![]() |
Wenn Sie auf einer ThingWorx Core Instanz installiert haben, die Sie für SSO konfigurieren, müssen Sie alle ThingWorx Core und Dienste anhalten, einschließlich RabbitMQ und Nginx, bevor Sie die Datei sso-settings.json konfigurieren. Nachdem Sie diese Datei konfiguriert haben, müssen Sie zuerst RabbitMQ und dann alle ThingWorx Core und Dienste, einschließlich Nginx, neu starten.
|
![]() |
Stellen Sie sicher, dass Sie den Wert jedes Parameters gemäß Ihrer Anforderung bearbeiten. Ihre Implementierung sieht möglicherweise anders aus und hängt von mehreren Faktoren ab, z.B. dem Ort, an dem ThingWorx gehostet wird, den Sicherheitsrichtlinien Ihrer Organisation und dem CAS für Ihren Verbund. Verwenden Sie die Informationen in den folgenden Tabellen als Leitfaden, um Werte für die verschiedenen Parameter festzulegen.
|
Parameter
|
Beschreibung
|
Wert
|
||
---|---|---|---|---|
clientBaseUrl
|
Gibt die URL der ThingWorx Serverinstanz an.
Legen Sie dies auf den vollständig qualifizierten Domänennamen des ThingWorx Servers fest.
Wenn installiert ist, geben Sie die Nginx-URL an.
|
http://<Hostname>:<port-number>/Thingworx
ODER
https://<ThingWorx Flow Nginx-Hostname>:<ThingWorx Flow Nginx-Portnummer>/Thingworx
|
||
idpMetadataFilePath
|
Gibt den absoluten Dateipfad-Speicherort der IdP-Metadatendatei an.
|
/ThingworxPlatform/ssoSecurityConfig/sso-idp-metadata.xml
|
||
metadataEntityId
|
Gibt die Entitäts-ID der Dienstanbieter-Verbindung an.
Dies ist die eindeutige ID, die Sie wählen, wenn Sie die Dienstanbieter-Verbindung in PingFederate konfigurieren.
|
–
|
||
metadataEntityBaseUrl
|
Gibt den vollständig qualifizierten Domänennamen des ThingWorx Servers an. Dieser Wert entspricht der ThingWorx Browser-URL.
Wenn installiert ist, geben Sie die Nginx-URL an.
|
http://<Hostname>:<port-number>/Thingworx
ODER
https://<ThingWorx Flow Nginx-Hostname>:<ThingWorx Flow Nginx-Portnummer>/Thingworx
|
||
webSSOProfileConsumerResponseSkew
|
Gibt die Versatztoleranz für die Assertion Consumer-Antwort für SAML 2.0 Web SSO an.
Berücksichtigen Sie beim Festlegen dieses Werts Ihre eigenen Sicherheitsanforderungen sowie Latenz im Unternehmensnetzwerk.
Verwenden Sie diese Einstellung, um den Zeitraum (in Sekunden) festzulegen, der für die Rückgabe einer Antwort auf eine Anmeldeanforderung vom CAS an ThingWorx zulässig ist. Wenn die Antwort auf eine Anmeldeanforderung länger als dieser Wert dauert, schlägt der Anmeldeversuch fehlt.
Die Versatztoleranz ist die Abweichung bei der Antwortgültigkeit, die der Empfänger aufgrund der angenommenen Unterschiede zwischen Systemtaktzeiten zulässt. Als optimale Vorgehensweise empfiehlt sich, die Auswirkungen des Versatzes zu minimieren, indem sichergestellt wird, dass die Taktraten der betroffenen Systeme ordnungsgemäß synchronisiert sind.
|
300
|
||
webSSOProfileConsumerReleaseDOM
|
Bestimmt, ob das Sicherheits-Framework an der SAML-Bestätigung festhält, nachdem die Authentifizierung abgeschlossen ist.
Wenn false festgelegt wird, wird die SAML-Bestätigung nach der Authentifizierung beibehalten.
|
true
|
||
webSSOProfileResponseSkew
|
Gibt die Versatztoleranz für die Profilantwort für SAML 2.0 Web SSO an.
Berücksichtigen Sie beim Festlegen dieses Werts Ihre eigenen Sicherheitsanforderungen sowie Latenz im Unternehmensnetzwerk.
Die Versatztoleranz ist die Abweichung bei der Antwortgültigkeit, die der Empfänger aufgrund der angenommenen Unterschiede zwischen Systemtaktzeiten zulässt. Als optimale Vorgehensweise empfiehlt sich, die Auswirkungen des Versatzes zu minimieren, indem sichergestellt wird, dass die Taktraten der betroffenen Systeme ordnungsgemäß synchronisiert sind.
|
300
|
||
retriggerOnScopesRemoval
|
Gibt an, ob die Liste der erforderlichen Bereiche geändert wurde und aktualisiert werden muss.
Wenn der Wert auf true festgelegt wird, gibt dies an, dass der Liste der erforderlichen Bereiche ein Bereich hinzugefügt oder aus ihr entfernt wurde.
