Autenticador de inicio de sesión único
El objeto ThingworxSSOAuthenticator se utiliza para abastecer a los usuarios cuando está activado el inicio de sesión único (SSO) en ThingWorx. Las cuentas de usuario se crean y actualizan en función de los atributos recuperados del proveedor de identidad mediante aserciones SAML. Este autenticador se utiliza para definir la configuración por defecto para los usuarios abastecidos o para identificar los valores de atributo SAML que se aplican a la configuración del usuario. El abastecimiento SAML no borra las cuentas de usuario. Para esa funcionalidad, consulte el abastecimiento SCIM.
Requisitos previos
1. SSO se debe activar en ThingWorx. Para obtener más información, consulte
Autenticación de inicio de sesión único.
2. Asigne atributos en el contrato de la directiva de PingFederate.
Como parte de la configuración de SSO, se implementa y configura un servidor de autorización (PingFederate) para redirigir solicitudes de autenticación SAML al proveedor de identidad. El usuario debe crear una conexión SP en PingFederate, a la que ThingWorx envía sus solicitudes de autenticación SAML. Un contrato de directiva es el mecanismo que PingFederate utiliza para transmitir atributos de aserción del proveedor de identidad al proveedor de servicios (ThingWorx). Cualquier atributo identificado en las siguientes tablas de configuración deberá estar incluido en el contrato de directiva de PingFederate para que se pueda transmitir entre conexiones.
Para obtener más información, consulte lo siguiente:
◦ Documentación de PingFederate: puentes de un IdP a un SP
https://docs.pingidentity.com/bundle/pingfederate-100/page/ffk1564002971738.html
◦ Documentación de PingFederate: contratos de directiva de autenticación y de concentrador de federación
https://docs.pingidentity.com/bundle/pingfederate-100/page/ope1564002971971.html
Las opciones de las siguientes tablas de configuración permiten especificar el comportamiento del autenticador.
Abastecimiento de usuario
|
Creación de usuarios activada
|
Seleccione esta opción para permitir la creación de cuentas de usuario en ThingWorx según las credenciales recuperadas del servidor de autorización. Si un usuario intenta iniciar sesión en ThingWorx, pero no se ha creado una cuenta de usuario de ThingWorx, esta configuración permite la creación de la cuenta de usuario de ThingWorx en función de los datos de usuario almacenados en el proveedor de identidad.
|
|
Modificación de usuarios activada
|
Seleccione esta opción para permitir la modificación de las cuentas de usuario que existen en ThingWorx. Es importante para permitir las actualizaciones futuras de cuentas durante eventos de conexión posteriores después del inicio de sesión inicial, cuando el usuario se ha creado para sincronizar los datos de usuario de ThingWorx con los datos de cuenta de usuario en el proveedor de identidad.
|
|
Se deben aprovisionar todos los atributos de credencial
|
Si se activa, se deben consumir (aplicar al usuario) todos los atributos de credencial que devuelve el proveedor de identidad. Si alguno no se consume, el usuario no se crea ni se actualiza y falla la conexión.
Esta opción no está seleccionada por defecto.
|
|
Anular sesiones de usuario cuando cambie el autenticador
|
Si se activa, todas las sesiones activas de usuarios abastecidos se anularán cuando se guarde la configuración del autenticador de SSO de ThingWorx.
No se aplica a los usuarios especificados en la Lista de exclusiones de abastecimiento de usuario.
Esta opción no está seleccionada por defecto.
|
Lista de exclusiones de abastecimiento de usuario
Especifique cualquier usuario que se deba excluir de la configuración Valores por defecto del usuario a continuación.
 |
Los usuarios se añaden a esta lista por defecto. Si se intenta quitar estos usuarios, se volverán a añadir automáticamente al renovarse la página.
