Beispiel: Windchill SSO-Implementierung mit PingFederate als Broker
Dieses Beispiel enthält detaillierte Schritte zum Konfigurieren einer Umgebung, in der Windchill PDMLink und Shibboleth SP für Single Sign-On konfiguriert sind mit PingFederate als zentralem Authentifizierungsserver (CAS) und Active Directory Federation Services (AD FS) als Identitätsanbieter (IdP).
In der folgenden Tabelle sind die konfigurierten Anwendungen und ihre jeweilige Rolle in diesem Beispiel aufgeführt:
|
Rolle
|
Anwendung
|
|---|---|
|
Dienstanbieter
|
Windchill PDMLink und Shibboleth SP
|
|
Zentraler Authentifizierungsserver
|
PingFederate
|
|
Identitätsanbieter
|
AD FS
|
|
Ressourcenserver
|
Windchill
|
In dem folgenden Diagramm ist die Konfiguration dargestellt, die in diesem Beispiel erläutert wird.
Teil A: Voraussetzungen
1. Stellen Sie sicher, dass Windchill eingerichtet ist. Weitere Informationen finden Sie im entsprechenden Windchill Hilfe-Center.
2. Richten Sie AD FS ein und konfigurieren Sie es, und stellen Sie sicher, dass die folgenden Attributwerte und Dateien eingeschlossen sind:
◦ uid
◦ email
◦ group
◦ Metadaten-Datei
Teil B: Authentifizierung für AD FS manuell konfigurieren
Schritt 1: Globales PingFederate-SSL-Zertifikat erstellen
1. Melden Sie sich bei PingFederate als Administrator an. Suchen Sie nach SSL Server Certificates, und öffnen Sie die Suchergebnisse.
2. Klicken Sie auf Create New, um das globale SSL-Zertifikat zu erstellen, und gehen Sie wie folgt vor:
1. Geben Sie im Feld Common Name den FQDN des PingFederate-Rechners an.
2. Machen Sie weitere Angaben auf der Seite, und klicken Sie auf Next.
3. Stellen Sie sicher, dass die folgenden Kontrollkästchen aktiviert sind, und klicken Sie auf Save.
4. Klicken Sie auf SSL Server Certificates.
5. Wählen Sie für das SSL-Zertifikat, das Sie erstellt haben, in der Liste Select Action die Option Activate Default for Runtime Server aus, und wählen Sie dann Activate Default for Admin Console aus. Klicken Sie auf Save.
Dieses SSL-Zertifikat ist für die Verwaltungskonsole und den Laufzeitserver als default gekennzeichnet.
3. Gehen Sie für das Zertifikat localhost wie folgt vor:
1. Wählen Sie in der Liste Select Action die Option Deactivate for Runtime Server aus, und wählen Sie dann Deactivate for Admin Console aus.
2. Löschen Sie das Zertifikat localhost, und klicken Sie auf Save.
Schritt 2: Dienstanbietervertrag erstellen
1. Suchen Sie in PingFederate nach Policy Contract, und öffnen Sie die Suchergebnisse.
2. Klicken Sie auf Create New Contracts, und gehen Sie wie folgt vor:
1. Geben Sie im Feld Contract Info einen Vertragsnamen ein, z.B. SPContract, und klicken Sie auf Next.
2. Klicken Sie unter Contract Attributes für jedes Attribut auf Add, um den Vertrag für die folgenden Attribute zu verlängern:
▪ uid
▪ email
▪ group
Standardmäßig ist das Attribut subject vorhanden.
3. Klicken Sie auf Next, und klicken Sie auf der Seite Summary auf Save.
4. Klicken Sie auf der Seite Authentication Policy Contracts auf Save.
Weitere Informationen finden Sie unter PingFederate zum Umleiten von Benutzeranmeldeanfragen an Ihren IdP konfigurieren.
