PingFederate-Verbindungen erstellen
Erstellen Sie in PingFederate Client-Endpunkte, zu denen Anwendungen in der SSO-Lösung eine Verbindung herstellen, wenn Zugriffs-Token abgerufen/überprüft oder Benutzer authentifiziert werden. Es wird empfohlen, einen eigenen Client für jede Rolle zu erstellen, die eine Anwendung in der SSO-Lösung übernimmt. Dies gibt Ihnen die Möglichkeit, die Einstellungen im Client für diese Rolle zu optimieren.
Für ThingWorx SSO müssen die folgenden Clients in PingFederate erstellt werden:
• SP-Verbindung für ThingWorx als Dienstanbieter
• OAuth-Client für ThingWorx als Dienstanbieter
Ausführliche Informationen zum Erstellen und Konfigurieren von PingFederate-Verbindungen erhalten Sie in der PingFederate-Dokumentation oder beim PingIdentity-Kundensupport. Die folgenden Verfahren enthalten Einstellungen, die für ThingWorx SSO erforderlich sind, allerdings sind eventuell zusätzliche Einstellungen für die SSO-Lösung Ihres Unternehmens erforderlich.
SP-Verbindung für ThingWorx als Dienstanbieter
Diese Verbindung wird für die SAML-Authentifizierung verwendet. ThingWorx leitet Benutzeranmeldeanforderungen an PingFederate weiter.
1. Wählen Sie SP Connections auf der Seite IDP Configuration aus, und klicken Sie auf Create New.
2. Wählen Sie im Abschnitt Connection Type die Option Browser SSO Profiles aus, um das Protokoll SAML 2.0 anzugeben.
3. Wählen Sie im Abschnitt Connection Options die Option Browser SSO aus.
4. Führen Sie im Abschnitt General Info die folgenden Schritte aus:
a. Legen Sie Partner’s Entity ID (Connection ID) auf einen eindeutigen Wert fest. Notieren Sie sich diese ID, da Sie sie beim Konfigurieren der Datei sso-settings.json benötigen.
b. Geben Sie einen beschreibenden Namen im Feld Connection Name ein. Dies ist der Name, der in der SP-Verbindungsliste angezeigt wird.
c. Legen Sie Base URL auf die URL fest, über die der Dienstanbieter der Webanwendung (ThingWorx) gehostet wird.
5. Legen Sie im Abschnitt Protocol Settings die Einstellung Assertion Consumer Service URL Endpoint auf URL:/Thingworx/saml/SSO fest.
6. Legen Sie im Abschnitt Credentials die Einstellung Digital Signature Settings auf Selected Certificate fest.
7. Fügen Sie im Abschnitt Signature Verification ein Zertifikat für Folgendes hinzu:
◦ Signature Verification Certificate: Selected Certificate
◦ Signature Verification Certificate: Selected Encryption Certificate
◦ Select XML Encryption Certificate: Selected Encryption Certificate
8. Bestätigen Sie, dass der neue Dienstanbieter aktiv ist. Zeigen Sie die SP-Verbindung an. Ein Optionsfeld-Indikator oben auf der Seite Activation & Summary sollte auf Active festgelegt sein.
9. Klicken Sie auf Speichern.
PingFederate verwendet einen als Richtlinienvertrag bezeichneten Mechanismus, um Verbindungen zwischen Dienstanbietern und dem Identitätsanbieter zu überbrücken, den PingFederate verwendet. Sie müssen einen Richtlinienvertrag für diese SP-Verbindung erstellen. Listen Sie hierbei alle Attribute auf, die in den SAML-Bestätigungen ausgetauscht werden sollen.
Weitere Informationen finden Sie im Abschnitt "Working With Third-Party Identity Providers" des englischen Handbuchs
PTC Single Sign-on Architecture and Configuration Overview (PTC Handbuch mit Übersicht zu Single Sign-on-Architektur und -Konfiguration).
OAuth-Client für ThingWorx als Dienstanbieter
Der OAuth-Client ist ein Verbindungspunkt, über den PingFederate Zugriffs-Token für ThingWorx bereitstellen kann. ThingWorx verwendet diese Zugriffs-Token dann, um OAuth-geschützte Ressourcen von Ressourcenanbietern anzufordern.
1. Wählen Sie auf der Seite OAuth Settings den Abschnitt Clients aus, und klicken Sie auf Create New.
2. Geben Sie im Feld Client ID einen Wert ein. Dieser wird als Wert des Parameters AuthorizationServersSettings.<AuthServerId>.clientId bei der Konfiguration der Datei sso-settings.json verwendet.
3. Wählen Sie Client Secret aus, und geben einen Wert für das Client-Geheimnis ein. Beachten Sie diesen Wert, da er als Wert des Parameters AuthorizationServersSettings.<AuthServerId>.clientSecret bei der Konfiguration der Datei sso-settings.json verwendet wird.
4. Geben Sie im Feld Name einen Wert ein. Dieser wird in der PingFederate-Client-Liste angezeigt.
5. Geben Sie im Feld Beschreibung eine Beschreibung ein.
6. Geben Sie im Abschnitt Redirect URIS den Umleitungs-URI des ThingWorx Servers ein. Zum Beispiel: http://<Mein Server>:<Mein Port>/Thingworx/oauth2_authorization_code_redirect, wobei <Mein Server> Ihr ThingWorx Server ist.
 |
Wenn auf einer ThingWorx Core Instanz installiert ist, die Sie für SSO konfigurieren, geben Sie diesen Wert als https://<ThingWorx Flow Nginx-Hostname>:<ThingWorx Flow Nginx-Portnummer>/Thingworx/oauth2_authorization_code_redirect an.
|
7. Wählen Sie im Abschnitt Allow Grant Types Refresh Token und Authorization Code aus.
8. Wählen Sie im Abschnitt Persistent Grants Expiration die Option Grants Do Not Expire aus.
9. Wählen Sie für den Abschnitt Refresh Token Rolling Policy die Option Roll aus.