Benutzereigenschaften festlegen
Sie müssen die Werte von Eigenschaften in der Datei user.properties entsprechend Ihren Geschäftsanforderungen angeben. Diese Datei befindet sich in <PINGFEDERATE_SCRIPT_HOME>, dem Verzeichnis, in dem Sie die Automatisierungsskripts für die Konfiguration von PingFederate gespeichert haben.
 |
Schließen Sie den Wert jeder Eigenschaft in einfache Anführungszeichen ein.
|
Die Datei user.properties enthält Einstellungen für die folgenden Eigenschaften. Klicken Sie auf die Links, um die verschiedenen Eigenschaften, Beschreibungen und Beispielwerte anzuzeigen.
Globale Benutzereigenschaften – für alle IdP-Konfigurationen anwendbar
PingFederate-Konnektivität
In der folgenden Tabelle werden die Eigenschaften beschrieben, die Sie angeben müssen, um Konnektivität mit PingFederate zu konfigurieren. Außerdem wird ein Beispiel für jede Eigenschaft angegeben.
Eigenschaft | Beschreibung | Beispiel | ||
|---|---|---|---|---|
global_pingFedHost | Gibt den vollständig qualifizierten Domänennamen an, auf dem die Verwaltungskonsole von PingFederate ausgeführt wird. Das Format des Eigenschaftswerts lautet <Server-FQDN>. | global_pingFedHost='pingfed.yourorg.com' | ||
global_pingFedAdminPort | Gibt den Port an, auf dem die PingFederate-Verwaltungskonsole ausgeführt wird. Das Format des Eigenschaftswerts lautet <Server-Port>. | global_pingFedAdminPort='9999' | ||
global_pingFedIdpEntityId | Gibt die eindeutige ID für die SAML 2.0-Entität (Security Assertion Markup Language) an, die PingFederate darstellt. | global_pingFedIdpEntityId='ptc-pingfed' | ||
global_pingFed_admin_certificate | Gibt den Dateinamen der SSL-Zertifikatdatei (Secure Sockets Layer) an, die von Automatisierungsskripts als vertrauenswürdig eingestuft wird, wenn Admin-API-Aufrufe durchgeführt werden. Die Angabe eines Werts für diese Eigenschaft ist optional, wird jedoch empfohlen, da durch Verwendung des Zertifikats die sichere SSL-Kommunikation zwischen PingFederate und Skripts aktiviert wird.
| global_pingFed_admin_certificate='pingfed_admin_ssl.crt' |
SSL-Zertifikate für die Anwendungsschicht (SAML-Verschlüsselung und -Signierung)
In der folgenden Tabelle werden die Eigenschaften beschrieben, die Sie angeben müssen, um SSL-Zertifikate für die Anwendungsschicht (SAML-Verschlüsselung und -Signierung) zu konfigurieren. Außerdem wird ein Beispiel für jede Eigenschaft angegeben. Weitere Informationen finden Sie unter "Manage digital signing certificates and decryption keys" in der PingFederate-Dokumentation.
Eigenschaft | Beschreibung | Beispiel |
|---|---|---|
create_pingfed_signing_cert_organization | Gibt den Namen der Organisation oder Firma an, die das Zertifikat erstellt. | create_pingfed_signing_cert_organization='ptc' |
create_pingfed_signing_cert_organizationUnit | Gibt die spezifische Einheit innerhalb der Organisation an. | create_pingfed_signing_cert_organizationUnit='ent-sso' |
create_pingfed_signing_cert_city | Gibt die Stadt oder einen anderen primären Ort an, an dem das Unternehmen tätig ist. | create_pingfed_signing_cert_city='Blaine' |
create_pingfed_signing_cert_state | Gibt den Staat oder eine andere politische Einheit an, in der sich der Ort befindet. | create_pingfed_signing_cert_state='MN' |
create_pingfed_signing_cert_country | Gibt den Code des Landes an, in dem das Unternehmen seinen Sitz hat. Der Ländercode wird durch einen zweistelligen Buchstabencode dargestellt. | create_pingfed_signing_cert_country='US' |
create_pingfed_signing_cert_validDays | Gibt den Zeitraum an, in dem das Zertifikat gültig ist. | create_pingfed_signing_cert_validDays='36500' |
Dienstanbieterverbindung
In der folgenden Tabelle werden die Eigenschaften beschrieben, die Sie angeben müssen, um Konnektivität mit dem Dienstanbieter zu konfigurieren. Außerdem wird ein Beispiel für jede Eigenschaft angegeben. Weitere Informationen finden Sie unter "Manage SP connections" in der PingFederate-Dokumentation.
