Authentificateur de connexion SSO
ThingworxSSOAuthenticator est utilisé pour configurer les utilisateurs lorsqu'une connexion SSO est activée dans ThingWorx. Les comptes utilisateur sont créés et mis à jour en fonction des attributs récupérés auprès du fournisseur d'identité via des assertions SAML. Utilisez cet authentificateur pour définir des paramètres par défaut pour les utilisateurs configurés ou identifier des valeurs d'attributs SAML qui sont appliquées aux paramètres utilisateur. Le provisionnement SAML ne supprime pas les comptes utilisateurs. Pour en savoir plus sur cette fonctionnalité, consultez la rubrique Provisionnement SCIM.
Configuration requise
1. SSO doit être activé dans ThingWorx. Pour en savoir plus, consultez la rubrique
Authentification unique.
2. Mappez les attributs dans le contrat de règlement PingFederate.
Dans le cadre de la configuration de SSO, un serveur d'autorisation (PingFederate) est déployé et configuré pour rediriger les requêtes d'authentification SAML vers le fournisseur d'identité. Vous créez une Connexion de type fournisseur de services dans PingFederate auquel ThingWorx envoie ses demandes d'authentification SAML. Un contrat de règlement est le mécanisme qu'utilise PingFederate pour transmettre des attributs d'assertion à partir du fournisseur d'identité vers le fournisseur de services (ThingWorx). Tous les attributs identifiés dans les tables de configuration suivantes devront être répertoriés dans le contrat de règlement de PingFederate, de sorte qu'ils puissent être échangés entre les connexions.
Pour plus d'informations, reportez-vous à ce qui suit :
◦ Documentation PingFederate : transition entre un fournisseur d'identité et un fournisseur de services
https://docs.pingidentity.com/bundle/pingfederate-100/page/ffk1564002971738.html
◦ Documentation de PingFederate : concentrateur de fédération et contrats de règlement d'authentification
https://docs.pingidentity.com/bundle/pingfederate-100/page/ope1564002971971.html
Les options des tables de configuration suivantes vous permettent de spécifier le comportement de l'authentificateur.
Approvisionnement utilisateur
|
Création d'utilisateur activée
|
Choisissez cette option pour permettre la création de comptes utilisateurs dans ThingWorx sur la base des informations d'identification récupérées auprès du serveur d'autorisation. Si un utilisateur tente de se connecter à ThingWorx, mais qu'aucun compte utilisateur ThingWorx n'a été créé, ce paramètre permet la création du compte utilisateur ThingWorx en fonction des données d'utilisateur enregistrées par le fournisseur d'identité.
|
|
Modification d'utilisateur activée
|
Choisissez cette option pour permettre la modification des comptes utilisateurs qui existent dans ThingWorx. C'est important pour permettre de futures mises à jour des comptes lors des connexions ultérieures faisant suite à la connexion initiale qui a donné lieu à la création du compte utilisateur, avec une synchronisation des données utilisateur ThingWorx par rapport aux données de compte utilisateur enregistrées chez le fournisseur d'identité.
|
|
Tous les attributs d'informations d'identification doivent être configurés
|
Lorsque cette option est activée, tous les attributs des informations d'identification renvoyés par le fournisseur d'identité doivent être exploités (appliqués à l'utilisateur). Si ce n'est pas le cas, l'utilisateur n'est pas créé/mis à jour et sa connexion échoue.
Cette option n'est pas sélectionnée par défaut.
|
|
Terminer les sessions utilisateur si changement d'authentificateur
|
Lorsque cette option est activée, toutes les sessions actives des utilisateurs configurés prendront fin lorsque la configuration de l'authentificateur SSO ThingWorx sera sauvegardée.
Cela ne s'applique pas aux utilisateurs spécifiés dans la Liste d'exclusion d'approvisionnement utilisateur.
Cette option n'est pas sélectionnée par défaut.
|
Liste d'exclusion d'approvisionnement utilisateur
Indiquez les utilisateurs qui doivent être exclus de la configuration Valeurs utilisateur par défaut ci-dessous.
 |
Les utilisateurs sont ajoutés à la liste par défaut. Si vous tentez de supprimer ces utilisateurs, ils seront automatiquement rajoutés lors de l'actualisation de la page.
