OAuth-Clients für PTC Produkte erstellen
Sie erstellen OAuth-Clients in PingFederate, die als Endpunkte fungieren, mit denen PTC Produkte eine Verbindung herstellen, wenn sie Zugriffs-Token abrufen oder verifizieren. Es wird empfohlen, einen separaten OAuth-Client für jede Rolle zu erstellen, die die einzelnen Produkte erfüllen.
Voraussetzung – Zugriffs-Token-Verwaltungsinstanz erstellen
Zugriffs-Token-Verwaltungsinstanzen ermöglichen es Ihnen, Zugriffs-Token-Richtlinien und Attributverträge für verschiedene OAuth-Clients zu konfigurieren. Die Zugriffs-Token-Verwaltungsinstanz, die Sie im folgenden Verfahren erstellen, wird für die OAuth-Clients verwendet, die Sie für PTC Produkte erstellen. Weitere Informationen zu Zugriffs-Token-Verwaltungsinstanzen und ihrer Konfiguration finden Sie unter "Access token management" in der PingFederate-Dokumentation.
Die folgenden Einstellungen werden empfohlen, wenn Sie eine Zugriffs-Token-Verwaltungsinstanz für Internally Managed Reference Tokens für PTC Produkte erstellen.
 |
Das JWT-Token mit delegiertem OAuth funktioniert nur mit PingFederate 11.x.x. Die Verschlüsselung des JWT-Tokens wird in Windchill nicht unterstützt.
|
1. Klicken Sie im Hauptnavigatormenü von PingFederate auf > > .
2. Auf der Registerkarte Type:
a. Geben Sie einen Instanznamen und eine ID an.
b. Wählen Sie im Feld Type die Option Internally Managed Reference Tokens aus.
c. Wählen Sie im Feld Parent Instance die Option None aus.
3. Klicken Sie auf Next, um die Standardeinstellungen auf der Registerkarte Instance Configuration zu übernehmen.
4. Fügen Sie auf der Registerkarte Access Token Attribute Contract den Benutzernamen hinzu.
5. Klicken Sie auf den Registerkarten Resource URIs und Access Control auf Next, um die Standardeinstellungen zu übernehmen.
Die folgenden Einstellungen werden empfohlen, wenn Sie eine Zugriffs-Token-Verwaltungsinstanz für JSON WEB TOKENS für PTC Produkte erstellen:
1. Klicken Sie im Hauptnavigatormenü von PingFederate auf > > .
2. Auf der Registerkarte Type:
a. Geben Sie einen Instanznamen und eine ID an.
b. Wählen Sie im Feld Type die Option JSON WEB TOKENS aus.
c. Wählen Sie auf der Registerkarte Instance Configuration entweder Symmetric keys oder Certificate zum Signieren des JWT-Tokens aus.
▪ Konfigurationen für symmetrische Schlüssel:
1. Klicken Sie auf der Registerkarte Instance Configuration auf Add a new row to "Symmetric Keys". Geben Sie Details für Key ID, Key und Encoding an. Für "Encoding" wird nur Base64[url] unterstützt. Klicken Sie auf Aktualisieren.
2. Wählen Sie JWS ALGORITHM aus. Legen Sie den Wert auf HMAC using SHA-XXX fest.
3. Wählen Sie die ACTIVE SYMMETRIC KEY ID aus, die Sie im vorherigen Schritt angegeben haben.
4. Klicken Sie auf Show Advanced Fields.
5. Geben Sie Werte für ISSUER CLAIM VALUE und AUDIENCE CLAIM VALUE an. Für TYPE HEADER VALUE sollte der Wert JWT festgelegt werden.
▪ Konfigurationen für Zertifikate:
1. Klicken Sie auf der Registerkarte Instance Configuration auf Add a new row to "Certificates". Geben Sie Details für Key ID und Certificate an. Klicken Sie auf Aktualisieren.
2. Wählen Sie JWS ALGORITHM aus. Legen Sie den Wert auf RSA using SHA-XXX fest.
3. Wählen Sie die ACTIVE SIGNING CERTIFICATE KEY ID aus, die Sie im vorherigen Schritt angegeben haben.
4. Klicken Sie auf Show Advanced Fields.
5. Geben Sie Werte für ISSUER CLAIM VALUE und AUDIENCE CLAIM VALUE an. Für TYPE HEADER VALUE sollte der Wert JWT festgelegt werden.
6. Geben Sie den Wert für das optionale Feld JWKS ENDPOINT PATH an. Wenn dieser Wert hier nicht angegeben wird, müssen Sie das Signaturzertifikat beim Setup der delegierten OAuth bereitstellen.
Voraussetzung – Zugriffs-Token-Zuordnung konfigurieren
Eine Zugriffs-Token-Zuordnung ist erforderlich, um die Attribute zu identifizieren, die zusammen mit Zugriffs-Token bereitgestellt werden. Um diese Zuordnung für PTC Produkte zu konfigurieren, muss das Attribut Benutzername USER_KEY zugeordnet werden. Weitere Informationen zur Zugriffs-Token-Zuordnung finden Sie unter "Manage access token mappings" in der PingFederate-Dokumentation.
Die folgenden Einstellungen werden empfohlen, wenn Sie eine Zugriffs-Token-Zuordnung für PTC Produkte konfigurieren:
1. Wählen Sie im Hauptnavigatormenü von PingFederate die Option > aus.
2. Auf der Seite Access Token Attribute Mapping:
a. Wählen Sie für Context die Option "Default" aus.
b. Wählen Sie für Access Token Manager die Zugriffs-Token-Verwaltungsinstanz aus, die Sie im vorherigen Verfahren erstellt haben.
c. Klicken Sie auf Add Mapping.
3. Klicken Sie auf der Registerkarte Attribute Sources & User Lookup auf Next, um die Standardeinstellungen zu übernehmen.
4. Wählen Sie auf der Registerkarte Contract Fulfillment für den Vertragseintrag Benutzernamen "Persistent Grant" in der Spalte Source und USER_KEY in der Spalte Value aus.
5. Klicken Sie auf der Registerkarte Issuance Criteria auf Next, um die Standardeinstellungen zu übernehmen.
6. Klicken Sie auf Done und dann auf Save.
Sie können mit dem Erstellen eines OAuth-Client für das PTC Produkt in Ihrem SSO-Framework fortfahren.