Eigenschaft | Beschreibung | Beispiel |
|---|---|---|
create_sp_connection_baseUrl | Gibt die Basis-URL an, die den Server für Ihren Dienstanbieter hostet. Das Format des Eigenschaftswerts lautet: https://<Server-FQDN>:<Server-Port>. | create_sp_connection_baseUrl='https://thingworx.yourorg.com:8443' Hierbei kann <Dienstanbieter> ThingWorx, Windchill RV&S oder Windchill sein. |
create_sp_connection_input_sign_verif_cert | Gibt den Dateinamen des Zertifikats an, das zum Überprüfen der digitalen Signatur für das eingehende SAML-Token verwendet wird. | create_sp_connection_input_sign_verif_cert='twx_sp_signing.crt' Hierbei kann <für SP spezifischer Name> twx, ilm oder wnc sein. |
create_sp_connection_entityId | Gibt die eindeutige Identität für Ihren Dienstanbieter an. Der Eigenschaftswert für Ihren Dienstanbieter sollte https://<Server-FQDN>:<Server-Port>/saml/metadata lauten. | Dieses Beispiel ist spezifisch für Windchill RV&S. create_sp_connection_entityId='https://integrity.yourorg.com:8443/saml/metadata' |
OAuth-Client-Verbindungen mit ThingWorx als Dienstanbieter
In der folgenden Tabelle werden die Eigenschaften beschrieben, die Sie angeben müssen, um OAuth-Client-Verbindungen mit ThingWorx als Dienstanbieter zu konfigurieren, Außerdem wird ein Beispiel für jede Eigenschaft angegeben. Weitere Informationen finden Sie unter "Configure an OAuth Client" in der PingFederate-Dokumentation.
Eigenschaft | Beschreibung | Beispiel |
|---|---|---|
create_twx_sp_oauth_client_description | Gibt die Beschreibung der Client-Anwendung an. Diese Beschreibung wird angezeigt, wenn der Benutzer zur Autorisierung aufgefordert wird. | create_twx_sp_oauth_client_description='Thingworx service provider OAuth client.' |
create_twx_sp_oauth_client_auth_secret_value | Gibt das OAuth-Client-Verschlüsselungswort an. | create_twx_sp_oauth_client_auth_secret_value='twx-sp-client_1234' |
create_twx_sp_oauth_client_redirectURI | Gibt den URI an, zu dem der OAuth-Autorisierungsserver den Benutzer-Agent des Ressourcenbesitzers nach dem Abrufen der Autorisierung umleiten kann. Das Format des Eigenschaftswerts lautet: https://<Server-FQDN>:<Server-Port>/Thingworx/oauth2_ authorization_ code_redirect. | create_twx_sp_oauth_client_redirectURI='https://thingworx.yourorg.com:8443/ Thingworx/oauth2_ authorization_ code_redirect' |
OAuth-Client-Verbindungen mit Windchill als Ressourcenserver
In der folgenden Tabelle werden die Eigenschaften beschrieben, die Sie angeben müssen, um OAuth-Client-Verbindungen mit Windchill als Ressourcenserver zu konfigurieren. Außerdem wird ein Beispiel für jede Eigenschaft angegeben. Weitere Informationen finden Sie unter "Configure an OAuth Client" in der PingFederate-Dokumentation.
Eigenschaft | Beschreibung | Beispiel |
|---|---|---|
create_wnc_oauth_client_description | Gibt die Beschreibung der Client-Anwendung an. Diese Beschreibung wird angezeigt, wenn ein Benutzer zur Autorisierung aufgefordert wird. | create_wnc_rp_oauth_client_description='Windchill resource server OAuth client.' |
create_wnc_oauth_client_auth_secret_value | Gibt das OAuth-Client-Verschlüsselungswort an. | create_wnc_rp_oauth_client_auth_secret_value='wnc-rp-client_1234' |
OAuth-Client-Verbindungen mit Windchill RV&S als Ressourcenserver
In der folgenden Tabelle werden die Eigenschaften beschrieben, die Sie angeben müssen, um OAuth-Client-Verbindungen mit Windchill RV&S als Ressourcenserver zu konfigurieren. Außerdem wird ein Beispiel für jede Eigenschaft angegeben. Weitere Informationen finden Sie unter "Configure an OAuth Client" in der PingFederate-Dokumentation.
