シングルサインオンでの ThingWorx Navigate の設定
シングルサインオンの画面では、Windchill サーバーの情報と PingFederate への接続に関する情報を入力します。
開始する前に
PingFederate に関するバックグラウンド情報を確認してください。また、設定を開始する前に、
PTC Single Sign-on Architecture and Configuration Overview Guide を読んでおくことをお勧めします。
Windchill サーバー情報の入力
まず、Windchill に接続します。Windchill を SSL で設定することをお勧めします。
1. 「Windchill サーバーの URL」を入力します。
◦ 単一の Windchill サーバーへの接続 - URL がフォーマット [http または https]://[windchill-host]:[windchill-port]/[windchill-web-app] に従っていることを確認します。
◦ クラスタの Windchill 環境 - 負荷分散ルータの URL を入力します。たとえば、[https]://[LB-host]:[port]/[windchill-web-app] です。
2. 「認証サーバーの範囲」の設定 - PingFederate に登録されている範囲の名前。たとえば、SCOPE NAME = WINDCHILL です。
3. 「次へ」をクリックします。
「Windchill サーバーの URL」に http URL を入力した場合は、「ThingWorx Foundation の情報」セクションに進んでください。
ThingWorx の TrustStore 情報を入力します。
この画面で情報を入力する前に、Java keytool ユーティリティを使用して ThingWorx TrustStore ファイルを作成し、Windchill SSL 証明書を TrustStore ファイルにインポートします。
ThingWorx Navigate の SSL/TLS を有効にするための必要条件のトピックには、
keytool を使用して TrustStore ファイルを生成するための手順が記載されています。
これで TrustStore ファイルが準備できたので、次は「SSO: ThingWorx の TrustStore 情報」画面に情報を入力します。
1. 「TrustStore ファイル」の横にある
をクリックし、TrustStore ファイルをブラウズします。ファイルが JKS (
*.jks) フォーマットであることを確認します。
2. 「開く」をクリックします。
3. 「パスワード」の横に、TrustStore ファイルのパスワードを入力します。
4. 「次へ」をクリックします。
PingFederate に関するバックグラウンド情報を確認してください。また、設定を開始する前に、
PTC Single Sign-on Architecture and Configuration Overview Guide を読んでおくことをお勧めします。
ThingWorx Foundation 情報
ThingWorx のインストール場所を入力し、次の ThingWorx Foundation 管理者資格証明を指定します。
• ユーザー名
• パスワード
アクセストークンデータベースの情報
この画面では、データベースのアクセストークン情報を入力します。インストール設定に従って、場所、ポート、ユーザー名、データベース名が自動的に表示されます。
• IP アドレスまたはホスト名
• ポート
• データベース名
• ユーザー名
• パスワード
PingFederate サーバー情報の入力
1. PingFederate に関する次の情報を入力します。
◦ 「ホスト名」 - PingFederate サーバーの完全修飾ホスト名 (<hostname.domain.com> など) を入力します。
◦ 「ランタイムポート」 - PingFederate ランタイムポートを指定します。デフォルトは 9031 です。
2. 「次へ」をクリックします。
ID プロバイダ (IDP) とサービスプロバイダ (SP) の情報を入力します。
この画面では、PingFederate からの情報を入力します。ここでは入力内容を慎重に確認します。これらの値が有効でないと、情報が正しくない場合にエラーメッセージが表示されません。
1. PingFederate の IDP メタデータ情報を指定します。
◦ 「IDP メタデータファイル (*.xml ファイル)」 -
をクリックして、
PingFederate から IDP メタデータファイルをブラウズします。たとえば、
sso-idp-metadata.xml です。
◦ 「SAML アサーション UserName AttributeName」 - デフォルトの uid をそのまま使用するか、新しい属性名を入力します。
2. ThingWorx サービスプロバイダ接続の情報を入力します:
◦ 「メタデータエンティティ ID」 - metadataEntityId の値を入力します。これは、PingFederate でサービスプロバイダ接続を設定したときに指定した、ThingWorx サービスプロバイダ接続 ID です。
3. 「次へ」をクリックします。
SSO キーマネージャの設定
この画面に情報を入力する前に、正しい KeyStore ファイルとキーペアを準備します。
| これは、ThingWorx の署名証明書です。これはアプリケーション層の証明書で、ThingWorx ホスト名と同じである必要はありません。たとえば、「ThingWorx」と入力します。 |
2. PingFederate の署名証明書を、ステップ 1 で作成した SSO KeyStore ファイルにインポートします。
次のリソースが役に立つと思われます。
これで正しいファイルと証明書が準備できたので、次は「SSO キーマネージャの設定」画面に情報を入力できます。
1. SSO キーストアの情報を入力します。
◦ 「SSO キーストアファイル (.jks ファイル)」 -
をクリックして、JKS (
*.jks) ファイルをブラウズします。
◦ 「SSO キーストアのパスワード」 - 前述の KeyStore ファイルの作成時に定義したパスワードを入力します。
2. 上記で定義した ThingWorx キーペア情報を入力します。
◦ SSO キーペアのエイリアス名
◦ SSO キーペアのパスワード
3. 「次へ」をクリックします。
認証サーバーの設定
PingFederate は、認証サーバーとして機能します。
1. PingFederate サーバーの設定を指定します。
◦ 「認証サーバー ID」 - AuthorizationServerId1 変数に指定する値を選択します (PingFed1 など)。この値は、統合コネクタまたはメディアエンティティの接続設定を構成するために使用されます。
◦ 「ThingWorx OAuth クライアント ID」 - PingFederate に対して ThingWorx アプリケーションを識別するための OAuth クライアント ID。
◦ 「ThingWorx OAuth クライアントシークレット」 - PingFederate に示されているクライアントシークレット。
◦ 「クライアント認証方式」 - デフォルトは form です。
2. データベースに永続的に保存される前にトークンを保護するには、デフォルトの「これらのトークンがデータベースに対して永続になる前に、OAuth 更新トークンを暗号化」を受け入れます。この設定をお勧めします。
3. 「次へ」をクリックします。
サマリー: コンフィギュレーション設定
コンフィギュレーション設定を確認します。準備ができたら、「設定」をクリックします。
設定完了
ThingWorx Navigate がシングルサインオンで設定されました。開くプログラムを選択します。
• ThingWorx Navigate を開きます。
• ThingWorx Composer を開きます。
その後、「閉じる」をクリックします。ID プロバイダのログインページにリダイレクトされます。IdP 資格証明を使用してログインします。
次の手順
ThingWorx Navigate がインストールおよびライセンス付与され、基本設定が完了しました。次の必須ステップでは、管理者以外のユーザーにアクセス許可を付与します。
ThingWorx アクセス許可の修正: ユーザーとグループの手順に従います。
次のようなオプションの設定に進むこともできます。
• SAP への接続
• 複数の Windchill システムでの設定