• Administrateur de ThingWorx
• Super-utilisateur
• Utilisateur système
|
Valeurs utilisateur par défaut
Ces attributs par défaut sont appliqués à tous les utilisateurs sauf ceux ajoutés à la liste d'exclusion d'approvisionnement utilisateur. Ces attributs sont appliqués au moment de la connexion de l'utilisateur.
|
Description
|
Entrez une description que vous souhaitez utiliser pour les utilisateurs configurés. Par exemple, vous pouvez vouloir noter qu'un compte utilisateur a été créé via la fonction de provisionnement automatique.
|
|
Application composite
|
Spécifiez l'application composite d'accueil par défaut que les utilisateurs configurés pourront voir dès l'ouverture de session.
|
|
Application composite mobile
|
Spécifiez l'application composite mobile par défaut que les utilisateurs configurés pourront voir dès l'ouverture de session.
|
|
Tags
|
Spécifiez les tags par défaut à appliquer aux utilisateurs configurés. Cette liste de tags remplacera tous les tags existants pour les comptes utilisateurs qui existent déjà et qui font l'objet d'une mise à jour.
|
Paramètres du fournisseur d'identité d'utilisateur
Au lieu d'appliquer les paramètres définis dans la table Valeurs utilisateur par défaut ci-dessus, utilisez cette table pour identifier les attributs récupérés auprès du fournisseur d'identité à appliquer à la configuration de l'utilisateur. Dans cette table, vous devez spécifier les clés d'attributs pour les attributs utilisateur qui sont retournés dans l'assertion SAML émanant du fournisseur d'identité. La valeur qui est renvoyée pour cette clé d'attribut est appliquée à la configuration de l'utilisateur. Les entrées qui sont définies dans cette table remplacent les paramètres par défaut spécifiés dans la table Valeurs utilisateur par défaut.
|
Description
|
Saisissez une clé d'attribut qui correspond à la valeur d'attribut qui doit être appliquée en tant que description.
|
|
Application composite d'accueil
|
Saisissez une clé d'attribut qui correspond à la valeur d'attribut qui doit être utilisée pour déterminer l'application composite d'accueil.
|
|
Application composite mobile
|
Saisissez une clé d'attribut qui correspond à la valeur d'attribut qui doit être utilisée pour déterminer l'application composite mobile.
|
|
Tags
|
Saisissez une clé d'attribut qui correspond à la valeur d'attribut qui doit être utilisée pour déterminer les tags à appliquer à l'utilisateur.
|
|
Groupes
|
Saisissez une clé d'attribut qui correspond à la valeur d'attribut qui doit être utilisée pour déterminer les groupes ThingWorx auxquels est ajouté l'utilisateur configuré.
|
Groupes par défaut de l'utilisateur configuré
Spécifiez les groupes auxquels les utilisateurs auto-configurés doivent être ajoutés. Cette liste de groupes remplace toutes les appartenances à des groupes existantes.
Mappages des groupes de fournisseurs d'identité
Cette table mappe les noms de groupe IdP à leurs noms de groupe ThingWorx correspondants.
Par exemple, vous pouvez souhaiter que le groupe configuré ait un nom différent dans ThingWorx de celui spécifié dans l'IdP. Une fois les noms mappés, les modifications apportées au groupe dans l'IdP seront reflétées dans le groupe ThingWorx mappé.
Extension utilisateur pour noms de fournisseurs
Cette table est utilisée pour définir les valeurs des propriétés d'extension utilisateur. Pour en savoir plus sur ces propriétés, consultez la rubrique
Utilisateur.
Il existe trois colonnes pour chaque entrée de la table :
• Nom de propriété identifie la propriété de l'extension utilisateur
• Valeur par défaut permet de spécifier une valeur qui sera appliquée à la propriété par défaut lorsqu'un compte utilisateur est configuré.
• Attribut de fournisseur d'identité vous permet de spécifier un attribut personnalisé qui est renvoyé dans l'assertion SAML. La valeur de l'attribut renvoyé est appliquée en tant que valeur de propriété. Lorsque ce champ est défini, il remplace le paramètre Valeur par défaut.
|
|
Si vous utilisez également le provisionnement SCIM, il convient d'utiliser cette table pour vous assurer qu'il existe une assertion SAML pour l'ensemble des valeurs des attributs d'extension utilisateur qui sont renvoyées par le serveur d'autorisation ou le fournisseur d'identité via un attribut de schéma SCIM. Pour en savoir plus, consultez la rubrique
Provisionnement.
|
Lorsque le mode SSO est activé dans ThingWorx, ThingworxSSOAuthenticator est activé et devient l'authentificateur par défaut. Si le mode SSO n'est pas activé dans ThingWorx, alors l'authentificateur est désactivé. Les authentificateurs de connexion suivants sont désactivés lorsque le mode SSO est activé :
• ThingworxAppKeyAuthenticator
• ThingworxBasicAuthenticator
• ThingworxFormAuthenticator
• ThingworxHttpBasicAuthenticator
Notez que les authentificateurs suivants possèdent une option paramétrable permettant de les activer. Cependant, le mode SSO neutralise cette option et les authentificateurs sont toujours désactivés lorsque le mode SSO est activé.
