Création de l'alias de l'administrateur ThingWorx dans le fournisseur d'identité

Définition du modèle ThingWorx dans Composer > Sécurité > Authentification unique > Création de l'alias de l'administrateur ThingWorx dans le fournisseur d'identité

L'architecture de la plateforme de produits PTC part du principe que vous disposez d'un fournisseur d'identité (un service d'annuaire d'entreprise) vers lequel PingFederate redirige les requêtes d'authentification des utilisateurs. PingFederate n'accède pas aux données d'utilisateur. Le fournisseur d'identité (IdP) envoie une assertion SAML indiquant que l'utilisateur est authentifié. En fonction de cette validation, PingFederate renvoie une assertion SAML à ThingWorx indiquant que l'utilisateur a été authentifié.

L'assertion SAML renvoyée par le serveur d'autorisation central (CAS) ou le fournisseur IdP vers ThingWorx doit être nommée "Administrateur". Si votre fournisseur IdP utilise le nom d'utilisateur "Administrateur" pour l'accès de son propre administrateur, procédez comme suit :

1. Créez un compte dans le fournisseur IdP avec un nom d'utilisateur différent (par exemple, twxadmin).

2. Créez un mappage d'attributs SAML entre ce nom d'utilisateur et l'UID "Administrateur". Vous pouvez mapper les attributs SAML dans le CAS (PingFederate) ou dans le fournisseur IdP auquel il renvoie lorsque vous authentifiez des utilisateurs.

L'assertion SAML envoyée à ThingWorx possède ainsi l'uid requis par ThingWorx.

3. Sur la page de connexion, entrez le nom d'utilisateur administrateur ThingWorx alternatif.

Cet utilisateur administrateur d'ThingWorx avec alias ne peut pas être utilisé pour l'autorisation déléguée. Pour en savoir plus sur la création de comptes utilisateurs et le mappage d'attributs, reportez-vous à la documentation produit de votre fournisseur IdP et de PingFederate.

Pour utiliser l'autorisation déléguée via un utilisateur administrateur, procédez comme suit :

1. Créez l'utilisateur localement dans ThingWorx.

2. Ajoutez-le au groupe Administrateurs d'ThingWorx.

3. Ajoutez-le à la liste d'exclusion d'approvisionnement utilisateur dans ThingworxSSOAuthenticator.

Pour en savoir plus, consultez la rubrique Configure de ThingWorx pour l'authentification unique.

4. Ajoutez cet utilisateur au fournisseur IdP fédéré auquel le CAS renvoie lors de l'authentification des connexions d'utilisateurs.

5. Utilisez ce compte utilisateur chaque fois que vous devez tester l'autorisation déléguée par un compte administrateur.