Wenn der Wert auf false festgelegt wird, gibt dies an, dass der Liste der erforderlichen Bereiche ein Bereich hinzugefügt wurde.
|
true
|
||
samlAssertionUserNameAttributeName
|
Gibt an, welches SAML-Attribut den Wert enthält, der die Benutzernamen der ThingWorx Benutzer bei der Anmeldung speichert. Stellen Sie sicher, dass der Wert dieses Attributs im Identitätsanbieter mit den Benutzernamenwerten übereinstimmt, die Sie für ThingWorx Benutzernamen verwenden würden.
|
UID
|
||
samlAssertionMaxAuthenticationAge
|
Gibt das Höchstalter (in Sekunden) der SAML 2.0-Bestätigung an, bevor sie abläuft. Dies gibt auch die maximale Sitzungszeit für eine Authentifizierungsbestätigung an.
Legen Sie den Wert so fest, dass er mit dem Sitzungs-Zeitüberschreitungswert übereinstimmt, der im Identitätsanbieter angegeben wurde.
|
7200 Sekunden
|
||
authnContextAsPassword
|
Optional. In seltenen Fällen erfordert IdP, dass Sie die nächste Bestätigung in die SAML-Anforderung einfügen.
<saml2p:RequestedAuthnContext Comparison="exact">
<saml2:AuthnContextClassRef xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">urn:oasis:names:tc:SAML:2.0:ac:classes:Password</saml2:AuthnContextClassRef> </saml2p:RequestedAuthnContext> In diesen Fällen sollten Sie diese Eigenschaft definieren.
|
true
|
![]() |
Wenn Sie den Anwendungsschlüssel-Authentifikator aktivieren möchten, wenn SSO aktiviert ist, müssen Sie den folgenden ApplicationKeySettings-Konfigurationsabschnitt zu den sso-settings.json-Einstellungen unter BasicSettings hinzufügen. Dies ist nur erforderlich, wenn Sie
Anwendungsschlüssel für die Authentifizierung über REST-API-Anforderungen verwenden möchten. Anwendungsschlüssel können weiterhin von Edge-Geräten über WebSockets verwendet werden, unabhängig davon, ob diese Einstellung aktiviert oder deaktiviert ist.
{
"BasicSettings": { ... }, "ApplicationKeySettings": { "enabled": true }, ... } |
Parameter
|
Beschreibung
|
Wert
|
||
---|---|---|---|---|
dbType
|
Gibt den Typ der Datenbank an, die für die ThingWorx Installation konfiguriert ist und verwendet wird.
• Um dieselbe Datenbank zu verwenden, die in der Datei platform-settings.json festgelegt ist, geben Sie denselben Datenbanktyp und dieselben Anmeldeinformationen wie in platform-settings.json an.
• Um eine dedizierte Datenbank für das Autorisierungs-Token zu verwenden, geben Sie den Wert default an. Nach der Konfiguration als default wird eine neue dedizierte H2-Datenbank erstellt.
|
default
|
||
H2
|
||||
postgres
|
||||
mssql
|
||||
hana
|
||||
driverClassName
|
Gibt den Treiberklassennamen an, den Sie in der Datei platform-settings.json verwenden.
|
Wenn dbType auf default festgelegt ist, legen Sie hier org.h2.Driver fest.
|
||
Wenn dbType auf h2 festgelegt ist, legen Sie hier org.h2.Driver fest.
|
||||
Wenn dbType auf postgres festgelegt ist, legen Sie hier org.postgresql.Driver fest.
|
||||
Wenn dbType auf mssql festgelegt ist, legen Sie hier com.microsoft.sqlserver.jdbc.SQLServerDriver fest.
|
||||
Wenn dbType auf hana festgelegt ist, legen Sie hier com.sap.db.jdbc.Driver fest.
|
||||
url
|
Gibt die URL zum Datenbankspeicherort für Ihre ThingWorx Installation an.
|
Wenn dbType auf default festgelegt ist, legen Sie hier jdbc:h2:\\<Laufwerk>:\\ThingworxPlatform\\ssoSecurityConfig\\sso-oauth2-client-db fest.
|
||
Wenn dbType auf h2 festgelegt ist, ist dieser Parameter nicht erforderlich.
|
||||
Wenn dbType auf postgres festgelegt ist, legen Sie hier jdbc:postgresql://<Hostname>:<port>/thingworx fest.
|
||||
Wenn dbType auf mssql festgelegt ist, legen Sie hier jdbc:sqlserver://<Hostname>:<Port>;databaseName=thingworx;applicationName=Thingworx fest.
|
||||
Wenn dbType auf hana festgelegt ist, legen Sie hier jdbc:sap://<IP-Adresse>:39041/?databaseName=thingworx¤tschema=TWADMIN fest.
|
||||
username
|
Gibt den Benutzernamen für die Datenbank an, die Ihr System zum Speichern von Zugriffs-Token verwendet. Dieser sollte mit dem Benutzernamen übereinstimmen, den Sie in der Datei platform-settings.json angegeben haben.
