设置 ThingWorx Navigate 使用单一登录
在单一登录屏幕,我们将输入 Windchill 服务器以及连接到 PingFederate 的信息。
事前准备
请先简要了解
PingFederate 背景知识。我们还建议在开始之前参阅
《PTC 单一登录架构和配置概述指南》。
输入 Windchill 服务器信息
首先,让我们连接到 Windchill。我们建议您配置 Windchill 使用 SSL。
1. 输入“Windchill 服务器 URL”。
◦ 要连接到单个 Windchill 服务器 - 请确保 URL 遵循格式 [http 或 https]://[windchill-host]:[windchill-port]/[windchill-web-app]
◦ 对于 Windchill 群集环境 - 输入负载均衡路由器 URL。例如,[https]://[LB-host]:[port]/[windchill-web-app]
2. 提供“授权服务器范围”的设置 - 在 PingFederate 中注册的范围的名称。例如,SCOPE NAME = WINDCHILL。
3. 单击“下一步”。
如果在“Windchill 服务器 URL”中输入了 http URL,请跳转至“ThingWorx Foundation 信息”部分。
提供 ThingWorx 的 TrustStore 信息
在此屏幕上提供信息之前,请使用 Java keytool 实用工具创建 ThingWorx TrustStore 文件,然后将 Windchill SSL 证书导入 TrustStore 文件。
现在,您已经准备好 TrustStore 文件,请在“SSO: ThingWorx 的 TrustStore 信息”屏幕上提供信息:
1. 单击
TrustStore file 旁边的
,然后浏览到 TrustStore 文件。请确保该文件为 JKS (
*.jks) 格式。
2. 单击 Open。
3. 在 Password 旁边,输入 TrustStore 文件的密码。
4. 单击 Next。
请先简要了解
PingFederate 背景知识。我们还建议在继续之前参阅
《PTC 单一登录架构和配置概述指南》。
ThingWorx Foundation 信息
输入“ThingWorx 安装位置”,然后提供以下 ThingWorx Foundation 管理员登录凭据:
• “用户名”
• “密码”
访问令牌数据库信息
在此屏幕上,输入数据库的访问令牌信息。位置、端口、用户名和数据库名称根据安装设置自动显示。
• “IP 地址或主机名”
• “端口”
• “数据库名称”
• “用户名”
• “密码”
输入 PingFederate 服务器信息
1. 为 PingFederate 输入以下信息:
◦ “主机名”- 输入完全限定的 PingFederate 服务器主机名称,例如 <hostname.domain.com>。
◦ “运行时端口”- 提供 PingFederate 运行时端口。默认值为 9031。
2. 单击“下一步”。
提供标识提供者 (IDP) 和服务提供者 (SP) 的信息
在此屏幕上,提供源自 PingFederate 的信息。请仔细检查您输入的内容。这些值未经过验证,如果信息不正确也不会出现错误。
1. 提供 PingFederate 的 IDP 元数据信息:
◦ “IDP 元数据文件 (*.xml 文件)”- 单击
,然后浏览到来自
PingFederate 的 IDP 元数据文件。例如,
sso-idp-metadata.xml。
◦ SAML Assertion UserName AttributeName - 接受默认值 uid,或输入新的属性名称。
2. 输入 ThingWorx 服务提供者连接的信息:
◦ “元数据实体 ID”- 输入 metadataEntityId 的值。这是在 PingFederate 中配置服务提供者连接时指定的 ThingWorx 服务提供者连接 ID。
3. 单击“下一步”。
SSO 密钥管理器设置
在此屏幕上输入信息之前,请准备正确的 Keystore 文件和密钥对:
| 这是 ThingWorx 签名证书。这是一个应用程序层证书,并且可以不和 ThingWorx 主机名称相同。例如,ThingWorx。 |
2. 将 PingFederate 签名证书导入您在步骤 1 中创建的 SSO Keystore 文件。
这些资源可能会有所帮助:
现在,您已具备正确的文件和证书,可以在 SSO Key Manager Settings 屏幕上输入信息:
1. 提供 SSO Keystore 信息:
◦ “SSO Keystore 文件 (.jks 文件)”- 单击
,然后浏览至 JKS (
*.jks) 文件。
◦ “SSO Keystore 密码”- 输入您在创建 Keystore 文件时定义的密码。
2. 输入以上定义的 ThingWorx 密钥对信息。
◦ “SSO 密钥对别名”
◦ “SSO 密钥对密码”
3. 单击“下一步”。
授权服务器设置
PingFederate 用作您的授权服务器。
1. 提供 PingFederate 服务器的设置:
◦ “授权服务器 ID”- 选取要为 AuthorizationServerId1 变量提供的值,例如 PingFed1。此值可用于配置集成连接器或媒体实体的连接设置。
◦ ThingWorx OAuth Client ID - 用于向 PingFederate 标识 ThingWorx 应用程序的 OAuth 客户端 ID。
◦ ThingWorx OAuth Client Secret - PingFederate 一侧的客户端密码。
◦ Client Authentication Scheme - 默认值为 form。
2. 接受“在将 OAuth 刷新令牌持久存储到数据库之前,请对其加密”默认值,以确保这些令牌在持久存储到数据库之前的安全。我们推荐此设置。
3. 单击“下一步”。
摘要:配置设置
查看配置设置。当您准备就绪时,请单击“配置”。
成功!
ThingWorx Navigate 已配置为使用单一登录。选择要打开的程序:
• “打开 ThingWorx Navigate”
• “打开 ThingWorx Composer”
然后,单击 Close。已重定向至身份提供者登录页面。使用 IdP 登录凭据进行登录。
后续步骤
您的
ThingWorx Navigate 已安装并获得许可,并已完成基本配置。所需的下一步是向非管理用户授予权限。请按照
“修改 ThingWorx 权限:用户和组”中的步骤进行操作。
您还可以转到可选配置,例如:
• 连接到 SAP
• 配置多个 Windchill 系统