Schritt 3: AD FS-Datei "FederationMetadata.xml" herunterladen
1. Geben Sie im Browser Ihres AD FS-Rechners die folgende URL ein, um die Datei "FederationMetadata.xml" herunterzuladen:
https://ADSF_Host.ADFS_Domäne/FederationMetadata/2007-06/FederationMetadata.xml
2. Kopieren Sie die heruntergeladene Datei auf den PingFederate-Rechner.
Schritt 4: PingFederate-IdP-Verbindung erstellen
A) Allgemeine Informationen zum Erstellen einer IdP-Verbindung angeben
1. Suchen Sie in PingFederate nach IdP Connections, und öffnen Sie die Suchergebnisse. Klicken Sie auf Create Connection.
2. Aktivieren Sie auf der Registerkarte Connection Type das Kontrollkästchen BROWSER SSO Profiles, und klicken Sie auf Next.
3. Aktivieren Sie auf der Registerkarte Connection Options das Kontrollkästchen BROWSER SSO und das Kontrollkästchen OAUTH ATTRIBUTE MAPPING, und klicken Sie auf Next.
4. Wählen Sie auf der Registerkarte Import Metadata die Option File aus, und klicken Sie auf Choose File, um zur Datei FederationMetadata.xml zu navigieren, und klicken Sie auf Next.
5. Klicken Sie auf der Registerkarte Metadata Summary auf Next.
6. Die Registerkarte General Info wird mit Daten gefüllt. Sie können bei Bedarf den Namen unter CONNECTION NAME ändern. Überprüfen Sie die restlichen Informationen, und klicken Sie auf Next.
7. Klicken Sie auf der Registerkarte Browser SSO auf Configure Browser SSO. Die Seite Browser SSO wird geöffnet, auf der Sie die Einstellungen für das Single Sign-On für Ihren Browser angeben müssen.
B) Browser-SSO-Einstellungen konfigurieren
1. Wählen Sie auf der Registerkarte SAML Profiles auf der Seite Browser SSO die folgenden Optionen aus, und klicken Sie auf Next:
▪ IDP-INITIATED SSO
▪ SP-INITIATED SSO
2. Klicken Sie auf der Registerkarte User-Session Creation auf Configure User-Session Creation. Die Seite User-Session Creation wird geöffnet, auf der Sie die Einstellungen für die Konfiguration der Benutzererstellung angeben müssen.
C) Einstellungen für die Erstellung von Benutzersitzungen konfigurieren
1. Übernehmen Sie auf der Registerkarte Identity Mapping die Standardeinstellungen, und klicken Sie auf Next.
2. Überprüfen Sie auf der Registerkarte Attribute Contract die automatisch ausgefüllten Attribute, und klicken Sie auf Next.
3. Klicken Sie auf der Registerkarte Target Session Mapping auf Map New Authentication Policy. Die Seite Authentication Policy Mapping wird geöffnet, auf der Sie die Einstellungen für die Authentifizierungsrichtlinienzuordnung angeben müssen.
D) Einstellungen der Authentifizierungsrichtlinienzuordnung konfigurieren
1. Wählen Sie in der Liste Authentication Policy Contract den Vertrag aus, den Sie in Teil B – Schritt 2 erstellt haben, d.h. SPContract. Überprüfen Sie, ob alle Attribute angezeigt werden, und klicken Sie auf Next.
2. Übernehmen Sie auf der Registerkarte Attribute Retrieval die Standardeinstellungen, und klicken Sie auf Next.
3. Wählen Sie auf der Registerkarte Contract Fulfillment die folgenden Werte für die Authentifizierungsrichtlinienverträge email, group, subject und uid aus:
▪ Wählen Sie in der Liste Source die Option Assertion aus.
▪ Wählen Sie in der Liste Value den entsprechenden Eintrag aus der Liste aus.
Klicken Sie auf Next.
4. Klicken Sie auf der Registerkarte Issuance Criteria auf Next.
5. Überprüfen Sie die Informationen auf der Registerkarte Summary. Wenn die Informationen korrekt sind, klicken Sie auf Done. Die Seite User-Session Creation wird geöffnet, auf der Sie die Konfigurationseinstellungen für die Erstellung von Benutzersitzungen überprüfen müssen.
E) Konfigurationseinstellungen für die Erstellung von Benutzersitzungen überprüfen
1. Auf der Registerkarte Target Session Mapping auf der Seite User-Session Creation werden die Informationen angezeigt, die Sie beim Zuordnen einer neuen Authentifizierungsrichtlinie ausgewählt haben. Klicken Sie auf Next.
