ThingWorx kann für die Bereitstellung von Benutzerdaten mit mehreren Methoden konfiguriert werden, darunter SCIM, SAML und manuelle Active Directory-Konfiguration. Welche Bereitstellungsmethode Sie konfigurieren, hängt vom aktivierten Authentifizierungstyp ab.

Wenn Sie feste Authentifizierung mit Active Directory verwenden, können Sie die Benutzerbereitstellung über den Verzeichnisdienst konfigurieren. Weitere Informationen finden Sie unter Benutzer in Active Directory verwalten.

Wenn Sie die SSO-Authentifizierung (Single Sign-On, Einmalanmeldung) aktiviert haben, ist die SAML-Bereitstellung automatisch aktiviert. Benutzerattribute werden über SAML-Bestätigungen vom Autorisierungsserver (PingFederate) abgerufen, der als Broker zwischen ThingWorx und dem Identitätsanbieter fungiert. Dies wird als "Just-in-Time"-Bereitstellung betrachtet, da Benutzerkonten erstellt werden (wenn sie nicht bereits in ThingWorx vorhanden sind) und aktualisiert werden, wenn ein Benutzer sich bei ThingWorx anmeldet. Benutzerattribute sind in der SAML-Bestätigung für die Authentifizierung enthalten. Arbeiten Sie mit dem IdP-Administrator zusammen, um mehr über den Benutzer zu erfahren und dafür zu sorgen, dass das Benutzerkonto in ThingWorx zum Zeitpunkt des Anmeldeereignisses aktualisiert wird. Standardmäßig verwendet ThingWorx zum Erstellen des Benutzers nur das Benutzernamenattribut. Alle zusätzlichen Attribute, die verwendet werden sollen, müssen auf dem Autorisierungsserver konfiguriert werden, sodass sie in der SAML-Bestätigung übergeben werden; anschließend müssen sie den Benutzererweiterungseigenschaften zugeordnet werden.

Zum Verwalten der Bereitstellungseinstellungen, die mit dieser Methode verwendet werden, sind zusätzliche Konfigurationsschritte erforderlich.

In ThingWorx kann die SAML-Bereitstellung nur verwendet werden, um Benutzerkonten zu erstellen und zu aktualisieren, nicht jedoch zum Löschen.

SCIM ist eine automatisierte Methode, die Änderungen an Benutzerkonten im Identitätsanbieter synchronisiert, die an die Benutzerkonten in ThingWorx übertragen werden sollen. SCIM-Bereitstellung kann aktiviert werden, um die mit der SSO-Authentifizierung konfigurierten SAML-Bereitstellungseinstellungen zu ergänzen. SCIM-Bereitstellung kann auch aktiviert werden, oder sie kann unabhängig von der SSO-Authentifizierung aktiviert werden. Anstelle der Just-in-Time-Aktualisierungen von Benutzerkonten, die bei der SAML-Bereitstellung stattfinden, bedeutet die SCIM-Automatisierung, dass Änderungen an Benutzerkonten automatisch für ThingWorx bereitgestellt werden, und zwar basierend auf Änderungen am Benutzerkonto im Identitätsanbieter.

Informationen zum Konfigurieren der SCIM-Bereitstellung finden Sie in den folgenden Themen.

Wenn Sie SAML- und SCIM-Bereitstellung verwenden, stellen Sie sicher, dass die Konfigurationen für beide Varianten aufeinander abgestimmt sind, sodass sie Benutzerattribute auf logische Weise verwenden. Vergewissern Sie sich z.B., dass ThingWorx und IdP-Gruppen in ThingworxSSOAuthenticator und im Untersystem für SCIM auf die gleiche Weise zugeordnet sind. Wenn eine Gruppe, zu der ein Benutzer im IdP gehört, im Untersystem für SCIM und in ThingworxSSOAuthenticator verschiedenen ThingWorx Gruppen zugeordnet ist, können sie verschiedenen ThingWorx Gruppen hinzugefügt werden, wenn das Benutzerkonto auf Grundlage der SCIM- oder SAML-Bereitstellung aktualisiert wird.

Unter Kanal zum Datenspeicher erstellen finden Sie eine Liste von ThingWorx Benutzererweiterungseigenschaften, die Ressourcentypen des SCIM-Schemas 1.1 zugeordnet sind. Wenn Sie die SAML-Bereitstellung in ThingworxSSOAuthenticator konfigurieren, können Sie mithilfe der Tabelle "Benutzererweiterung für Bereitstellungsnamen" Benutzer-Metadatenwerte, die von SAML-Attributen übergeben werden, ThingWorx Benutzererweiterungseigenschaften zuordnen. Wenn Sie die SCIM- und die SAML-Bereitstellung verwenden, müssen Sie für jeden der vom IdP abgerufenen Benutzer-Metadatenwerte sicherstellen, dass eine entsprechende SAML-Attributzuordnung in der Tabelle "Benutzererweiterung für Bereitstellungsnamen" von ThingworxSSOAuthenticator konfiguriert ist. Wenn die Metadaten der Benutzererweiterung nicht in ThingworxSSOAuthenticator zugeordnet sind, wird dieser Benutzererweiterungswert beim Anmelden des Benutzers und Durchführen der SAML-Bereitstellung gelöscht, da kein Wert für diese Benutzererweiterung aus der SAML-Bestätigung abgerufen wird.

Um die Bereitstellung von Benutzererweiterungsattributen zu koordinieren, die von der SCIM- und SAML-Bereitstellung zurückgegeben werden, müssen Sie Folgendes durchführen: