Single Sign-on – Übersicht
Single Sign-on (SSO) ist ein Mechanismus zur Sitzungs- und Benutzerauthentifizierung, der es Ihnen ermöglicht, mit einem einzigen Satz Anmeldeinformationen auf mehrere Anwendungen in einem Unternehmen zuzugreifen, unabhängig von Plattform, Technologie oder Domäne. Sobald Sie bei einer SSO-fähigen Anwendung angemeldet sind, werden Sie automatisch bei jeder anderen Anwendung angemeldet, für die Sie über die entsprechenden Berechtigungen verfügen. PTC empfiehlt SSO als Authentifizierungsmethode.
 |
Wenn Ihre Anwendung mit SSO konfiguriert ist, kann die Multi-Faktor-Authentifizierung (MFA) über den Identitätsanbieter (IdP) konfiguriert werden. Voraussetzung hierfür ist, dass der IdP MFA unterstützt. PTC Anwendungen verwalten keine MFA. Sie wird über den IdP konfiguriert.
|
Der Prozessfluss für SSO-Informationen besteht aus dem Austausch von Authentifizierungs- und Autorisierungsdaten. Jede der in der Tabelle unten aufgelisteten Komponenten spielt in einem oder beiden Austauschvorgängen eine Rolle:
|
Begriff
|
Definition
|
||
|---|---|---|---|
|
Zentraler Authentifizierungsserver (Central Auth Server, CAS)
|
Ein Drittanbieter-Tool, das die Authentifizierung und Autorisierung von Benutzern in einem SSO-Verbund verwaltet. Dies ermöglicht es Benutzern, über delegierte Autorisierung auf Daten von mehreren Ressourcenservern zuzugreifen.
PTC unterstützt die folgenden zentralen Authentifizierungsserver:
• PingFederate
• Microsoft Entra ID
◦ Für ThingWorx Versionen, 9.2 und höher, 9.1.4 und höher und 9.0.9 und höher
◦ Für Windchill 12.0.2.2 und höher
• Azure AD B2C
◦ Für ThingWorx Versionen 9.6.0 und höher.
• AD FS
◦ Für ThingWorx Versionen, 9.2 und höher, 9.1.4 und höher und 9.0.9 und höher
|
||
|
Open Authorization (OAuth)
|
OAuth ist ein Industriestandard, der es einer Anwendung mithilfe von Zugriffs-Token ermöglicht, sich im Namen eines Benutzers bei einer anderen Anwendung zu authentifizieren und Daten abzurufen, die dem Benutzer gehören.
Das PTC SSO-Framework verwendet OAuth 2.0.
|
||
|
Security Assertion Markup Language (SAML)
|
SAML ist ein XML-basierter Authentifizierungs-Industriestandard, der die Notwendigkeit von anwendungsspezifischen Passwörtern eliminiert. SAML verwendet ablaufende digitale Einmal-Token, um Authentifizierungs- und Autorisierungsdaten zwischen einem Identitätsanbieter und einem Dienstanbieter auszutauschen, zwischen denen eine Vertrauensbeziehung eingerichtet wurde.
Das PTC SSO-Framework verwendet SAML 2.0.
|
||
|
OpenID Connect (OIDC)
|
OpenID Connect (OIDC) ist eine Identitätsebene, die auf dem OAuth 2.0-Framework aufbaut. Sie ermöglicht es Drittanbieter-Anwendungen, die Identität des Endbenutzers zu überprüfen und grundlegende Benutzerprofilinformationen zu erhalten. OIDC verwendet JSON-Web-Token (JWTs), die Sie mit Flows abrufen können, die die OAuth 2.0-Spezifikationen erfüllen.
|
||
|
Zugriffs-Token
|
Vom Autorisierungsserver abgerufene opake Zeichenfolge oder JWT-Token, die/das eine Anwendung einer anderen Anwendung vorlegt, um auf Daten des Ressourcenbesitzers zuzugreifen.
|
||
|
Verbund
|
Ein Netzwerk von Software-Anwendungen in einem Unternehmen, die so konfiguriert wurden, dass Single Sign-on über einen CAS erfolgt.
|
||
|
Identitätsanbieter (IdP)
|
Ein Drittanbieter-Tool, das Benutzeridentitätsdaten verwaltet. Das Benutzerverwaltungssystem oder Active Directory speichert Benutzernamen, Passwörter und andere Anmeldeinformationen. Der CAS referenziert den IdP bei der Authentifizierung eines Benutzers.
|
||
|
Ressourcenserver (RS)
|
Eine Anwendung im SSO-Verbund, die geschützte Daten enthält.
|
||
|
Dienstanbieter (Service Provider, SP)
|
Ein Web-Server, von dem aus der Benutzer auf Informationen zugreift. Er verwendet das SAML-Protokoll, um Benutzeranmeldungen in einem SSO-Verbund zu authentifizieren. Ein SP fordert auch im Namen eines authentifizierten Benutzers Zugriff auf geschützte Daten von einem RP an.
|
||
|
Bereich
|
Zeichenfolgenwerte, die Sie beim CAS, SP und RP registrieren. Dies bietet zusätzliche Zugriffssteuerung für die Daten des Ressourcenbesitzers, die im Ressourcenserver verfügbar sind. Wenn einem SP die Genehmigung für den der geschützten Ressource zugeordneten Bereich gewährt wird, werden die Daten nur dann dem SP zur Verfügung gestellt, wenn er auch ein gültiges Zugriffs-Token bereitstellt.
|
||
|
Benutzer-Agent
|
Der Web-Browser, den der Benutzer (Ressourcenbesitzer) für den Zugriff auf Informationen verwendet. Der Benutzer-Agent stellt im Namen des Benutzers Anforderungen von einem SP und dem CAS.
|