|
–
|
||
password
|
Gibt das Passwort für die Datenbank an, die Ihr System zum Speichern von Zugriffs-Token verwendet. Dieser sollte mit dem Passwort übereinstimmen, das Sie in der Datei platform-settings.json angegeben haben.
|
–
|
||
encryptTokenInDatabase
|
Legen Sie true fest, um das Zugriffs-Token zu verschlüsseln, bevor es in der Datenbank persistent gemacht wird.
|
true
|
||
keyczarKeyFolderPath
|
Wenn der Wert des Parameters encryptTokenInDatabase auf true festgelegt wird, muss dieser Pfad auf einen gültigen keyCzarKey-Speicherort zeigen. Ändern Sie den Pfad so, dass er das Verzeichnis verwendet, in dem sich der Ordner ThingworxPlatform\ssoSecurityConfig\symmetric befindet.
|
Für Windows: <Laufwerk>:\\ThingworxPlatform\\ssoSecurityConfig\\symmetric
wobei <Laufwerk> das Laufwerk ist, auf dem Sie ThingWorx installiert haben.
Für Linux: \\ThingworxPlatform\\ssoSecurityConfig\\symmetric
|
dbType
|
Speicherort in der Datenbank, in der erteilte Berechtigungen gespeichert werden
|
---|---|
default
|
Eine H2-Datenbank der Untermenge wird erstellt, wie durch den Pfad des Parameters url angegeben. Standardmäßig wird die Datenbank in einem Verzeichnis platziert, das relativ zum Tomcat-Verzeichnis ist.
Wenn Sie dbType als default festlegen, wird empfohlen, den vollständig qualifizierten Pfad der JDBC-URL anstelle des relativen Pfads anzugeben.
Zum Beispiel: jdbc:h2:./ThingworxPlatform/ssoSecurityConfig/sso-oauth2-client-db
|
H2
|
ThingWorx H2-WAR-Dateien in ThingworxStorage/database-H2-Datenbankdateien.
|
postgres
|
In der Tabelle oauth_client_token in der ThingWorx PostgreSQL-Datenbank.
|
mssql
|
In der Tabelle oauth_client_token in der ThingWorx MS SQL-Datenbank.
|
hana
|
In der Tabelle oauth_client_token in der ThingWorx SAP HANA-Datenbank.
|
Parameter
|
Beschreibung
|
Wert
|
||
---|---|---|---|---|
keyStoreFilePath
|
Gibt den absoluten Dateipfad-Speicherort des Keystore an. Ändern Sie den Pfad entsprechend Ihrer Umgebung so, dass Sie das Verzeichnis verwenden, in dem die Keystore-Datei gespeichert ist.
|
Für Windows: <Laufwerk>:\\ThingworxPlatform\\ssoSecurityConfig\\sso-keystore.jks
wobei <Laufwerk> das Laufwerk ist, auf dem Sie ThingWorx installiert haben.
Für Linux: \\ThingworxPlatform\\ssoSecurityConfig\\sso-keystore.jks
|
||
keyStoreStorePass
|
Gibt das Keystore-Passwort an.
|
–
|
||
keyStoreKey
|
Gibt den Standardschlüssel an.
|
–
|
||
keyStoreKeyPass
|
Gibt das Passwort an, das zum Zuzugreifen auf private Schlüssel verwendet wird.
|
–
|
![]() |
Die Einstellungen für AuthorizationServersSettings können Informationen für mehr als einen Autorisierungsserver enthalten. Jeder Server wird durch eine eindeutige ID in der Datei sso-settings.json identifiziert.
|
Parameter
|
Beschreibung
|
Wert
|
||
---|---|---|---|---|
<AutorisierungsserverID1>.clientId
|
Gibt die Client-ID für den Abruf von Zugriffs-Token vom Autorisierungsserver an.
|
–
|
||
<AutorisierungsserverID1>.clientSecret
|
Gibt die Client-Anmeldeinformationen an, die zur Authentifizierung mit dem Autorisierungsserver verwendet werden.
Legen Sie diesen Parameter auf die vollständig qualifizierte Domänennamenserver-URL des Netzwerks fest.
|
–
|
||
<AutorisierungsserverID1>.authorizeUri
|
Gibt den URI an, zu dem der Benutzer umgeleitet wird, um ein Zugriffs-Token zu autorisieren.
|
https://<PingFederate-Host-Name>:<PingFederate-Port-Number>/as/authorization.oauth2
|
||
<AutorisierungsserverID1>.tokenUri
|
Gibt den URI zum Abrufen eines OAuth2-Zugriffs-Tokens an.
Legen Sie diesen Parameter auf die vollständig qualifizierte Domänennamenserver-URL des Netzwerks fest.
|
https://<PingFederate-Host-Name>:<PingFederate-Port-Number>/as/token.oauth2
|
||
<AutorisierungsserverID1>.clientAuthScheme
|
Gibt das Schema zum Authentifizieren des Clients an. Die zulässigen Werte sind:
• form
• header
• query
• none
|
form
|