通过标识提供工具创建 ThingWorx 管理员别名
PTC 产品平台体系结构假设您拥有标识提供工具 (企业目录服务),PingFederate 可向该工具重定向请求以进行用户身份验证。Ping Federate 不会访问用户数据。标识提供工具 (IdP) 会发送一个 SAML 断言,表明用户已通过身份验证。基于此验证,PingFederate 会向 ThingWorx 返回一个 SAML 断言,表明用户已通过身份验证。
从 CAS 或 IdP 返回到 ThingWorx 的 SAML 断言必须为 "Administrator"。如果您的 IdP 在其自身的管理员登录中使用用户名 "Administrator",请完成以下步骤:
1. 在具有不同用户名 (例如,twxadmin) 的 IdP 中创建一个帐户。
2. 在用户名和 uid "Administrator" 之间创建 SAML 属性映射。您可以映射 CAS (PingFederate) 中的 SAML 属性或 CAS 在验证用户时所引用的 IdP。
这可以确保发送到 ThingWorx 的 SAML 断言具有 ThingWorx 所需的 uid。
3. 在登录页面中,输入备用的 ThingWorx 管理员用户名。
此别名 ThingWorx 管理员用户不能用于实现委托授权。有关创建用户帐户和映射属性的信息,请参阅 IdP 和 PingFederate 产品文档。
要通过管理员用户使用委托授权,请完成以下步骤:
1. 在本地使用 ThingWorx 创建用户。
2. 将此用户添加到 ThingWorx 管理员组中。
3. 将此用户添加到 ThingworxSSOAuthenticator 中的“用户设置排除”列表中。
4. 将此用户添加到 CAS 在验证用户登录时引用的联合 IdP 中。
5. 无论何时需要用管理员帐户测试委托授权,都可以使用此用户帐户。