant de commencer
Prenez un moment pour passer en revue quelques informations concernant
PingFederate. Nous recommandons également la lecture du manuel anglais
PTC Single Sign-on Architecture and Configuration Overview Guide (Guide de présentation de la configuration et de l'architecture d'authentification unique PTC) avant de commencer.
Spécifier les informations du serveur Windchill
Tout d'abord, vous devez vous connecter à Windchill. Nous recommandons de configurer Windchill pour SSL.
1. Entrez l'URL du serveur Windchill :
◦ Pour vous connecter à un seul serveur Windchill : assurez-vous que l'URL respecte le format [http ou https]://[windchill-host]:[windchill-port]/[windchill-web-app].
◦ Pour un environnement Windchill en grappe : entrez l'URL du routeur d'équilibrage de charge. Par exemple : [https]://[LB-host]:[port]/[windchill-web-app].
2. Cliquez sur Next.
Fournissez vos informations TrustStore à ThingWorx
Avant de fournir les informations dans cet écran, préparez le fichier TrustStore correct, selon que votre Apache Tomcat est configuré avec SSL :
• Apache Tomcat avec SSL : utilisez le même fichier TrustStore ThingWorx que celui utilisé lors de l'installation pour configurer Apache Tomcat avec SSL. Ensuite, utilisez l'utilitaire keytool pour importer le certificat SSL Windchill dans le fichier TrustStore ThingWorx.
• Apache Tomcat sans SSL : créez un fichier TrustStore ThingWorx à l'aide de l'utilitaire Java keytool, puis importez le certificat SSL Windchill dans le fichier TrustStore.
La rubrique
Configuration de ThingWorx Navigate avec SSL contient des instructions sur la génération de fichiers TrustStore à l'aide de
keytool.
Maintenant que vous avez préparé le fichier TrustStore, fournissez les informations dans l'écran SSO : TrustStore for ThingWorx :
1. En regard de
TrustStore file, cliquez sur
, puis accédez à l'emplacement de votre fichier TrustStore. Assurez-vous que le fichier est au format JKS (
*.jks).
2. Cliquez sur Ouvrir.
3. En regard de Password, saisissez le mot de passe du fichier TrustStore.
4. Cliquez sur Next.
Paramètres de persistance des jetons d'accès
Dans cet écran, entrez les informations du jeton d'accès pour votre base de données. L'emplacement, le port, le nom d'utilisateur et le nom de base de données s'affichent automatiquement en fonction de vos paramètres d'installation.
• IP Address or Host Name
• Port
• Database Name
• User name
• Password
Spécifier les informations du serveur PingFederate
1. Fournissez ces informations pour PingFederate :
◦ Hostname : entrez le nom d'hôte complet du serveur PingFederate, <hostname.domain.com> par exemple.
◦ Runtime port : indiquez le port d'exécution de PingFederate. La valeur par défaut est 9031.
2. Cliquez sur Next.
Spécifier les informations du fournisseur d'identité (IdP) et du fournisseur de services (SP)
Dans cet écran, fournissez les informations de PingFederate. Vérifiez vos entrées avec soin. Ces valeurs ne sont pas validées et vous ne recevez pas d'erreur lorsque les informations sont incorrectes.
1. Fournissez les informations de métadonnées IdP pour PingFederate :
◦ IdP metadata file : cliquez sur
, puis accédez au fichier de métadonnées IdP depuis
PingFederate. Par exemple,
sso-idp-metadata.xml.
◦ SAML Assertion UserName AttributeName : acceptez la valeur par défaut, uid, ou entrez un nouveau nom d'attribut.
2. Entrez les informations pour la connexion au fournisseur de services ThingWorx :
◦ SP Connection Entity ID : indiquez une valeur pour metadataEntityId. Il s'agit de l'ID de connexion au fournisseur de services ThingWorx que vous avez spécifié lors de la configuration de la connexion au fournisseur de services dans PingFederate.
3. Cliquez sur Next.
Paramètres du gestionnaire de clés SSO
Avant d'entrer les informations dans cet écran, préparez le fichier KeyStore et la paire de clé corrects :
| Il s'agit du certificat de signature ThingWorx. Il s'agit d'un certificat de couche d'application qui ne doit pas nécessairement correspondre à votre nom d'hôte ThingWorx. Par exemple, ThingWorx. |
2. Importez le certificat de signature PingFederate dans le fichier SSO KeyStore que vous avez créé à l'étape 1.
Les ressources suivantes peuvent être utiles :
• Rubrique "Importation de certificats dans un fichier KeyStore" dans l'
aide de ThingWorx Maintenant que vous disposez des fichiers et certificats corrects, vous pouvez entrer les informations dans l'écran SSO Key Manager Settings :
1. Fournissez vos informations SSO KeyStore :
◦ KeyStore file : cliquez sur
, puis accédez au fichier JKS (
*.jks).
◦ KeyStore password : entrez le mot de passe que vous avez défini ci-dessus, lorsque vous avez créé le fichier KeyStore.
2. Entrez les informations de paire de clés ThingWorx que vous avez définies ci-dessus.
◦ Key Pair alias name
◦ Key Pair password
3. Cliquez sur Next.
Paramètres du serveur d'autorisation
PingFederate est votre serveur d'autorisation.
1. Spécifiez les paramètres de votre serveur PingFederate :
◦ Authorization Server ID : ID de votre serveur PingFederate.
◦ Authorization Server Scope : nom de l'étendue qui est enregistré dans PingFederate. Par exemple : SCOPE NAME = WINDCHILL_READ.
◦ ThingWorx OAuth Client ID : l'ID client OAuth pour identifier l'application ThingWorx pour PingFederate.
◦ ThingWorx OAuth Client Secret : clé du client mentionnée dans PingFederate.
◦ Client Authentication Scheme : la valeur par défaut est form.
2. Acceptez la valeur par défaut, Encrypt OAuth refresh tokens, pour sécuriser les jetons avant qu'ils ne deviennent persistants dans la base de données. Ce paramètre est recommandé.
3. Cliquez sur Next.
Summary: Configuration Settings
Passez en revue les paramètres de configuration. Lorsque vous avez terminé, cliquez sur Configurer.
Terminé !
ThingWorx Navigate est configuré avec l'authentification unique. Sélectionnez les programmes à ouvrir :
• Open ThingWorx Navigate
• Open ThingWorx Composer
Ensuite, cliquez sur Close. Vous êtes redirigé vers la page de connexion du fournisseur d'identité. Utilisez les informations d'identification du fournisseur d'identité pour vous connecter.
Etapes suivantes
ThingWorx Navigate est installé et sous licence, et la configuration de base est terminée. L'étape suivante requise consiste à accorder une autorisation aux utilisateurs non administrateurs. Suivez la procédure décrite dans la section
Modification des permissions ThingWorx : utilisateurs et groupes.
Vous pouvez également procéder aux configurations facultatives, notamment la suivante :
• Connexion à SAP
• Configuration avec plusieurs systèmes Windchill