ThingWorx 可配置為使用數種方法來授權使用者資料，包括 SAML、SCIM，以及手動 Active Directory 組態。您所配置的授權方法取決於已啟用的驗證類型。

如果您是搭配 Active Directory 使用固定驗證，請經由目錄服務配置使用者授權。如需詳細資訊，請參閱 管理 Active Directory 中的使用者。

如果您已啟用單一登入 (SSO) 驗證，SAML 授權會自動啟用。系統會透過來自授權伺服器 (PingFederate) 的 SAML 宣告來擷取使用者屬性，該授權伺服器在 ThingWorx 與識別提供者之間以代理程式的形式運作。我們將此視為「及時」授權，因為會在使用者登入到 ThingWorx 中時建立 (如果使用者帳戶尚未存在於 ThingWorx 中) 和更新使用者帳戶。使用者屬性包括在用來驗證的 SAML 宣告中。使用 IdP 管理員以瞭解使用者，並確保 ThingWorx 中的使用者帳戶會在發生登入事件時更新。在預設情況下，ThingWorx 只會耗用使用者名稱屬性來建立使用者。您想耗用的任何其他屬性都必須在授權伺服器中進行配置，以便它們能夠傳入 SAML 宣告中，然後對應至使用者延伸功能內容。

需要額外的組態才能管理與此方法搭配使用的授權設定。

在 ThingWorx 中，SAML 授權只能用來建立和更新使用者帳戶；它無法用來刪除使用者。

SCIM 是一種自動化方法，可同步處理識別提供者中使用者帳戶的變更，以便推送至 ThingWorx 中的使用者帳戶。您可以啟用 SCIM 授權來補充使用 SSO 驗證配置 SAML 授權設定。SCIM 授權也可以獨立於 SSO 驗證啟用。SCIM 自動化並非指隨著 SAML 授權發生使用者帳戶及時更新，而是指根據對識別提供者中使用者帳戶的變更來將使用者帳戶變更自動授權至 ThingWorx。

欲配置 SCIM 授權，請參閱下列主題。

如果您同時使用 SAML 和 SCIM 授權，則您用於這兩者的組態必須是相符的，這樣它們才會以具邏輯的方式耗用使用者屬性。比如說，確認 ThingWorx 和 IdP 群組在 ThingworxSSOAuthenticator 和 SCIM 子系統中以相同的方式對應。如果使用者在 IdP 中所屬的某個群組對應至 SCIM 子系統和 ThingworxSSOAuthenticator 中的不同 ThingWorx 群組，那麼在依 SCIM 或 SAML 授權更新使用者帳戶時，會將它們新增至不同的 ThingWorx 群組。

如需對應至 SCIM 1.1 結構描述資源類型之 ThingWorx 使用者延伸功能內容的清單，請參閱 建立資料存放區通道。在 ThingworxSSOAuthenticator 中配置 SAML 授權時，「使用者延伸功能授權名稱」表會對應從 SAML 屬性傳遞至 ThingWorx 使用者延伸功能內容的使用者中繼資料值。同時使用 SCIM 和 SAML 授權時，您必須確保針對擷取自 IdP 的每個使用者中繼資料值，在 ThingworxSSOAuthenticator 使用者延伸功能授權名稱表中都有配置一個對應的 SAML 屬性對應。若未在 ThingworxSSOAuthenticator 中對應使用者延伸功能中繼資料，那麼當使用者登入且 SAML 授權發生時，系統將會清除該使用者延伸功能值，因為從 SAML 宣告中沒有擷取到該使用者延伸功能的任何值。

欲針對自 SCIM 和 SAML 授權傳回的使用者延伸功能屬性協調授權，須執行下列作業：