Configuración de PingFederate para redirigir las solicitudes de conexión del usuario al IdP
En la configuración del proveedor de servicios, configure las conexiones del proveedor de identidad (IdP) de PingFederate. En el caso de los IdP de terceros, PingFederate actúa como proveedor de servicios.
En este proceso, también se debe realizar lo siguiente:
• Exportar el fichero de metadatos del proveedor de servicios.
• Importar el fichero de metadatos desde el IdP.
En la arquitectura de SSO que PTC ha probado y recomienda, PingFederate se debe configurar para redirigir las solicitudes de autentificación del usuario a un servicio de directorios de empresa (proveedores de identidad de terceros). De este modo, se reducen los nodos de la arquitectura de SSO que deben gestionar las credenciales de conexión del usuario porque el explorador se redirige para autenticarse con el IdP. Para configurar PingFederate como centro de federación, se deben crear al menos dos conexiones en PingFederate:
• Cree una conexión de IdP en la configuración del proveedor de servicios de PingFederate. PingFederate utiliza esta conexión para conectarse con el IdP.
• Cree una conexión de proveedor de servicios en la configuración de IdP de PingFederate. PingFederate utiliza esta conexión para conectarse con el proveedor de servicios.
Para obtener más información, consulte los siguientes temas en la
documentación de PingFederate:
• "Service provider SSO configuration"
• "Bridging an IdP to an SP"
• "Federation hub and authentication policy contracts"
|
Utilice la plantilla de conexión de perfiles de SSO del explorador solamente para configurar la conexión de SSO. No se deben crear adaptadores de SP para las conexiones de SSO.
|
El abastecimiento de usuario es una configuración avanzada de la configuración de SSO de
PingFederate. El abastecimiento de usuario depende del IdP que un cliente selecciona. Funciona de forma diferente con cada IdP. Para obtener más información sobre el abastecimiento de usuario, consulte
Abastecimiento en el centro de ayuda de
ThingWorx.
Contrato de directivas de autentificación
Además, se debe crear un contrato de directivas de autentificación en PingFederate que cree un puente entre la conexión del proveedor de servicios y la conexión del IdP. El contrato de directivas de autentificación se utiliza para especificar qué atributos de usuario se deben recuperar del IdP y transferir a la aplicación del proveedor de servicios. Consulte la documentación de su IdP para conocer los atributos necesarios.
Al configurar SSO para los productos de PTC, se requieren los siguientes atributos para la autenticación de usuarios, que deben exponerse en el IdP y asignarse en el contrato de directivas de autenticación:
• uid
• subject
• email
• group
Por ejemplo, se pueden introducir los siguientes valores para los Servicios de federación de Active Directory (ADFS). Sin embargo, la asignación puede ser diferente según la elección de IdP. Se debe determinar la asignación según los requisitos.
Atributo
|
Valor
|
subject
|
SAML_SUBJECT (aserción)
|
uid
|
http://schemas.xmlsoap.org/ws/2005/05/Identity/claims/name (aserción)
|
email
|
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress (aserción)
|
group
|
http://schemas.xmlsoap.org/claims/Group (aserción)
|
Para implementar un contrato de directivas de autentificación, realice lo siguiente:
1. Inicie sesión en la consola de administración de PingFederate como administrador.
2. En el menú SP Configuration, en la sección AUTHENTICATION POLICIES, pulse en Policy Contracts.
3. En la página Authentication Policy Contracts, pulse en Create New Contract.
4. Añada los atributos obligatorios (en función de los que PTC requiere según lo especificado anteriormente y los que el IdP requiere) y pulse en Done.
5. Utilice este contrato de directivas al configurar la conexión del IdP con el servicio de directorios de empresa.
|
Después de crear la conexión del IdP, se puede confirmar qué atributos se están intercambiando al consultar la sección Contract Fulfillment de la ficha Activation & Summary de la conexión del IdP.
|