Eigenschaft | Beschreibung | Beispiel |
|---|---|---|
create_ilm_oauth_client_description | Gibt die Beschreibung der Client-Anwendung an. Diese Beschreibung wird angezeigt, wenn der Benutzer zur Autorisierung aufgefordert wird. | create_ilm_rp_oauth_client_description='IntegrityLifecycle Manager resource server OAuth client.' |
create_ilm_oauth_client_auth_secret_value | Gibt das OAuth-Client-Verschlüsselungswort an. | create_ilm_rp_oauth_client_auth_secret_value='olm-rp-client_1234' |
Bereichsverwaltung
In der folgenden Tabelle werden die Eigenschaften beschrieben, die Sie angeben müssen, um Bereiche in PingFederate zu registrieren. Außerdem wird ein Beispiel für jede Eigenschaft angegeben. Weitere Informationen finden Sie unter "Bereiche" in der PingFederate-Dokumentation.
Eigenschaft | Beschreibung | Beispiel |
|---|---|---|
create_oauth_default_scope_description | Gibt die Beschreibung der Berechtigungen an, die vorausgesetzt werden, wenn keine Bereichswerte angegeben sind oder die zusätzlich zu vorhandenen Werten verwendet werden. Diese Beschreibung wird angezeigt, wenn der Benutzer zur Autorisierung aufgefordert wird. | create_oauth_default_scope_description='Default Scope' |
create_oauth_twx_scope | Gibt die Bereiche für ThingWorx als Dienstanbieter an. | create_oauth_twx_scope='THINGWORX' |
create_oauth_twx_read_scope_description | Gibt die Beschreibung des Bereichswerts für ThingWorx an. Diese Beschreibung wird angezeigt, wenn der Benutzer zur Autorisierung aufgefordert wird. | create_oauth_twx_scope_description='Thingworx Scope' |
create_oauth_wnc_read_scope | Gibt die Bereiche für Windchill als Ressourcenserver an. | create_oauth_wnc_read_scope='WINDCHILL' |
create_oauth_wnc_read_scope_description | Gibt die Beschreibung des Bereichswerts für Windchill an. Diese Beschreibung wird angezeigt, wenn der Benutzer zur Autorisierung aufgefordert wird. | create_oauth_wnc_scope_description='Windchill Scope' |
create_oauth_ilm_scope | Gibt die Bereiche für Windchill RV&S als Dienstanbieter an. | create_oauth_ilm_ scope='INTEGRITY_ READ' |
create_oauth_ilm_ read_scope_ description | Gibt die Beschreibung des Bereichswerts für Windchill RV&S an. Diese Beschreibung wird angezeigt, wenn der Benutzer zur Autorisierung aufgefordert wird. | create_oauth_ilm_ scope_ description= 'Integrity LM Scope' |
Für PingFederate spezifische Benutzereigenschaften – anwendbar, wenn Sie PingFederate als IdP konfigurieren
Datenspeicher
Sie müssen nur dann einen Datenspeicher konfigurieren, wenn Sie PingFederate als IdP auswählen.
In der folgenden Tabelle werden die Eigenschaften beschrieben, die Sie angeben müssen, um einen LDAP-Verzeichnisserver (Lightweight Directory Access Protocol) als Datenspeicher zu konfigurieren. Außerdem wird ein Beispiel für jede Eigenschaft angegeben. Dieser Datenspeicher wird mit dem Validierer für LDAP-Passwort-Anmeldeinformationen verwendet, um Benutzeranmeldeinformationen von PingFederate für die Authentifizierung von Benutzern zu validieren. Weitere Informationen finden Sie unter "Manage data stores" in der PingFederate-Dokumentation.
