单一登录身份验证器
在 ThingWorx 中启用单一登录 (SSO) 时,ThingworxSSOAuthenticator 用于设置用户。用户帐户是基于通过 SAML 声明从标识提供工具检索的属性来创建和更新的。使用此身份验证器可以为已设置用户定义默认设置,或标识应用于用户设置的 SAML 属性值。SAML 设置不会删除用户帐户。有关这一功能,请参阅 SCIM 设置。
先决条件
2. 在 PingFederate 策略合同中映射属性。
作为 SSO 配置的一部分,授权服务器 (PingFederate) 已部署并配置为将 SAML 身份验证请求重定向至标识提供工具。您在 PingFederate 中创建一个 SP 连接,ThingWorx 向其发送 SAML 身份验证请求。策略合同是 PingFederate 用于将标识提供工具的声明属性传递给服务提供者 (ThingWorx) 的机制。以下配置表中标识的任何属性都需要在 PingFederate 的策略合同中列出,以便可以在连接之间传递这些属性。
有关详细信息,请参阅以下部分:
◦ PingFederate 文档:将 IdP 桥接至 SP
https://docs.pingidentity.com/bundle/pingfederate-100/page/ffk1564002971738.html
◦ PingFederate 文档:联合中心和身份验证策略合同
https://docs.pingidentity.com/bundle/pingfederate-100/page/ope1564002971971.html
以下配置表中的选项允许您指定身份验证器的行为。
用户设置
|
“支持用户创建”
|
基于从授权服务器检索的凭据,选择以允许在 ThingWorx 中创建用户帐户。如果用户尝试登录到 ThingWorx,但尚未创建 ThingWorx 用户帐户,此设置将允许基于存储在标识提供工具中的用户数据创建 ThingWorx 用户帐户。
|
|
“支持用户修改”
|
选择以允许修改 ThingWorx 中存在的用户帐户。初始登录后,在后续登录事件期间允许未来帐户更新非常重要,创建用户时需要将 ThingWorx 用户数据与标识提供工具中的用户帐户数据同步。
|
|
“必须设置所有凭据属性”
|
如果启用,则必须使用标识提供工具返回的所有凭据属性 (应用于用户)。如果有任何凭据属性未被使用,则不会创建/更新用户,并且登录将会失败。
默认情况下不会选择此选项。
|
|
“身份验证器更改时终止用户会话”
|
如果启用,则在保存 ThingWorx SSO 身份验证器配置时将终止所有已设置用户的活动会话。
此设置不适用于“用户设置排除列表”中指定的用户。
默认情况下不会选择此选项。
|
用户设置排除列表
指定应从下面的“用户默认值”配置中排除的任何用户。
 |
默认情况下,用户已添加到此列表。如果您尝试删除这些用户,可在刷新页面时会自动重新添加这些用户。
• ThingWorx 管理员
• 超级用户
• 系统用户
|
用户默认值
这些默认属性将应用于除添加到“用户设置排除列表”之外的所有用户。这些属性在用户登录时应用。
|
“说明”
|
输入您要为已设置用户使用的说明。例如,您可能希望注意到已经通过自动设置创建了一个用户帐户。
|
|
混搭
|
指定已设置用户在登录后将看到的默认主混搭。
|
|
“移动设备混搭”
|
指定已设置用户在登录后将看到的默认移动混搭。
|
|
“标记”
|
指定要应用于已设置用户的默认标记。此标记列表将覆盖已存在和正在更新的用户帐户的任何现有标记。
|
用户标识提供工具设置
使用此表 (而不是应用上面的用户默认值表中定义的设置) 来标识从应适用于用户设置的标识提供工具检索的属性。在此表中,可以指定标识提供工具在 SAML 声明中返回用户属性的属性密钥。针对该属性密钥返回的值将应用于用户设置。此表中定义的条目将覆盖“用户默认值”表中指定的默认设置。
|
“说明”
|
输入与应用作说明的属性值相对应的属性密钥。
|
|
“主混搭”
|
输入与应用于确定主混搭的属性值相对应的属性密钥。
|
|
“移动设备混搭”
|
输入与应用于确定移动混搭的属性值相对应的属性密钥。
|
|
“标记”
|
输入与应用于确定将何种标记应用到用户的属性值相对应的属性密钥。
|
|
组
|
输入一个属性密钥,与该密钥相对应的属性值应用于确定作为已设置用户添加对象的 ThingWorx 组。
|
已设置用户的默认组
指定应添加自动设置用户的组。此组的列表将覆盖任何现有的组成员资格。
