在識別提供者中建立 ThingWorx 管理員別名
PTC 產品平台架構會假設您有一個識別提供者 (企業目錄服務) 讓 PingFederate 向其重新導向使用者驗證請求。Ping Federate 不會存取使用者資料。識別提供者 (IdP) 會傳送一個 SAML 宣告,說明已對使用者進行驗證。根據此驗證,PingFederate 會傳回一個 SAML 宣告給 ThingWorx,說明已對使用者進行驗證。
從 CAS 或 IdP 傳回至 ThingWorx 的 SAML 宣告必須是 "Administrator"。如果您的 IdP 針對它自己的管理員登入使用使用者名稱 "Administrator",請完成下列步驟:
1. 在 IdP 中建立具有不同使用者名稱的帳戶 (例如,twxadmin)。
2. 在該使用者名稱與 uid "Administrator" 之間建立 SAML 屬性對應。您可以在 CAS (PingFederate) 或 CAS 在驗證使用者時所參考的 IdP 中對應 SAML 屬性。
如此可確保傳送至 ThingWorx 的 SAML 宣告擁有 ThingWorx 需要的 uid。
3. 在登入頁面中,輸入替代的 ThingWorx 管理員使用者名稱。
這個別名化的 ThingWorx 管理員使用者無法用於委派授權。如需有關建立使用者帳戶及對應屬性的資訊,請參閱您的 IdP 與 PingFederate 產品文件集。
欲透過管理員使用者使用委派授權,請完成下列步驟:
1. 在 ThingWorx 中本機建立使用者。
2. 將此使用者新增至 ThingWorx「管理員群組」。
3. 將此使用者新增至 ThingworxSSOAuthenticator 中的「使用者授權排除」清單。
4. 將此使用者新增至 CAS 在驗證使用者登入時所參考的聯合 IdP。
5. 每當您需要測試來自管理員帳戶的委派授權時,請使用這個使用者帳戶。