2. Überprüfen Sie die Informationen auf der Registerkarte Summary. Wenn die Informationen korrekt sind, klicken Sie auf Done. Die Seite Browser SSO wird geöffnet.
3. Auf der Registerkarte User-Session Creation auf der Seite Browser SSO werden die Informationen angezeigt, die Sie beim Konfigurieren der Erstellung von Benutzersitzungen eingegeben haben. Klicken Sie auf Next.
4. Wählen Sie auf der Registerkarte OAuth Attribute Mapping die Option Map Directly Into Persistent Grant aus, wählen Sie Configure OAuth Attribute Mapping aus, und gehen Sie dann wie folgt vor:
1. Klicken Sie auf der Registerkarte Data Store auf Next.
2. Wählen Sie auf der Registerkarte Contract Fulfilment für USER_KEY und USER_NAME die Option Source als Assertion und Value als name attribute from ADFS aus, und klicken Sie auf Next.
3. Klicken Sie auf der Registerkarte Issuance Criteria auf Next.
5. Überprüfen Sie die Informationen auf der Registerkarte Summary. Wenn die Informationen korrekt sind, klicken Sie auf Done. Klicken Sie auf der Seite OAuth Attribute Mapping Configuration auf Next.
6. Klicken Sie auf der Registerkarte Protocol Settings auf Configure Protocol Settings. Die Seite Protocol Settings wird geöffnet, auf der Sie die Protokolleinstellungen angeben müssen.
F) Protokolleinstellungen konfigurieren und prüfen
1. Klicken Sie auf der Registerkarte SSO Service URLs auf Next.
2. Führen Sie auf der Registerkarte Allowable SAML Bindings die folgenden Schritte aus, und klicken Sie auf Next:
1. Aktivieren Sie die folgenden Kontrollkästchen:
▪ POST
▪ REDIRECT
2. Deaktivieren Sie die folgenden Kontrollkästchen:
▪ ARTIFACT
▪ POST
3. Überspringen Sie die Einstellungen auf der Registerkarte Overrides, und klicken Sie auf Next.
4. Klicken Sie auf der Registerkarte Signature Policy auf SPECIFY ADDITIONAL SIGNATURE REQUIREMENTS, aktivieren Sie die beiden Kontrollkästchen darunter, und klicken Sie auf Next.
5. Klicken Sie auf der Registerkarte Encryption Policy auf ALLOW ENCRYPTED SAML ASSERTIONS AND SLO MESSAGES, aktivieren Sie das Kontrollkästchen THE ENTIRE ASSERTION, und klicken Sie auf Next.
6. Überprüfen Sie die Informationen auf der Registerkarte Summary. Wenn die Informationen korrekt sind, klicken Sie auf Done. Die Seite Browser SSO wird geöffnet.
7. Auf der Registerkarte Protocol Settings auf der Seite Browser SSO werden die Informationen angezeigt, die Sie beim Konfigurieren der Protokolleinstellungen ausgewählt haben. Klicken Sie auf Next.
8. Überprüfen Sie die Informationen auf der Registerkarte Summary. Wenn die Informationen korrekt sind, klicken Sie auf Done. Die Seite IdP Connection wird geöffnet.
9. Klicken Sie auf der Registerkarte Browser SSO der Seite IdP Connection auf Next.
10. Klicken Sie auf der Registerkarte Credentials auf Configure Credentials. Die Seite Credentials wird geöffnet, auf der Sie die Einstellungen für die Konfiguration der Anmeldeinformationen angeben müssen.
G) Anmeldeinformationen konfigurieren
1. Klicken Sie auf der Registerkarte Digital Signature Settings auf Manage Certificates.
2. Um ein Signaturzertifikat zu erstellen, klicken Sie auf Create New, geben Sie die folgenden Werte ein, und klicken Sie auf Next:
▪ COMMON NAME
▪ ORGANIZATION
▪ COUNTRY
▪ VALIDITY (DAYS) – 365
▪ KEY ALGORITHM – RSA
▪ KEY SIZE (BITS) – 2048
▪ SIGNATURE ALGORITHM – RSA SHA256
3. Überprüfen Sie die Informationen auf der Registerkarte Summary. Wenn die Informationen korrekt sind, klicken Sie auf Save und dann auf Done.
