Configuration de ThingWorx Navigate avec l'authentification unique

Dans les écrans pour l'authentification unique, nous allons entrer les informations pour le serveur Windchill et pour la connexion à PingFederate.

Prenez un moment pour passer en revue quelques informations concernant PingFederate. Nous recommandons également la lecture du manuel anglais PTC Single Sign-on Architecture and Configuration Overview Guide (Guide de présentation de la configuration et de l'architecture d'authentification unique PTC) avant de commencer.

Tout d'abord, vous devez vous connecter à Windchill. Nous recommandons de configurer Windchill pour SSL.

◦ Pour vous connecter à un seul serveur Windchill : assurez-vous que l'URL respecte le format [http ou https]://[windchill-host]:[windchill-port]/[windchill-web-app].

◦ Pour un environnement Windchill en grappe : entrez l'URL du routeur d'équilibrage de charge. Par exemple : [https]://[LB-host]:[port]/[windchill-web-app].

Sous la rubrique Configuration de ThingWorx Navigate avec un environnement Windchill en grappe, consultez les sections relatives aux environnements d'authentification unique.

◦ Pour une connexion à plusieurs systèmes Windchill : pour l'heure, établissez une connexion à un seul serveur. Une fois que vous avez terminé la configuration initiale, suivez les étapes manuelles décrites à la rubrique Configuration de ThingWorx Navigate avec plusieurs systèmes Windchill.

2. Spécifiez les paramètres de votre Etendue du serveur d'autorisation : le nom de l'étendue qui est enregistré dans PingFederate. Par exemple, SCOPE NAME = WINDCHILL.

Si vous avez fourni une URL http dans le champ URL du serveur Windchill, passez à la section "Informations de ThingWorx Foundation".

Avant de fournir les informations sur cet écran, créez un fichier TrustStore ThingWorx à l'aide de l'utilitaire keytool Java, puis importez le certificat SSL Windchill dans le fichier TrustStore.

La rubrique Conditions préalables à l'activation de SSL/TLS pour ThingWorx Navigate contient des instructions relatives à la génération de fichiers TrustStore à l'aide de l'option keytool.

Maintenant que vous avez préparé le fichier TrustStore, fournissez les informations dans l'écran Authentification unique (SSO) : Informations TrustStore pour ThingWorx :

1. En regard de TrustStore file, cliquez sur

, puis accédez à l'emplacement de votre fichier TrustStore. Assurez-vous que le fichier est au format JKS (*.jks).

3. En regard de Password, saisissez le mot de passe du fichier TrustStore.

Spécifiez l'emplacement d'installation de ThingWorx (ThingWorx Installation Location), puis fournissez les informations d'identification suivantes de l'administrateur ThingWorx Foundation :

Informations relatives à la base de données de jetons d'accès

Dans cet écran, entrez les informations du jeton d'accès pour votre base de données. L'emplacement, le port, le nom d'utilisateur et le nom de base de données s'affichent automatiquement en fonction de vos paramètres d'installation.

◦ Nom d'hôte : entrez le nom d'hôte complet du serveur PingFederate, par exemple <hostname.domain.com>.

◦ Port d'exécution : indiquez le port d'exécution de PingFederate. La valeur par défaut est 9031.

Spécification des informations du fournisseur d'identité (IdP) et du fournisseur de services (SP)

Dans cet écran, fournissez les informations de PingFederate. Vérifiez vos entrées avec soin. Ces valeurs ne sont pas validées et vous ne recevez pas d'erreur lorsque les informations sont incorrectes.

1. Fournissez les informations de métadonnées IdP pour PingFederate :

◦ Fichier de métadonnées IDP (fichier *.xml) : cliquez sur

, puis accédez au fichier de métadonnées IdP à partir de PingFederate. Par exemple, sso-idp-metadata.xml.

◦ SAML Assertion UserName AttributeName : acceptez la valeur par défaut, uid, ou entrez un nouveau nom d'attribut.

2. Entrez les informations pour la connexion au fournisseur de services ThingWorx :

◦ ID d'entité des métadonnées : spécifiez la valeur de metadataEntityId. Il s'agit de l'ID de connexion au fournisseur de services ThingWorx que vous avez spécifié lors de la configuration de la connexion au fournisseur de services dans PingFederate.

Avant d'entrer les informations dans cet écran, préparez le fichier KeyStore et la paire de clé corrects :

1. Créez un fichier SSO KeyStore à l'aide de l'utilitaire Java keytool. Créez une paire de clés à l'aide des commandes keytool mentionnées dans Utilisation de SSL pour ThingWorx Navigate.

Il s'agit du certificat de signature ThingWorx. Il s'agit d'un certificat de couche d'application qui ne doit pas nécessairement correspondre à votre nom d'hôte ThingWorx. Par exemple, ThingWorx.

2. Importez le certificat de signature PingFederate dans le fichier SSO KeyStore que vous avez créé à l'étape 1.

Les ressources suivantes peuvent être utiles :

• PTC Single Sign-on Architecture and Configuration Overview Guide (Guide de présentation de la configuration et de l'architecture d'authentification unique PTC)

• Rubrique "Importation de certificats dans un fichier KeyStore" dans l'Aide ThingWorx

Maintenant que vous disposez des fichiers et certificats corrects, vous pouvez entrer les informations dans l'écran SSO Key Manager Settings :

◦ Fichier Keystore SSO (fichier .jks) : cliquez sur

, puis accédez au fichier JKS (*.jks).

◦ Mot de passe Keystore SSO : entrez le mot de passe que vous avez défini ci-dessus, lorsque vous avez créé le fichier KeyStore.

2. Entrez les informations de paire de clés ThingWorx que vous avez définies ci-dessus.

PingFederate est votre serveur d'autorisation.

◦ ID du serveur d'autorisation : choisissez une valeur à fournir pour la variable AuthorizationServerId1, telle que PingFed1. Cette valeur sert à configurer les paramètres de connexion d'un connecteur d'intégration ou d'une entité de média.

◦ ThingWorx OAuth Client ID : l'ID client OAuth pour identifier l'application ThingWorx pour PingFederate.

◦ ThingWorx OAuth Client Secret : clé du client mentionnée dans PingFederate.

◦ Client Authentication Scheme : la valeur par défaut est form.

2. Acceptez l'option par défaut Chiffrer les jetons d'actualisation OAuth avant leur persistance dans la base de données afin de sécuriser les jetons avant leur persistance dans la base de données. Ce paramètre est recommandé.

Passez en revue les paramètres de configuration. Lorsque vous avez terminé, cliquez sur Configurer.

ThingWorx Navigate est configuré avec l'authentification unique. Sélectionnez les programmes à ouvrir :

Ensuite, cliquez sur Close. Vous êtes redirigé vers la page de connexion du fournisseur d'identité. Utilisez les informations d'identification du fournisseur d'identité pour vous connecter.

ThingWorx Navigate est installé et sous licence, et la configuration de base est terminée. L'étape suivante requise consiste à accorder une permission aux utilisateurs non administrateurs. Suivez les étapes de la procédure Modification des permissions ThingWorx : utilisateurs et groupes.

Vous pouvez également procéder aux configurations facultatives, notamment la suivante :