PingFederate zum Umleiten von Benutzeranmeldeanfragen an Ihren IdP konfigurieren
Konfigurieren Sie in der Dienstanbieterkonfiguration Identitätsanbieter (IdP)-Verbindungen für PingFederate. Für Drittanbieter-IdPs fungiert PingFederate als Dienstanbieter.
In diesem Prozess müssen Sie auch die folgenden Schritte ausführen:
• Konfigurieren Sie das Verschlüsselungszertifikat auf der Anwendungsschicht für den Dienstanbieter. Weitere Informationen finden Sie unter SSL-Zertifikat für Verschlüsselung und Signierung auf Anwendungsschicht konfigurieren.
• Exportieren Sie die Metadaten-Datei des Dienstanbieters.
• Importieren Sie die Metadatendatei vom IdP.
In der SSO-Architektur, die von PTC getestet und empfohlen wird, sollte PingFederate so konfiguriert sein, dass Benutzerauthentifizierungsanforderungen an einen Unternehmensverzeichnisdienst (Drittanbieter-Identitätsanbieter (IdP)) umgeleitet werden. Dadurch werden die Knoten innerhalb der SSO-Architektur, die Benutzeranmeldeinformationen verarbeiten müssen, reduziert, da der Browser zur Authentifizierung bei Ihrem IdP umgeleitet wird. Um PingFederate als Verbund-Hub zu konfigurieren, müssen Sie mindestens zwei Verbindungen in PingFederate erstellen:
• Erstellen Sie eine IdP-Verbindung unter der Dienstanbieterkonfiguration in PingFederate. PingFederate verwendet diese Verbindung, um eine Verbindung mit Ihrem IdP herzustellen.
• Erstellen Sie eine Dienstanbieterverbindung unter der IdP-Konfiguration in PingFederate. PingFederate verwendet diese Verbindung, um eine Verbindung mit dem Dienstanbieter herzustellen.
Weitere Informationen finden Sie in den folgenden Themen in der PingFederate-Dokumentation:
• "Service provider SSO configuration"
• "Bridging an IdP to an SP"
• "Federation hub and authentication policy contracts"
 |
Verwenden Sie die Verbindungsvorlage für Browser-SSO-Profile nur, um die SSO-Verbindung zu konfigurieren. Sie dürfen keine SP-Adapter für SSO-Verbindungen erstellen.
|
Bei der Benutzerbereitstellung handelt es sich um eine spezielle Konfiguration bei der SSO-Einrichtung von PingFederate. Die Benutzerbereitstellung hängt von dem IdP ab, den ein Kunde auswählt. Sie funktioniert bei jedem IdP anders. Weitere Informationen zur Benutzerbereitstellung finden Sie unter Bereitstellung im ThingWorx Hilfe-Center.
Authentifizierungsrichtlinienvertrag
Darüber hinaus müssen Sie einen Authentifizierungsrichtlinienvertrag in PingFederate erstellen, der eine Brücke zwischen der Dienstanbieterverbindung und der IdP-Verbindung herstellt. Der Authentifizierungsrichtlinienvertrag wird verwendet, um anzugeben, welche Benutzerattribute von Ihrem IdP abgerufen und an die Dienstanbieteranwendung weitergeleitet werden sollen. Alle erforderlichen Attribute finden Sie in der Dokumentation Ihres IdP.
Wenn Sie SSO für PTC Produkte konfigurieren, sind die folgenden Attribute für die Benutzerauthentifizierung erforderlich und müssen im IdP verfügbar gemacht sowie in Ihrem Authentifizierungsrichtlinienvertrag zugeordnet werden:
• uid
• subject
• email
• group
Sie können beispielsweise die folgenden Werte für Active Directory Federation Services (ADFS) eingeben. Die Zuordnung kann jedoch je nach gewähltem IdP unterschiedlich sein. Sie müssen die Zuordnung basierend auf Ihren Anforderungen bestimmen.
|
Attribut
|
Wert
|
|---|---|
|
subject
|
SAML_SUBJECT (Bestätigung)
|
|
uid
|
http://schemas.xmlsoap.org/ws/2005/05/Identity/claims/name (Bestätigung)
|
|
email
|
http://schemas.xmlsoap.org/claims/EmailAddress (Bestätigung)
|
|
group
|
http://schemas.xmlsoap.org/claims/Group (Bestätigung)
|
Um einen Authentifizierungsrichtlinienvertrag zu implementieren, gehen Sie wie folgt vor:
1. Melden Sie sich als Administrator bei der PingFederate-Verwaltungskonsole an.
2. Klicken Sie im Menü SP Configuration im Abschnitt AUTHENTICATION POLICIES auf Policy Contracts.
3. Klicken Sie auf der Seite Authentication Policy Contracts auf Create New Contract.
4. Fügen Sie die erforderlichen Attribute hinzu (basierend auf den zuvor aufgeführten Attributen, die von PTC gefordert werden, und den von Ihrem IdP geforderten Attributen), und klicken Sie auf Done.
5. Verwenden Sie diesen Richtlinienvertrag, wenn Sie die IdP-Verbindung mit Ihrem Unternehmensverzeichnisdienst einrichten.
 |
Nachdem Sie die IdP-Verbindung erstellt haben, können Sie prüfen, welche Attribute ausgetauscht werden, indem Sie den Abschnitt Contract Fulfillment der Registerkarte Activation & Summary Ihrer IdP-Verbindung konsultieren.
|