标识提供工具组映射
此表将 IdP 组名称映射到相应的 ThingWorx 组名称。
例如,您可能希望设置的组在 ThingWorx 中的名称与 IdP 中给定的名称不同。映射名称之后,在 IdP 中对组进行的任何更改都会反映到映射的 ThingWorx 组中。
用户扩展设置名称
每个表条目有三列:
• “属性名称”用于标识用户扩展属性
• “默认值”用于指定在设置用户帐户时默认应用于该属性的值。
• “标识提供工具属性”用于指定在 SAML 声明中返回的自定义属性。所返回属性的值将用作属性值。如果定义了此字段,将覆盖“默认值”中的设置。
在 ThingWorx 中启用 SSO 后,ThingworxSSOAuthenticator 已启用且为默认身份验证器。如果未在 ThingWorx 中启用 SSO,则会禁用身份验证器。启用 SSO 时,会禁用以下登录身份验证器:
• ThingworxAppKeyAuthenticator
• ThingworxBasicAuthenticator
• ThingworxFormAuthenticator
• ThingworxHttpBasicAuthenticator
请注意,以下身份验证器具有一个可将其启用的配置选项。但 SSO 会覆盖此选项,并且在启用了 SSO 的情况下,它们始终处于禁用状态。
• ThingworxMobileAuthorizationAuthenticator
• ThingworxMobileTokenAuthenticator
• 自定义身份验证器
下表提供有关在 Thingworx SSO 身份验证器中选择的选项以及在登录时授权服务器或 IdP 中的状态所产生的有关 ThingWorx 中用户状态更改的信息。在这些情况下,授权服务器或 IdP 中的用户状态不会更改,仅有 ThingWorx 中的状态会受到影响。附加了 [主键] 的项目是影响登录后 ThingWorx 中用户状态的主要因素。
|
AS 或 IdP 中的用户状态
|
登录前 ThingWorx 中的用户状态
|
Thingworx SSO 身份验证器选项
|
登录后 ThingWorx 中的用户状态
|
|---|---|---|---|
|
不存在
|
不存在
|
任何配置
|
• 不存在
• 不能用于登录
|
|
不存在
|
• 存在 (由 Thingworx 管理员手动创建)
• [主键] 密码已设置,并且驻留在 Thingworx 中
|
• 支持用户设置创建
• 支持用户设置修改
• [主键] 已在用户设置排除列表中列出
|
• 存在
• 未被修改
• 不能用于登录
|
|
不存在
|
• 存在 (由 Thingworx 管理员手动创建)
• [主键] 密码未设置,或未驻留在 Thingworx 中
|
• 支持用户设置创建
• 支持用户设置修改
• [主键] 已在用户设置排除列表中列出
|
• 存在
• 未被修改
• 不能用于登录
|
|
不存在
|
存在 (由 Thingworx 管理员手动创建)
|
• 支持用户设置创建
• 支持用户设置修改
• [主键] 未在用户设置排除列表中列出
|
• 存在
• 未被修改
• 不能用于登录
|
|
• 存在
• [主键] 已禁用
|
不存在
|
• 支持用户设置创建
• 支持用户设置修改
• 未在用户设置排除列表中列出
|
• 不存在
• 不能用于登录
|
|
• 存在
• [主键] 已锁定
|
不存在
|
• 支持用户设置创建
• 支持用户设置修改
• 未在用户设置排除列表中列出
|
• 不存在
• 不能用于登录
|
|
存在
|
不存在
|
• [主键] 不支持用户设置创建
• 支持用户设置修改
• 未在用户设置排除列表中列出
|
• 不存在
• 不能用于登录
|
|
存在
|
不存在
|
• [主键] 支持用户设置创建
• 支持用户设置修改
• [主键] 未在用户设置排除列表中列出
|
• 存在 (已创建)
• 已作为成员添加到映射组
• 已添加默认用户设置
• 可用于登录
|
|
存在
|
存在
|
• 支持用户设置创建
• [主键] 支持用户设置修改
• [主键] 未在用户设置排除列表中列出
• [主键] 已配置用户默认设置
|
• 用户已修改
• 已作为成员添加到映射组/从映射组移除
• 已添加默认用户设置
• 可用于登录
|
|
存在
|
存在
|
• 支持用户设置创建
• [主键] 支持用户设置修改
• [主键] 已在用户设置排除列表中列出
• [主键] 已配置用户默认设置
|
• 用户未修改
• 可用于登录
|