• Administrador de ThingWorx
• Superusuario
• Usuario del sistema
|
Valores por defecto del usuario
Estos atributos por defecto se aplicarán a todos los usuarios, excepto a los añadidos a la Lista de exclusiones de abastecimiento de usuario. Estos atributos se aplican cuando el usuario inicia sesión.
|
Descripción
|
Permite introducir una descripción que desee utilizar para los usuarios abastecidos. Por ejemplo, puede que desee indicar que se ha creado una cuenta de usuario mediante el abastecimiento automático.
|
|
Mashup
|
Permite especificar el mashup de inicio por defecto que los usuarios abastecidos verán después de iniciar sesión.
|
|
Mashup móvil
|
Permite especificar el mashup móvil por defecto que los usuarios abastecidos verán después de iniciar sesión.
|
|
Etiquetas
|
Permite especificar las etiquetas por defecto que se deben aplicar a los usuarios abastecidos. Esta lista de etiquetas sustituirá a cualquier etiqueta existente de cuentas de usuario que ya existan y se vayan a actualizar.
|
Configuración del proveedor de identidad de usuario
En lugar de aplicar la configuración definida en la tabla Valores por defecto del usuario de arriba, utilice esta tabla para identificar los atributos recuperados del proveedor de identidad que se deben aplicar a la configuración del usuario. En esta tabla, se deben especificar claves de atributo para los atributos de usuario que se devuelven en la aserción SAML del proveedor de identidad. El valor que se devuelve para esa clave de atributo se aplicará a la configuración del usuario. Las entradas definidas en esta tabla sustituirán la configuración por defecto especificada en la tabla Valores por defecto del usuario.
|
Descripción
|
Permite introducir una clave de atributo que se corresponda con el valor de atributo que se debe aplicar como descripción.
|
|
Mashup de inicio
|
Permite introducir una clave de atributo que se corresponda con el valor de atributo que se debe utilizar para determinar el mashup de inicio.
|
|
Mashup móvil
|
Permite introducir una clave de atributo que se corresponda con el valor de atributo que se debe utilizar para determinar el mashup móvil.
|
|
Etiquetas
|
Permite introducir una clave de atributo que se corresponda con el valor de atributo que se debe utilizar para determinar qué etiquetas se aplican al usuario.
|
|
Grupos
|
Permite introducir una clave de atributo que se corresponda con el valor de atributo que se debe utilizar para determinar los grupos de ThingWorx a los que se añade el usuario abastecido.
|
Grupos por defecto del usuario abastecido
Especifique los grupos a los que se deben añadir los usuarios abastecidos automáticamente. Esta lista de grupos sustituirá a cualquier pertenencia a grupo existente.
Asignaciones de grupos de proveedores de identidad
En esta tabla se asigna el nombre del grupo de IdP al nombre de grupo de ThingWorx correspondiente.
Por ejemplo, quizás desee que el grupo abastecido tenga un nombre distinto en ThingWorx al que se le asigna en el IdP. Una vez que se hayan asignado los nombres, los cambios realizados al grupo en el IdP se reflejan en el grupo de ThingWorx asignado.
Nombres de abastecimiento para extensiones de usuario
Esta tabla se utiliza para definir los valores de las propiedades de extensión de usuario. Para obtener más información sobre estas propiedades, consulte
Usuario.
Hay tres columnas para cada entrada de tabla:
• Nombre de propiedad: permite identificar la propiedad de extensión de usuario.
• Valor por defecto: permite especificar un valor que se aplicará a la propiedad por defecto cuando se abastece una cuenta de usuario.
• Atributo de proveedor de identidad: permite especificar un atributo personalizado que se devuelve en la aserción SAML. El valor del atributo devuelto se aplicará como el valor de la propiedad. Si este campo se define, reemplaza la configuración de Valor por defecto.
|
|
Si también se utiliza el abastecimiento de SCIM, se debe utilizar esta tabla para asegurarse de que haya una aserción SAML para cualquier valor de atributo de extensión de usuario que se devuelva del servidor de autorización o el IdP mediante un atributo de esquema de SCIM. Para obtener más información, consulte
Abastecimiento.
|
Cuando SSO está activado en ThingWorx, ThingworxSSOAuthenticator está activado y es el autenticador por defecto. Si SSO no está activado en ThingWorx, al autenticador se desactiva. Los siguientes autenticadores de conexión están desactivados cuando SSO está activado:
• ThingworxAppKeyAuthenticator
• ThingworxBasicAuthenticator
• ThingworxFormAuthenticator
• ThingworxHttpBasicAuthenticator
Se debe tener en cuenta que los siguientes autenticadores tienen una opción configurable para activarlos. Sin embargo, SSO sustituye a dicha opción y siempre están desactivados cuando SSO está activado.