4. Aktivieren Sie auf der Registerkarte Digital Signature Settings für das SIGNING CERTIFICATE, das Sie erstellt haben, das Kontrollkästchen INCLUDE THE CERTIFICATE IN THE SIGNATURE <KEYINFO> ELEMENT, und klicken Sie auf Next.
Dies ist das Zertifikat auf Anwendungsebene, das für die digitale Signierung der Anforderung von PingFederate an den IdP verwendet wird.
5. Klicken Sie auf der Registerkarte Signature Verification Settings auf Manage Signature Verification Settings.
a. Wählen Sie auf der Registerkarte Trust Model die Option UNANCHORED aus, und klicken Sie auf Next.
b. Überprüfen Sie auf der Registerkarte Signature Verification Certificate, ob das IdP-Signaturzertifikat angezeigt wird, und klicken Sie auf Next.
Dies ist das Zertifikat auf Anwendungsebene, das für die Signaturüberprüfung für Anforderungen vom IdP an PingFederate verwendet wird. Es wurde automatisch in PingFederate importiert, als Sie die Datei metadata.xml aus dem IdP importiert haben.
c. Überprüfen Sie die Informationen auf der Registerkarte Summary. Wenn die Informationen korrekt sind, klicken Sie auf Done.
d. Klicken Sie auf der Registerkarte Signature Verification Settings auf Next.
e. Wählen Sie auf der Seite Select Decryption Keys das Zertifikat PingFederate aus, und klicken Sie auf Next.
f. Überprüfen Sie die Informationen auf der Registerkarte Summary. Wenn die Informationen korrekt sind, klicken Sie auf Done.
g. Klicken Sie auf der Seite Credentials auf Next.
H) IdP-Verbindung aktivieren
Stellen Sie auf der Seite Activation & Summary sicher, dass SSO Application Endpoint aktiviert ist, und klicken Sie auf Save.
Die IdP-Verbindung wird jetzt erstellt und aktiviert.
I) IdP-Verbindung verifizieren
Klicken Sie auf die von Ihnen erstellte IdP-Verbindung, kopieren Sie die URL für SSO Application Endpoint, fügen Sie sie in einen Browser ein, und überprüfen Sie, ob zum IdP umgeleitet wird. Daher muss diese URL von PingFederate an AD FS umgeleitet werden. Es wird eine Seite angezeigt, die der folgenden ähnelt und eine Fehlermeldung enthält.
Teil C: Vertrauende Seite für AD FS konfigurieren
Schritt 1: Metadaten-XML-Datei aus PingFederate exportieren
1. Gehen Sie in PingFederate zu Service Provider, und klicken Sie unter IDP Connections auf Manage All.
2. Klicken Sie für Ihre IdP-Verbindung in der Liste Select Action auf Export Metadata.
3. Klicken Sie auf der Seite Metadata Signing auf Next.
4. Klicken Sie auf der Seite Export & Summary auf Export, um die Metadatendatei in den Ordner Downloads auf Ihrem Rechner herunterzuladen, und klicken Sie auf Done.
5. Kopieren Sie die Metadaten-XML-Datei auf den AD FS-Rechner.
Schritt 2: Vertrauende Seite in AD FS hinzufügen
1. Melden Sie sich beim AD FS-Server an, und öffnen Sie Server Manager.
2. Gehen Sie zu > .
3. Klicken Sie unter AD FS mit der rechten Maustaste auf Relying Party Trusts, und wählen Sie dann Add Relying Party Trust aus. Damit soll sichergestellt werden, dass AD FS darauf vertraut, dass die Verbindung von PingFederate stammt.
4. Gehen Sie im Fenster Add Relying Party Trust Wizard wie folgt vor:
1. Klicken Sie auf Start.
2. Klicken Sie auf dem nächsten Bildschirm auf Import data about the relying party from a file.
3. Klicken Sie auf Browse, um zum Speicherort der Datei Metadata.xml zu navigieren, die Sie aus PingFederate kopiert haben, um eine vertrauende Seite in AD FS zu erstellen, und klicken Sie auf Next.