Eigenschaft | Beschreibung | Beispiel |
|---|---|---|
create_ldap_datastore_hostname | Gibt den DNS-Namen (Domain Name System) oder die IP-Adresse (Internet-Protokoll) des Datenspeichers an; kann eine Portnummer enthalten. Das Format des Eigenschaftswerts lautet: <LDAP-FQDN>:<LDAP-Port>. | create_ldap_datastore_hostname='windchillDS.ptc.com:389' ODER create_ldap_ datastore_ hostname= 'integrityLDAP.ptc.com:389' |
create_ldap_datastore_userDN | Gibt den Benutzernamen an, der zum Zugreifen auf den Datenspeicher erforderlich ist. | create_ldap_datastore_userDN='cn=Manager' |
create_ldap_datastore_password | Gibt das Passwort an, das zum Zugreifen auf den Datenspeicher erforderlich ist. | create_ldap_datastore_password='password' |
Validierer für LDAP-Passwort-Anmeldeinformationen
Sie müssen nur dann einen Validierer für LDAP-Passwort-Anmeldeinformationen konfigurieren, wenn Sie PingFederate als IdP auswählen.
In der folgenden Tabelle werden die Eigenschaften beschrieben, die Sie angeben müssen, um den Validierer für LDAP-Passwort-Anmeldeinformationen zu konfigurieren. Außerdem wird ein Beispiel für jede Eigenschaft angegeben. Weitere Informationen finden Sie unter "Manage password credential validators" in der PingFederate-Dokumentation.
Eigenschaft | Beschreibung | Beispiel |
|---|---|---|
create_ldap_pcv_searchBase | Gibt den Speicherort auf dem LDAP-Verzeichnisserver an, in dem die Suche beginnt. | create_ldap_pcv_searchBase='cn=Windchill_11.0,o=ptc' ODER create_ldap_pcv_searchBase='cn=IntegrityOU,o=ptc' |
create_ldap_pcv_searchFilter | Gibt die LDAP-Abfrage zum Suchen nach einem Benutzerdatensatz an. | create_ldap_pcv_searchFilter='uid=$<Benutzername>' |
create_ldap_pcv_scopeOfSearch | Gibt die Suchebene an, die in der Suchbasis ausgeführt werden soll. | create_ldap_pcv_scopeOfSearch='Subtree' |
IdP-Adapter
Sie müssen nur dann einen IdP-Adapter konfigurieren, wenn Sie PingFederate als IdP auswählen.
In der folgenden Tabelle werden die Eigenschaften beschrieben, die Sie angeben müssen, um einen IdP-Adapter für PingFederate zu konfigurieren. Außerdem wird ein Beispiel für jede Eigenschaft angegeben. Weitere Informationen finden Sie unter "Manage IdP adapters" in der PingFederate-Dokumentation.
Eigenschaft | Beschreibung | Beispiel |
|---|---|---|
create_idp_adapter_attributeSource_id | Gibt die eindeutige ID der Attributquelle, einen bestimmten Datenspeicher oder Verzeichnisspeicherorte an, die Informationen enthalten, die möglicherweise für den IdP-Adapter-Vertrag oder den Token-Autorisierungs-Workflow erforderlich sind. | create_idp_adapter_attributeSource_id='uid' |
create_idp_adapter_attributeSource_description | Gibt die Beschreibung der Attributquelle an. | create_idp_adapter_attributeSource_description='uid' |
create_idp_adapter_attributeSource_baseDn | Gibt den Basis-Domänennamen der Attributquelle an. | create_idp_adapter_attributeSource_baseDn='cn=Windchill_11.0,o=ptc' Hierbei kann <Name> Windchill, IntegrityOU usw. sein. |
create_idp_adapter_attributeSource_SearchScope | Gibt den Umfang der Suche an. Die gültigen Werte sind Subtree, One level und Base. | create_idp_adapter_attributeSource_SearchScope='SUBTREE' |
create_idp_adapter_attributeSource_SearchFilter | Gibt den Suchfilter an, der für die Suche verwendet werden soll. | create_idp_adapter_attributeSource_SearchFilter='uid=$<Benutzername>' |
Für ADFS spezifische Benutzereigenschaften – anwendbar, wenn Sie ADFS als IDP konfigurieren
IdP-Verbindungen für ADFS
In der folgenden Tabelle werden die Eigenschaften beschrieben, die Sie angeben müssen, um IdP-Verbindungen für ADFS zu konfigurieren. Außerdem wird ein Beispiel für jede Eigenschaft angegeben.