• ThingworxMobileAuthorizationAuthenticator
• ThingworxMobileTokenAuthenticator
• Autenticadores personalizados
En la siguiente tabla se proporciona información sobre los cambios de estado del usuario en ThingWorx como resultado de las opciones seleccionadas en el autenticador de SSO de ThingWorx y su estado en el servidor de autorización o IdP en el momento en que se conectó. Los estados de usuario del servidor de autorización o IdP no cambian en estos escenarios; solo se ve afectado el estado en ThingWorx. Los elementos a los que se añade [Principal] son los factores principales que afectan al estado de usuario en ThingWorx después de la conexión.
|
Estado de usuario en AS o IdP
|
Estado del usuario en ThingWorx antes de la conexión
|
Opciones del autenticador de SSO de ThingWorx
|
Estado del usuario en ThingWorx después de la conexión
|
|---|---|---|---|
|
No existe
|
No existe
|
Cualquier configuración
|
• No existe
• No se puede utilizar para iniciar sesión
|
|
No existe
|
• Existe (el administrador de ThingWorx lo crea manualmente)
• [Principal] La contraseña se ha definido y reside en ThingWorx
|
• Creación de abastecimiento de usuario activada
• Modificación de abastecimiento de usuario activada
• [Principal] Se incluye en la lista de exclusiones de abastecimiento de usuario
|
• Existe
• No se modifica
• No se puede utilizar para iniciar sesión
|
|
No existe
|
• Existe (el administrador de ThingWorx lo crea manualmente)
• [Principal] La contraseña no se ha definido o no reside en ThingWorx
|
• Creación de abastecimiento de usuario activada
• Modificación de abastecimiento de usuario activada
• [Principal] Se incluye en la lista de exclusiones de abastecimiento de usuario
|
• Existe
• No se modifica
• No se puede utilizar para iniciar sesión
|
|
No existe
|
Existe (el administrador de ThingWorx lo crea manualmente)
|
• Creación de abastecimiento de usuario activada
• Modificación de abastecimiento de usuario activada
• [Principal] No se incluye en la lista de exclusiones de abastecimiento de usuario
|
• Existe
• No se modifica
• No se puede utilizar para iniciar sesión
|
|
• Existe
• [Principal] Desactivado
|
No existe
|
• Creación de abastecimiento de usuario activada
• Modificación de abastecimiento de usuario activada
• No se incluye en la lista de exclusiones de abastecimiento de usuario
|
• No existe
• No se puede utilizar para iniciar sesión
|
|
• Existe
• [Principal] Bloqueado
|
No existe
|
• Creación de abastecimiento de usuario activada
• Modificación de abastecimiento de usuario activada
• No se incluye en la lista de exclusiones de abastecimiento de usuario
|
• No existe
• No se puede utilizar para iniciar sesión
|
|
Existe
|
No existe
|
• [Principal] Creación de abastecimiento del usuario desactivada
• Modificación de abastecimiento de usuario activada
• No se incluye en la lista de exclusiones de abastecimiento de usuario
|
• No existe
• No se puede utilizar para iniciar sesión
|
|
Existe
|
No existe
|
• [Principal] Creación de abastecimiento del usuario activada
• Modificación de abastecimiento de usuario activada
• [Principal] No se incluye en la lista de exclusiones de abastecimiento de usuario
|
• Existe (creado)
• Añadido como miembro a grupos asignados
• Configuración de usuario por defecto añadida
• Se puede utilizar para iniciar sesión
|
|
Existe
|
Existe
|
• Creación de abastecimiento de usuario activada
• [Principal] Modificación de abastecimiento de usuario activada
• [Principal] No se incluye en la lista de exclusiones de abastecimiento de usuario
• [Principal] Configuración del usuario por defecto establecida
|
• El usuario se modifica
• Añadido como miembro a grupos asignados o eliminado de ellos
• Configuración de usuarios por defecto añadida
• Se puede utilizar para iniciar sesión
|
|
Existe
|
Existe
|
• Creación de abastecimiento de usuario activada
• [Principal] Modificación de abastecimiento de usuario activada
• [Principal] Se incluye en la lista de exclusiones de abastecimiento de usuario
• [Principal] Configuración del usuario por defecto establecida
|
• El usuario no se modifica
• Se puede utilizar para iniciar sesión
|