4. Geben Sie einen Namen unter Display name ein, und klicken Sie auf Next.
Notieren Sie sich diesen Namen, da er später benötigt wird.
5. Klicken Sie in den folgenden Fenstern auf Next, bis Sie den Bildschirm Finish erreicht haben. Klicken Sie dann auf Close.
Ihr aktueller Eintrag wird zur Liste Relying Part Trusts hinzugefügt.
Sie sollten auch das folgende Fenster sehen (es ist möglicherweise hinter dem aktuellen Fenster verborgen):
5. Gehen Sie wie folgt vor, um die AD FS-Attribute Active Directory zuzuordnen:
1. Klicken Sie im Fenster Edit Claim Issuance Policy for <Name der Vertrauensstellung der vertrauenden Seite> auf Add Rule, und klicken Sie auf Next.
2. Geben Sie einen Namen unter Claim rule name an, und legen Sie Attribute store auf Active Directory fest.
3. Wählen Sie in der Tabelle Mapping of LDAP attributes to outgoing claim types die Werte aus den Listen aus, um die AD FS-Attribute den Active Directory-Attributen zuzuordnen:
 | Wenn Sie diese Attribute nicht ordnungsgemäß zuordnen, funktioniert das Single Sign-On nicht. |
Display-Name | Name |
SAM-Account-Name | Name ID |
E-Mail-Addresses | E-Mail Address |
Is-Member-Of-DL | Gruppe |
4. Klicken Sie auf Finish, und klicken Sie auf OK.
Schritt 3: AD FS einrichten, um die vollständige Meldung und Bestätigung zu verschlüsseln
1. Öffnen Sie auf dem AD FS-Rechner Windows PowerShell als Administrator.
2. Führen Sie den folgenden Befehl auf dem AD FS-Rechner aus, damit die Kommunikation funktioniert:
Set-ADFSRelyingPartyTrust -TargetName <Name der Vertrauensstellung der vertrauenden Seite> -SamlResponseSignature "MessageAndAssertion"
dabei ist <Name der Vertrauensstellung der vertrauenden Seite> der Name der Vertrauensstellung der vertrauenden Seite, den Sie in Schritt 2 oben erstellt und notiert haben.
Dieser Befehl konfiguriert die SAML-Antwortsignatur über Windows PowerShell.
Teil D: Endpunkt-URL der IdP-Verbindung verifizieren
1. Kopieren Sie aus PingFederate die URL für SSO Application Endpoint, und fügen Sie sie in ein Inkognito-Fenster ein.
2. Melden Sie sich mit dem Domänennamen und dem Administratorbenutzer an, den Sie für AD FS erstellt haben.
Die folgende Meldung sollte angezeigt werden:
Teil E: Shibboleth SP und PingFederate einrichten
Führen Sie das Verfahren im folgenden Abschnitt des Windchill Hilfe-Centers aus, um SAML-Funktionen für Windchill mit Shibboleth Service Provider 2.6.0 zu aktivieren: Security Assertion Markup Language (SAML) Authentication. Befolgen Sie die Anweisungen in diesen Abschnitten auf derselben Seite des Windchill Hilfe-Centers:
• Troubleshooting and Debugging the Shibboleth Service Provider
• Restarting the Shibboleth Service Provider and PTC HTTP Servers
Teil F: JNDI LDAP-Eintrag einrichten
Führen Sie das Verfahren im folgenden Abschnitt des Windchill Hilfe-Centers aus, um einen JNDI-Adapter zu konfigurieren: JNDI-Adapter-Konfiguration-Eintrag.
Teil G: Zusätzliche Konfiguration
Wenn Ihr Windchill Workflow die Verwendung von eSignature erfordert, ist für die Bereitstellung von SSO eine zusätzliche Konfiguration erforderlich. Weitere Informationen finden Sie in den folgenden Abschnitten des Windchill Hilfe-Centers:
Weitere Aspekte finden Sie unter "Client Compatibility" im Abschnitt Security Assertion Markup Language (SAML) Authentication des Windchill Hilfe-Centers: