PingFederate installieren
Die folgende Liste enthält eine allgemeine Übersicht über die Schritte, die Sie zum Installieren von PingFederate ausführen müssen. In jedem Abschnitt sind die Schritte aufgeführt, die zum Durchführen der Aufgabe ausführen müssen.
Schritt 1: PingFederate herunterladen
Laden Sie den neuesten Build der Unterversion und des Patches von
PingFederate herunter, die von Ihrem Produkt unterstützt werden, wie in den Systemanforderungen angegeben.
Schritt 2: PingFederate-Lizenz erhalten
|
Das Produkt PingFederate oder PingFederate-Lizenzen werden von PTC nicht mehr auf der Seite mit den Software-Downloads von PTC bereitgestellt. Seit 1. April 2022 ist im Lieferumfang von PTC Produktberechtigungen standardmäßig keine PingFederate-Lizenz mehr enthalten. Neue Kunden, die PingFederate verwenden möchten, müssen direkt mit PingIdentity einen Vertrag abschließen, um eine PingFederate-Lizenz zu erwerben. PTC Kunden, die vor dem 1. April 2022 bereits berechtigt waren, können weiterhin eine PingFederate-Lizenz anfordern, indem Sie sich an den Technischen Support von PTC wenden. Dies gilt auch für Lizenzverlängerungsanfragen.
PTC Cloud-Kunden wird im Rahmen des bereitgestellten PTC Angebots bei Bedarf eine PingFederate-Lizenz zur Verfügung gestellt.
|
Schritt 3: PingFederate installieren
Installationsanweisungen für
PingFederate 11.0 sind unter
PingFederate installieren zu finden.
Schritt 4: Patch auf PingFederate-Installation anwenden
Nach der Installation von PingFederate müssen Sie den entsprechenden PingFederate-Patch auf die installierte PingFederate-Installation anwenden. Der Patch sollte gemäß den Anweisungen von PingFederate angewendet werden.
Schritt 5: PingFederate konfigurieren und die PingFederate-Lizenzdatei bereitstellen
1. Navigieren Sie in einem Eingabeaufforderungsfenster zu PingFederate/bin, und führen Sie run.bat unter Windows bzw. run.sh unter Linux aus, um PingFederate zu starten.
Es kann einige Zeit dauern, bis PingFederate gestartet wird.
2. Wenn die Meldung PingFederate running zurückgegeben wird, öffnen Sie die PingFederate-URL im folgenden Format in Ihrem Browser: https://<hostname.domäne.com>: 9999/PingFederate/.
3. Wenn Eingabeaufforderungen zu Zertifikatfehlern angezeigt werden, akzeptieren Sie diese, um mit dem Setup fortzufahren.
4. Befolgen Sie die Anweisungen in den Setup-Bildschirmen von PingFederate, bis das Setup abgeschlossen ist.
5. Bestätigen Sie, dass PingFederate eingerichtet wurde, indem Sie sich über eine neue Browser-Sitzung anmelden. Navigieren Sie zur PingFederate-URL im Format https://<hostname.domäne.com>: 9999/pingfederate/, und melden Sie sich mit Ihrem neu erstellten Administrator-Benutzernamen und -Passwort an.
Schritt 6: SAML 2.0 Entity ID definieren
|
In PingFederate 11 ist die entityID nicht als Teil der anfänglichen PingFederate-Einstellungen definiert, die in vorausgehenden Schritten durchgeführt wurden. Führen Sie die unten genannten Schritte aus, um die entityID zu definieren.
|
1. Navigieren Sie zur Verwaltungskonsole von PingFederate.
2. Suchen Sie nach Protocol Settings. Öffnen Sie die Suchergebnisse.
3. Geben Sie Ihre entityID in das Feld SAML 2.0 ENTITY ID auf der Registerkarte Federation Info ein. Klicken Sie auf "Save".
Schritt 7: Domänenübergreifende Konfiguration für das Cookie-Attribut "SameSite" abschließen
|
Wenn Sie PingFederate 11 verwenden, ist das Attribut sameSite in der Datei jetty-runtime.xml bereits vorhanden und hat den Standardwert "None". Die Schritte 1 und 2 müssen in diesem Fall nicht durchgeführt werden.
<Call name="setAttribute"> <Arg>org.eclipse.jetty.cookie.sameSiteDefault</Arg> <Arg>None</Arg> </Call>
|
Wenn sich PingFederate und/oder ThingWorx und/oder der IdP in unterschiedlichen Domänen befinden, müssen Sie das Cookie-Attribut SameSite aktivieren. Legen Sie dazu in der Datei <PingFederate-Installationsordner>/etc/jetty-runtime.xml den Wert des Attributs sameSiteSpecifier innerhalb des Elements baseHttpConfig auf Nonefest.
<New id="baseHttpConfig" class="org.eclipse.jetty.server.HttpConfiguration">
<!-- ... -->
<Set name="headerCacheSize">512</Set>
<Set name="sameSiteSpecifier">None</Set>
<!-- … -->
</New>
Schritt 8: PingFederate so konfigurieren, dass immer der Bereich zurückgegeben wird
Erstellen oder bearbeiten Sie die Datei oauth-scope-settings.xml, die in <PingFederate Installation Folder>/server/default/data/config-store verfügbar ist, auf folgende Weise:
<?xml version="1.0" encoding="UTF-8"?>
<z:config xmlns:z="http://www.sourceid.org/2004/05/config">
<z:item name="always-return-scope-for-authz-code">true</z:item>
</z:config>
Schritt 9: PingFederate neu starten
Starten Sie den PingFederate-Server neu.