Uso de SCIM con ThingWorx

Definición del modelo de ThingWorx en Composer > Seguridad > Abastecimiento > Uso de SCIM con ThingWorx

El sistema de gestión de identidades entre dominios (SCIM) es un método estandarizado y automatizado para mantener sincronizadas identidades de usuario entre distintos sistemas y almacenes de datos.

Por defecto, SCIM no se ha inicia y está desactivado tras el inicio de la plataforma. Sus estados enable y started se controlan mediante la configuración platform-settings.json.

Los extremos de SCIM para la gestión de usuarios o grupos requieren credenciales con derechos de administrador. Solo se puede acceder a los extremos de SCIM cuando se configura su activación y cuando se activa el SSO.

Para obtener más información, consulte http://www.simplecloud.info.

ThingWorx soporta lo siguiente:

• SCIM 1.1

• Abastecimiento de salida

• Creación, actualización y borrado de usuarios o grupos

• Configuración de valores por defecto para usuarios y grupos abastecidos por SCIM

Por ejemplo, considere el siguiente escenario:

• El objeto de SCIM "Sally" puede contener cualquier número de atributos útiles (nombre de usuario, correo electrónico, número de teléfono, etc.).

• Si cambia alguna cosa (por ejemplo, Sally asciende), SCIM puede actualizar automáticamente sus atributos de usuario de ThingWorx según corresponda. Cuando Sally deje la empresa, su cuenta de usuario de ThingWorx se borra o desactiva cuando se quite a Sally del servidor de directorios.

Algunos atributos de usuario y grupo pueden necesitar una configuración adicional. Esto se puede hacer al gestionar el abastecimiento de salida desde PingFederate. Para obtener más información, consulte Ping Identity Knowledge Center: Specify custom SCIM attributes.

La asignación de metadatos entre las propiedades de extensión de usuario de ThingWorx y el esquema de SCIM 1.1 es fija. Para obtener más información, consulte Creación de un canal al almacén de datos.

Autenticación

Cuando se activa SSO, ThingWorx requiere tokens OAuth al abastecer mediante SCIM.

Para obtener más información, consulte Ping Identity Knowledge Center: Manage outbound provisioning options in a connection.

Requisitos previos de SCIM

1. Descargue e instale PingFederate. Para obtener más información, consulte "PingFederate Software Download" en el documento PTC Single Sign-on Architecture and Configuration Overview Guide.

2. Configure SSO para ThingWorx:

◦ PTC Single Sign-on Architecture and Configuration Overview Guide

◦ Autenticación de inicio de sesión único

Configuración de SCIM

Una vez que se hayan completado los requisitos previos, siga estos pasos:

1. Importe el certificado SSL de PingFederate en el almacén de certificados de JVM. Los certificados están disponibles en la consola administrativa de PingFederate bajo Server Configuration > Certificate Management.

2. Activación del abastecimiento de salida.

3. En la consola administrativa de PingFederate se puede realizar lo siguiente:

a. Adición de LDAP como almacén de datos.

b. Configuración de una instancia de validador de credenciales de contraseña.

c. Creación de un nuevo cliente de OAuth para SCIM.

d. Definición de una conexión de SP para SCIM.

e. Creación de un canal al almacén de datos.

4. Añada la configuración de SCIM a platform-settings.json y sso-settings.json: Configuración de plataforma SCIM.

5. Configure el subsistema de SCIM en ThingWorx: Subsistema SCIM.