ThingWorx se puede configurar para abastecer datos de usuario mediante varios métodos, como SAML, SCIM y una configuración manual de Active Directory. El método de abastecimiento que se configure depende del tipo de autenticación activado.

Si se utiliza la autenticación fija con Active Directory, configure el abastecimiento de usuario del servicio de directorios. Para obtener más información, consulte Gestión de usuarios en Active Directory.

Si se activa la autenticación de inicio de sesión único (SSO), el abastecimiento de SAML se activa automáticamente. Los atributos de usuario se recuperan mediante aserciones de SAML del servidor de autorización (PingFederate) que actúa como agente entre ThingWorx y el proveedor de identidad. Esto se considera como abastecimiento "justo a tiempo", porque se crean cuentas de usuario (si aún no existen en ThingWorx) que se actualizan cuando un usuario inicia sesión en ThingWorx. Los atributos de usuario se incluyen en la aserción de SAML utilizada para autenticarse. Trabaje con el administrador de IdP para comprender al usuario y para asegurarse de que la cuenta de usuario en ThingWorx se actualice en el momento del evento de conexión. De fábrica, ThingWorx solo consume el atributo de nombre de usuario para crear el usuario. Cualquier atributo adicional que se debe consumir debe configurarse en el servidor de autorización para que se pase en la aserción de SAML y se asigne a las propiedades de extensión del usuario.

Es necesario definir configuraciones adicionales para gestionar la configuración de abastecimiento que se utiliza con este método.

En ThingWorx, el abastecimiento de SAML solo se puede utilizar para crear y actualizar cuentas de usuario; no se puede borrar.

SCIM es un método automatizado que sincroniza los cambios realizados en las cuentas de usuario del proveedor de identidad para que se inserten en las cuentas de usuario de ThingWorx. El abastecimiento de SCIM se puede activar para complementar la configuración de abastecimiento de SAML configurada con la autenticación SSO. También se puede activar el abastecimiento de SCIM, o bien se puede activar independientemente de la autenticación de SSO. En lugar de las actualizaciones de cuentas de usuario tipo Just In Time (JIT) que se producen con el abastecimiento de SAML, la automatización de SCIM significa que los cambios realizados en las cuentas de usuario abastecidas automáticamente en ThingWorx se basan en los cambios realizados en las cuentas de usuario del proveedor de identidad.

Para configurar el abastecimiento de SCIM, consulte los siguientes temas.

Si se utiliza el abastecimiento de SAML y SCIM, las configuraciones de ambos deben estar alineadas para que consuman atributos de usuario de manera lógica. Por ejemplo, confirme que los grupos de ThingWorx e IdP se asignan de la misma manera en ThingWorxSSOAuthenticator y en el subsistema de SCIM. Si un grupo al que pertenece un usuario del IdP se asigna a distintos grupos de ThingWorx en el subsistema de SCIM y ThingworxSSOAuthenticator, el usuario se puede añadir a grupos de ThingWorx diferentes cuando se actualiza la cuenta de usuario en función del abastecimiento de SCIM o SAML.

Consulte Creación de un canal al almacén de datos para ver una lista de las propiedades de extensión de usuario de ThingWorx que se asignan a los tipos de recurso de esquema de SCIM 1.1. Al configurar el abastecimiento de SAML en ThingworxSSOAuthenticator, en la tabla Extensión de usuario para nombres de abastecimiento se asignan valores de metadatos de usuario que se pasan de los atributos de SAML a las propiedades de extensión de usuario de ThingWorx. Al utilizar el abastecimiento de SCIM y SAML, debe asegurarse de que para todos los valores de metadatos de usuario que se recuperen del IdP haya una asignación de atributo de SAML correspondiente configurada en la tabla Extensión de usuario para nombres de abastecimiento de ThingworxSSOAuthenticator. Si los metadatos de extensión de usuario no se asignan en ThingworxSSOAuthenticator, cuando el usuario inicia sesión y se produce el abastecimiento de SAML, el valor de extensión de usuario se borra porque no se recupera ningún valor para dicha extensión de usuario de la aserción SAML.

Para coordinar la abastecimiento de atributos de extensión de usuario devueltos del abastecimiento de SCIM y SAML, se debe realizar lo siguiente: