プロビジョニング

Composer での ThingWorx モデルの定義 > セキュリティ > プロビジョニング

プロビジョニング

SAML、SCIM、手動 Active Directory コンフィギュレーションなど、いくつかの方法を使用してユーザーデータをプロビジョニングするように ThingWorx を設定できます。設定するプロビジョニング方法は、有効にする認証のタイプによって異なります。

Active Directory プロビジョニング

Active Directory による固定認証を使用する場合は、ディレクトリサービスからユーザープロビジョニングを設定します。詳細については、 Active Directory でのユーザーの管理を参照してください。

SAML プロビジョニング

シングルサインオン (SSO) 認証を有効にした場合は、SAML によるプロビジョニングが自動的に有効になります。ユーザー属性は、ThingWorx と ID プロバイダの間でブローカーとして機能する認証サーバー (PingFederate) から SAML アサーションによって取得されます。ユーザーが ThingWorx にログインするときにユーザーアカウントが作成され (ThingWorx にまだ存在しない場合)、更新されるので、これは「ジャストインタイム」プロビジョニングと考えられます。ユーザー属性は、認証に使用される SAML アサーションに含まれています。IdP 管理者の協力を得てユーザーについて把握し、ThingWorx のユーザーアカウントがログインイベント時に更新されることを確認します。初期状態では、ThingWorx はユーザーの作成にユーザー名属性のみを使用します。使用する追加の属性はすべて、SAML アサーションに渡された後、ユーザー拡張機能プロパティにマップされるように、認証サーバー内で設定する必要があります。

この方法で使用されるプロビジョニング設定を管理するために、追加のコンフィギュレーションが必要です。

• PingFederate では、ThingWorx が PingFederate への接続に使用する SP 接続のポリシー契約を作成します。ポリシー契約を使用して、ID プロバイダから ThingWorx に渡す属性をマップします。詳細については、 PingFederate 接続の作成を参照してください。

• ThingWorx では、ThingworxSSOAuthenticator エンティティを構成して、ユーザーとユーザー属性をプロビジョニングするための設定を指定します。詳細については、シングルサインオン認証システムを参照してください。

ThingWorx では、SAML プロビジョニングはユーザーアカウントの作成と更新のみに使用でき、削除はできません。

SCIM プロビジョニング

SCIM は、自動的に ID プロバイダ内のユーザーアカウントの変更を同期して、ThingWorx 内のユーザーアカウントにプッシュする方法です。SSO 認証で設定されている SAML プロビジョニング設定を補完するために、SCIM プロビジョニングを有効にできます。SCIM プロビジョニングは、手動で有効にすることも、もしくは SSO 認証とは関係なく有効にすることもできます。SAML プロビジョニングの場合に行われるユーザーアカウントのジャストインタイム更新の代わりに、SCIM による自動化では、ID プロバイダ内のユーザーアカウントの変更に基づいて、ユーザーアカウントの変更が ThingWorx に自動的にプロビジョニングされます。

SCIM プロビジョニングを設定するには、以下のトピックを参照してください。

• SCIM

• SCIM サブシステム

SCIM プロビジョニングと SAML プロビジョニングの両方の使用

SAML プロビジョニングと SCIM プロビジョニングの両方を使用する場合は、両方のコンフィギュレーションがユーザー属性を論理的に使用するように調整されている必要があります。たとえば、ThingWorx グループと IdP グループが、ThingworxSSOAuthenticator と SCIM サブシステム内で同じようにマッピングされていることを確認します。IdP 内でユーザーが属するグループが SCIM サブシステムと ThingworxSSOAuthenticator 内で別々の ThingWorx グループにマッピングされている場合は、SCIM プロビジョニングまたは SAML プロビジョニングに基づいてユーザーアカウントが更新されるときに、これらは別々の ThingWorx グループに追加されます。

SCIM 1.1 スキーマリソースタイプにマッピングされている ThingWorx ユーザー拡張機能プロパティのリストについては、データストアへのチャネルの作成を参照してください。ThingworxSSOAuthenticator で SAML プロビジョニングを設定する際に、「ユーザー拡張機能 - プロビジョン名」テーブルでは、SAML 属性から渡されるユーザーメタデータ値が ThingWorx ユーザー拡張機能プロパティにマッピングされます。SCIM プロビジョニングと SAML プロビジョニングの両方を使用する場合は、IdP から取得する各ユーザーメタデータ値に対して、ThingworxSSOAuthenticator の「ユーザー拡張機能 - プロビジョン名」テーブルで対応する SMAL 属性マッピングが設定されていることを確認する必要があります。ユーザー拡張機能メタデータが ThingworxSSOAuthenticator にマッピングされていない場合は、ユーザーがログインして SAML プロビジョニングが行われるときに、そのユーザー拡張機能の値が消去されます。これは、SAML アサーションからそのユーザー拡張機能の値が取得されないためです。

SCIM プロビジョニングと SAML プロビジョニングから返されるユーザー拡張機能属性のプロビジョニングを調整するには、以下のことを行う必要があります。

1. IdP 管理者の協力を得て、データストアへのチャネルの作成に示されている SCIM 1.1 スキーマリソースタイプごとに、どのユーザーメタデータが返されるか確認します。

2. PingFederate 管理者と調整して、ユーザーのログイン時に ThingWorx に返されるアサーションに含まれるものと同じユーザーメタデータが、SAML 属性にマッピングされるようにします。

3. ThingworxSSOAuthenticator の「ユーザー拡張機能 - プロビジョン名」テーブルを設定して、適切な SAML アサーション値を、対応する SCIM スキーマリソースタイプからプロビジョニングされた、対応するユーザー拡張機能プロパティにマッピングします。