Eigenschaft | Beschreibung | Beispiel |
|---|---|---|
create_idp_adfs_connection_entityId | Gibt die Entitäts-ID an, die zum Konfigurieren von ADFS als Identitätsanbieter erforderlich ist. | create_idp_adfs_connection_entityId=‘http://adfs.org.io/adfs/services/trust’ |
create_idp_adfs_connection_baseUrl | Gibt die Basis-URL an, die den Server für Ihren Identitätsanbieter hostet. Das Format des Eigenschaftswerts lautet: https://<Server-FQDN>:<Server-Port> | create_idp_adfs_connection_baseUrl =‘https://adfs.org.io’ (Die Angabe eines Standard-Ports ist nicht erforderlich.) |
create_idp_adfs_connection_input_sign_verif_cert | Gibt den Dateinamen des Zertifikats an, das zum Verifizieren der digitalen Signatur für das eingehende SAML-Token verwendet wird. | create_idp_adfs_connection_input_sign_verif_cert =’adfs_idp_signing.crt’ |
Für Generic SAML spezifische Benutzereigenschaften – anwendbar, wenn Sie einen allgemeinen SAML 2.0-IdP konfigurieren
IdP-Verbindungen für Generic SAML 2.0
In der folgenden Tabelle werden die Eigenschaften beschrieben, die Sie angeben müssen, um IdP-Verbindungen für einen Generic SAML 2.0-IdP zu konfigurieren. Außerdem wird ein Beispiel für jede Eigenschaft angegeben.
Eigenschaft | Beschreibung | Beispiel |
|---|---|---|
create_idp_saml2_connection_entityId | Gibt die Entitäts-ID an, die zum Konfigurieren des Identitätsanbieters erforderlich ist. | create_idp_saml2_connection_entityId= 'http://www.okta.com/exk15nb0a9fkh36Aq2p7' |
create_idp_saml2_connection_baseUrl | Gibt die Basis-URL an, die den Server für Ihren Identitätsanbieter hostet. Das Format des Eigenschaftswerts lautet: https://<Server-FQDN>:<Server-Port> | create_idp_saml2_connection_baseUrl='https://org.okta.com' (Die Angabe eines Standard-Ports ist nicht erforderlich.) |
create_idp_saml2_connection_input_sign_ verif_cert | Gibt den Dateinamen des Zertifikats an, das zum Verifizieren der digitalen Signatur für das eingehende SAML-Token verwendet wird. | create_idp_saml2_connection_input_sign_verif_cert= 'saml2_idp_signing.crt' |
create_idp_saml2_connection_assertion_ consumer_service_url | Gibt die URL für die Hypertext Transfer Protocol-Ressource (HTTP-Ressource) an, die SAML-Protokollmeldungen verarbeitet. Diese URL gibt ein Cookie zurück, das die Informationen darstellt, die aus der Meldung extrahiert werden. | create_idp_saml2_connection_assertion_consumer_service_url= '/app/org399352_pingfed_1/exk15nb0a9fkh36Aq2p7/sso/saml' |
create_idp_saml2_attr_uid | Gibt den Namen des Attributvertrags an, ein erweitertes Attribut in der SAML-Bestätigung, das vom IdP an den Dienstanbieter gesendet wird, wobei der Dienstanbieter ThingWorx, Windchill oder PingFederate sein kann. | create_idp_saml2_attr_uid='uid' |
create_idp_saml2_attr_group | Gibt die Gruppe des Attributvertrags an, ein erweitertes Attribut in der SAML-Bestätigung, das vom IdP an den Dienstanbieter gesendet wird, wobei der Dienstanbieter ThingWorx, Windchill oder PingFederate sein kann. Wenn kein Gruppenattribut vom IdP verfügbar ist oder Sie es nicht zuordnen möchten, können Sie diese Eigenschaft aus der Datei user.properties entfernen. | create_idp_saml2_attr_group='group' |
create_idp_saml2_attr_email | Gibt die E-Mail-Adresse des Attributvertrags an, ein erweitertes Attribut in der SAML-Bestätigung, das vom IdP an den Dienstanbieter gesendet wird, wobei der Dienstanbieter ThingWorx, Windchill oder PingFederate sein kann. Wenn kein E-Mail-Attribut vom IdP verfügbar ist oder Sie es nicht zuordnen möchten, können Sie diese Eigenschaft aus der Datei user.properties entfernen. | create_idp_saml2_attr_email='emailaddress' |