ThingWorx peut être configuré de manière à provisionner les données utilisateur selon diverses méthodes, notamment SAML, SCIM et une configuration manuelle d'Active Directory. La méthode de provisionnement que vous configurez dépend du type d'authentification qui est activé.

Si vous utilisez une authentification fixe avec Active Directory, configurez l'approvisionnement utilisateur à partir du service d'annuaire. Pour en savoir plus, consultez la rubrique Gestion des utilisateurs dans l'Active Directory.

Si vous avez activé l'authentification unique (SSO), le provisionnement SAML est automatiquement activé. Les attributs utilisateur sont récupérés via des assertions SAML depuis le serveur d'autorisation (PingFederate) qui sert de courtier entre ThingWorx et le fournisseur d'identité. Il s'agit d'un provisionnement de type "juste à temps", car les comptes utilisateurs sont créés (s'ils n'existent pas déjà dans ThingWorx) et mis à jour lorsqu'un utilisateur se connecte à ThingWorx. Les attributs utilisateur sont inclus dans l'assertion SAML utilisée pour l'authentification. Rapprochez-vous de l'administrateur IdP pour comprendre l'utilisateur et pour vous assurer que le compte utilisateur dans ThingWorx est mis à jour au moment de la connexion. Par défaut, ThingWorx utilise uniquement l'attribut nom d'utilisateur pour créer l'utilisateur. Tous les attributs supplémentaires que vous souhaitez utiliser doivent être configurés sur le serveur d'autorisation de sorte qu'ils soient transmis à l'assertion SAML, puis mappés aux propriétés d'extension utilisateur.

Des configurations supplémentaires sont requises pour gérer les paramètres de provisionnement utilisés avec cette méthode.

Dans ThingWorx, le provisionnement SAML ne peut être utilisé que pour créer et mettre à jour les comptes utilisateurs, pas pour les supprimer.

SCIM est une méthode automatisée qui synchronise les modifications apportées aux comptes utilisateurs chez le fournisseur d'identité afin de les mettre à jour dans les comptes utilisateurs de ThingWorx. Le provisionnement SCIM peut être activé en complément des paramètres de provisionnement SAML configurés avec l'authentification SSO. Il peut également l'être indépendamment de l'authentification SSO. Au lieu des mises à jour "juste à temps" des comptes utilisateurs qui se produisent en cas de provisionnement SAML, l'automatisation SCIM signifie que les modifications apportées aux comptes utilisateurs sont auto-provisionnés dans ThingWorx en fonction des modifications apportées au compte utilisateur chez le fournisseur d'identité.

Pour configurer le provisionnement SCIM, consultez les rubriques suivantes.

Si vous utilisez à la fois les provisionnements SAML et SCIM, les configurations pour l'une et l'autre méthodes doivent être en phase afin qu'elles utilisent les attributs utilisateur de manière logique. Par exemple, confirmez que les groupes ThingWorx et IdP (fournisseur d'identité) sont mappés de la même façon dans le ThingworxSSOAuthenticator et le sous-système SCIM. Si un groupe auquel appartient un utilisateur dans le fournisseur d'identité est mappé avec différents groupes ThingWorx dans le sous-système SCIM et ThingworxSSOAuthenticator, il peut être ajouté à divers groupes ThingWorx lorsque le compte utilisateur est mis à jour en fonction du provisionnement de SCIM ou SAML.

Consultez la rubrique Création d'un canal vers le magasin de données pour obtenir une liste des propriétés d'extension utilisateur ThingWorx qui sont mappées vers les types de ressources de SCIM 1.1 Schema. Lors de la configuration du provisionnement SAML dans ThingworxSSOAuthenticator, la table Extension utilisateur pour noms de fournisseurs mappe les valeurs des métadonnées utilisateur qui sont transmises à partir des attributs SAML vers les propriétés d'extension utilisateur ThingWorx. Lorsque vous utilisez à la fois les provisionnements SCIM et SAML, vous devez vous assurer que pour chacune des valeurs de métadonnées utilisateur qui sont récupérées auprès du fournisseur d'identité, il existe un mappage correspondant d'attributs SAML configuré dans la table Extension utilisateur pour noms de fournisseurs ThingworxSSOAuthenticator. Si les métadonnées d'extension utilisateur ne sont pas mappées dans ThingworxSSOAuthenticator : lorsque l'utilisateur ouvre une session et que le provisionnement SAML intervient, cette valeur d'extension utilisateur est effacée car aucune valeur pour cette extension n'est récupérée dans l'assertion SAML.

Pour coordonner le provisionnement des attributs d'extension utilisateur renvoyés par les provisionnements SCIM et SAML, vous devez procéder comme suit :