设置 ThingWorx Navigate 使用单一登录
在单一登录屏幕,我们将输入 Windchill 服务器以及连接到 PingFederate 的信息。
事前准备
请先简要了解
PingFederate 背景知识。我们还建议在开始之前参阅
《PTC 单一登录架构和配置概述指南》。
输入 Windchill 服务器信息
首先,让我们连接到 Windchill。我们建议您配置 Windchill 使用 SSL。
1. 输入“Windchill 服务器 URL”。
◦ 要连接到单个 Windchill 服务器 - 请确保 URL 遵循格式 [http 或 https]://[windchill-host]:[windchill-port]/[windchill-web-app]
◦ 对于 Windchill 群集环境 - 输入负载均衡路由器 URL。例如,[https]://[LB-host]:[port]/[windchill-web-app]
2. 单击 Next。
提供 ThingWorx 的 TrustStore 信息
在此屏幕上提供信息之前,请根据 Apache Tomcat 是否配置 SSL 来准备正确的 TrustStore 文件:
• Apache Tomcat 使用 SSL - 使用安装期间使用的相同 ThingWorx TrustStore 文件,为 Apache Tomcat 配置 SSL。然后,使用 keytool 实用工具将 Windchill SSL 证书导入 ThingWorx TrustStore 文件。
• Apache Tomcat 不使用 SSL - 使用 Java keytool 实用工具创建 ThingWorx TrustStore 文件,然后将 Windchill SSL 证书导入 TrustStore 文件。
主题
使用 SSL 设置 ThingWorx Navigate包含使用
keytool 生成 TrustStore 文件的指令。
现在,您已经准备好 TrustStore 文件,请在 SSO: TrustStore for ThingWorx 屏幕上提供信息:
1. 单击
TrustStore file 旁边的
,然后浏览到 TrustStore 文件。请确保该文件为 JKS (
*.jks) 格式。
2. 单击 Open。
3. 在 Password 旁边,输入 TrustStore 文件的密码。
4. 单击 Next。
访问令牌持久化设置
在此屏幕上,输入数据库的访问令牌信息。位置、端口、用户名和数据库名称根据安装设置自动显示。
• “IP 地址或主机名”
• “端口”
• “数据库名称”
• User name
• “密码”
输入 PingFederate 服务器信息
1. 为 PingFederate 输入以下信息:
◦ Hostname - 输入完全限定的 PingFederate 服务器主机名称,例如 <hostname.domain.com>。
◦ Runtime port - 提供 PingFederate 运行时端口。默认值为 9031。
2. 单击 Next。
提供身份提供商 (IdP) 和服务提供商 (SP) 的信息
在此屏幕上,提供源自 PingFederate 的信息。请仔细检查您输入的内容。这些值未经过验证,如果信息不正确也不会出现错误。
1. 提供 PingFederate IdP 元数据信息:
◦ IdP metadata file - 单击
,然后浏览到来自
PingFederate 的 IdP 元数据文件。例如,
sso-idp-metadata.xml。
◦ SAML Assertion UserName AttributeName - 接受默认值 uid,或输入新的属性名称。
2. 输入 ThingWorx 服务提供者连接的信息:
◦ SP Connection Entity ID - 输入 metadataEntityId 的值。这是在 PingFederate 中配置服务提供者连接时指定的 ThingWorx 服务提供者连接 ID。
3. 单击 Next。
SSO 密钥管理器设置
在此屏幕上输入信息之前,请准备正确的 KeyStore 文件和密钥对:
| 这是 ThingWorx 签名证书。这是一个应用程序层证书,并且可以不和 ThingWorx 主机名称相同。例如,ThingWorx。 |
2. 将 PingFederate 签名证书导入您在步骤 1 中创建的 SSO KeyStore 文件。
这些资源可能会有所帮助:
现在,您已具备正确的文件和证书,可以在 SSO Key Manager Settings 屏幕上输入信息:
1. 提供 SSO KeyStore 信息:
◦ KeyStore file - 单击
,然后浏览至 JKS (
*.jks) 文件。
◦ KeyStore password - 输入您在创建 KeyStore 文件时定义的密码。
2. 输入以上定义的 ThingWorx 密钥对信息。
◦ Key Pair alias name
◦ Key Pair password
3. 单击 Next。
授权服务器设置
PingFederate 用作您的授权服务器。
1. 提供 PingFederate 服务器的设置:
◦ Authorization Server ID - 您的 PingFederate 服务器 ID。
◦ Authorization Server Scope - 在 PingFederate 中注册的范围的名称。例如,SCOPE NAME = WINDCHILL_READ
◦ ThingWorx OAuth Client ID - 用于向 PingFederate 标识 ThingWorx 应用程序的 OAuth 客户端 ID。
◦ ThingWorx OAuth Client Secret - PingFederate 一侧的客户端密码。
◦ Client Authentication Scheme - 默认值为 form。
2. 接受默认值 Encrypt OAuth refresh tokens,以便在将标记持久保留到数据库之前保护它们。我们推荐此设置。
3. 单击 Next。
摘要:配置设置
查看配置设置。当您准备就绪时,请单击“配置”。
成功!
ThingWorx Navigate 已配置为使用单一登录。选择要打开的程序:
• “打开 ThingWorx Navigate”
• “打开 ThingWorx Composer”
然后,单击 Close。已重定向至身份提供者登录页面。使用 IdP 登录凭据进行登录。
后续步骤
您的
ThingWorx Navigate 已安装并获得许可,并已完成基本配置。所需的下一步是向非管理用户授予权限。请按照
修改 ThingWorx 权限:用户和组中的步骤操作。
您还可以转到可选配置,例如:
• 连接到 SAP
• 配置多个 Windchill 系统