• ThingworxMobileAuthorizationAuthenticator
• ThingworxMobileTokenAuthenticator
• Authentificateurs personnalisés
La table suivante fournit des informations sur les changements d'état des utilisateurs dans ThingWorx en fonction des options sélectionnées dans ThingWorxSSOAuthenticator et de leur état sur le serveur d'autorisation ou chez le fournisseur d'identité au moment où ils ont ouvert une session. L'état des utilisateurs au niveau du serveur d'autorisation ou du fournisseur d'identité n'est pas modifié dans le cadre de ces scénarios, seul l'état dans ThingWorx se trouve affecté. Les éléments précédés de la mention [Principal] sont des facteurs principaux qui influent sur l'état de l'utilisateur dans ThingWorx après sa connexion.
|
Etat de l'utilisateur dans AS ou IdP
|
Etat de l'utilisateur dans ThingWorx préalablement à sa connexion
|
Options ThingWorxSSOAuthenticator
|
Etat de l'utilisateur dans ThingWorx après sa connexion
|
|---|---|---|---|
|
N'existe pas
|
N'existe pas
|
N'importe quelle configuration
|
• N'existe pas
• Ne peut pas être utilisé pour se connecter
|
|
N'existe pas
|
• Existe (manuellement créé par l'administrateur ThingWorx)
• [Principal] Le mot de passe a été défini et est stocké dans ThingWorx
|
• Création de l'approvisionnement utilisateur activée
• Modification de l'approvisionnement utilisateur activée
• [Principal] Répertorié dans la Liste d'exclusion d'approvisionnement utilisateur
|
• Existe
• N'est pas modifié
• Ne peut pas être utilisé pour se connecter
|
|
N'existe pas
|
• Existe (manuellement créé par l'administrateur ThingWorx)
• [Principal] Le mot de passe n'a pas été défini ou n'est pas stocké dans ThingWorx
|
• Création de l'approvisionnement utilisateur activée
• Modification de l'approvisionnement utilisateur activée
• [Principal] Répertorié dans la Liste d'exclusion d'approvisionnement utilisateur
|
• Existe
• N'est pas modifié
• Ne peut pas être utilisé pour se connecter
|
|
N'existe pas
|
Existe (manuellement créé par l'administrateur ThingWorx)
|
• Création de l'approvisionnement utilisateur activée
• Modification de l'approvisionnement utilisateur activée
• [Principal] Non répertorié dans la Liste d'exclusion d'approvisionnement utilisateur
|
• Existe
• N'est pas modifié
• Ne peut pas être utilisé pour se connecter
|
|
• Existe
• [Principal] Désactivé
|
N'existe pas
|
• Création de l'approvisionnement utilisateur activée
• Modification de l'approvisionnement utilisateur activée
• Non répertorié dans la Liste d'exclusion d'approvisionnement utilisateur
|
• N'existe pas
• Ne peut pas être utilisé pour se connecter
|
|
• Existe
• [Principal] Verrouillé
|
N'existe pas
|
• Création de l'approvisionnement utilisateur activée
• Modification de l'approvisionnement utilisateur activée
• Non répertorié dans la Liste d'exclusion d'approvisionnement utilisateur
|
• N'existe pas
• Ne peut pas être utilisé pour se connecter
|
|
Existe
|
N'existe pas
|
• [Principal] Création de l'approvisionnement utilisateur désactivée
• Modification de l'approvisionnement utilisateur activée
• Non répertorié dans la Liste d'exclusion d'approvisionnement utilisateur
|
• N'existe pas
• Ne peut pas être utilisé pour se connecter
|
|
Existe
|
N'existe pas
|
• [Principal] Création de l'approvisionnement utilisateur activée
• Modification de l'approvisionnement utilisateur activée
• [Principal] Non répertorié dans la Liste d'exclusion d'approvisionnement utilisateur
|
• Existe (créé)
• Ajouté en tant que membre aux groupes mappés
• Paramètres utilisateur par défaut ajoutés
• Peut être utilisé pour se connecter
|
|
Existe
|
Existe
|
• Création de l'approvisionnement utilisateur activée
• [Principal] Modification de l'approvisionnement utilisateur activée
• [Principal] Non répertorié dans la Liste d'exclusion d'approvisionnement utilisateur
• [Principal] Paramètres utilisateur par défaut configurés
|
• L'utilisateur est modifié
• Ajouté/supprimé en tant que membre dans les groupes mappés
• Paramètres utilisateur par défaut ajoutés
• Peut être utilisé pour se connecter
|
|
Existe
|
Existe
|
• Création de l'approvisionnement utilisateur activée
• [Principal] Modification de l'approvisionnement utilisateur activée
• [Principal] Répertorié dans la Liste d'exclusion d'approvisionnement utilisateur
• [Principal] Paramètres utilisateur par défaut configurés
|
• L'utilisateur n'est pas modifié
• Peut être utilisé pour se connecter
|