Utilisation de la méthode SCIM avec ThingWorx

Définition du modèle ThingWorx dans Composer > Sécurité > Provisionnement > Utilisation de la méthode SCIM avec ThingWorx

Le système pour la gestion d'identité inter-domaines (SCIM) est une méthode normalisée et automatisée qui permet de synchroniser les identités des utilisateurs entre des systèmes et des magasins de données disparates.

Par défaut, SCIM n'est pas démarré et est désactivé au démarrage de la plateforme. Ses états enable et started sont contrôlés par la configuration platform-settings.json.

L'accès aux points de terminaison SCIM pour la gestion des utilisateurs/groupes demande des droits d'administrateur. Les points de terminaison SCIM ne sont accessibles que lorsqu'ils sont configurés pour être activés et lorsque l'authentification SSO est activée.

Pour en savoir plus, consultez le site http://www.simplecloud.info.

ThingWorx prend en charge les éléments suivants :

• SCIM 1.1

• Provisionnement sortant

• Création, mise à jour et suppression d'utilisateurs ou de groupes

• Configuration des valeurs par défaut pour les utilisateurs et les groupes configurés SCIM

Considérons le scénario suivant :

• L'objet SCIM "Sally" peut contenir un certain nombre d'attributs utiles (nom d'utilisateur, e-mail, numéro de téléphone, etc.).

• Si quelque chose change (par exemple, Sally reçoit une promotion), SCIM peut automatiquement mettre à jour ses attributs utilisateur ThingWorx en conséquence. Lorsque Sally quitte la société, son compte utilisateur ThingWorx est supprimé ou désactivé lorsqu'elle est supprimée du serveur d'annuaire.

Certains attributs d'utilisateurs et de groupes peuvent nécessiter une configuration supplémentaire. Cette opération peut être exécutée en gérant le provisionnement sortant à partir de PingFederate. Pour en savoir plus, consultez l'article Specify custom SCIM attributes du centre de connaissances Ping Identity.

Le mappage de métadonnées entre les propriétés d'extension utilisateur ThingWorx et le SCIM Schema 1.1 est fixé. Pour en savoir plus, consultez la rubrique Création d'un canal vers le magasin de données.

Authentification

Lorsque l'authentification SSO est activée, ThingWorx nécessite des jetons OAuth lors d'un provisionnement via SCIM.

Pour plus d'informations, consultez l'article Manage outbound provisioning options in a connection du centre de connaissances Ping Identity.

Conditions requises pour SCIM

1. Téléchargez et installez PingFederate. Pour en savoir plus, consultez la rubrique consacrée au téléchargement du logiciel PingFederate dans le document (en anglais) PTC Single Sign-on Architecture and Configuration Overview Guide (Guide de présentation de la configuration et de l'architecture d'authentification unique PTC).

2. Configurez SSO pour ThingWorx :

◦ PTC Single Sign-on Architecture and Configuration Overview Guide (Guide de présentation de la configuration et de l'architecture d'authentification unique PTC)

◦ Authentification unique

Configuration de SCIM

Une fois que les prérequis sont satisfaits, procédez comme suit :

1. Importez le certificat de SSL PingFederate dans le magasin de stockage JVM. Les certificats sont disponibles à partir de la console d'administration PingFederate sous Configuration de serveur > Gestion des certificats.

2. Activation du provisionnement sortant

3. A partir de la console d'administration PingFederate :

a. Ajoutez le LDAP en tant que magasin de données.

b. Configurez une instance de validateur d'informations d'identification avec mot de passe.

c. Créez un nouveau client OAuth pour SCIM.

d. Définissez une connexion de type fournisseur de services pour SCIM.

e. Créez un canal vers le magasin de données.

4. Ajoutez des paramètres SCIM à platform-settings.json et sso-settings.json : paramètres de plateforme SCIM.

5. Configurez le sous-système SCIM dans ThingWorx : Sous-système SCIM.