Definición de propiedades del usuario
Se deben especificar los valores de las propiedades del fichero user.properties según los requisitos de la empresa. Este fichero se encuentra en <CARPETA_SCRIPTS_PINGFEDERATE>, el directorio en el que se han guardado los scripts de automatización de la configuración de PingFederate.
 |
Escriba el valor de cada propiedad entre comillas simples.
|
En el fichero user.properties se incluye la configuración de las siguientes propiedades. Pulse en los vínculos para ver los distintos valores de propiedades, descripción y ejemplo.
Propiedades de usuario globales: se aplican a cualquier configuración de IdP
Conectividad de PingFederate
En la siguiente tabla se describen las propiedades que se deben especificar para configurar la conectividad con PingFederate y un ejemplo de cada propiedad.
Propiedad | Descripción | Ejemplo | ||
|---|---|---|---|---|
global_pingFedHost | Se especifica el nombre de dominio completo en el que se ejecuta la consola administrativa de PingFederate. El formato del valor de la propiedad es <FQDN del servidor>. | global_pingFedHost='pingfed.yourorg.com' | ||
global_pingFedAdminPort | Se especifica el puerto en el que se ejecuta la consola administrativa de PingFederate. El formato del valor de la propiedad es <puerto del servidor>. | global_pingFedAdminPort='9999' | ||
global_pingFedIdpEntityId | Se especifica el identificador único para la entidad del lenguaje de marcado de aserción de seguridad 2.0 (SAML 2.0) que representa a PingFederate. | global_pingFedIdpEntityId='ptc-pingfed' | ||
global_pingFed_admin_certificate | Se especifica el nombre de fichero del fichero de certificado de Secure Sockets Layer (certificado SSL) en el que los scripts de automatización confían durante las llamadas a API de administración. La especificación de un valor para esta propiedad es opcional, pero se recomienda porque el uso del certificado permite la comunicación SSL segura entre PingFederate y los scripts.
| global_pingFed_admin_certificate='pingfed_admin_ssl.crt' |
Certificados SSL para la capa de aplicación (cifrado y firma de SAML)
En la siguiente tabla se describen las propiedades que se deben especificar para configurar los certificados SSL para la capa de aplicación (cifrado y firma de SAML) y un ejemplo de cada propiedad. Para obtener más información, consulte el apartado "Manage digital signing certificates and decryption keys" en la documentación de PingFederate.
Propiedad | Descripción | Ejemplo |
|---|---|---|
create_pingfed_signing_cert_organization | Se especifica el nombre de la organización o compañía que crea el certificado. | create_pingfed_signing_cert_organization='ptc' |
create_pingfed_signing_cert_organizationUnit | Se especifica la unidad específica dentro de la organización. | create_pingfed_signing_cert_organizationUnit='ent-sso' |
create_pingfed_signing_cert_city | Se especifica la ciudad u otra ubicación principal en la que la compañía desarrolla su actividad. | create_pingfed_signing_cert_city='Blaine' |
create_pingfed_signing_cert_state | Se especifica el estado u otra unidad política que abarca la ubicación. | create_pingfed_signing_cert_state='MN' |
create_pingfed_signing_cert_country | Se especifica el código del país en el que la compañía tiene su sede. El código de país se representa mediante un código de dos letras. | create_pingfed_signing_cert_country='US' |
create_pingfed_signing_cert_validDays | Se especifica el tiempo de validez del certificado. | create_pingfed_signing_cert_validDays='36500' |
Conexión del proveedor de servicios
En la siguiente tabla se describen las propiedades que se deben especificar para configurar la conectividad con el proveedor de servicios y un ejemplo de cada propiedad. Para obtener más información, consulte "Manage SP Connections" en la documentación de PingFederate.
Propiedad | Descripción | Ejemplo |
|---|---|---|
create_sp_connection_baseUrl | Se especifica el URL base que aloja el servidor del proveedor de servicios. El formato del valor de la propiedad es https://<FQDN del servidor><puerto del servidor>. | create_sp_connection_baseUrl='https://thingworx.yourorg.com:8443' donde <proveedor_de_servicios> podría ser ThingWorx, Windchill RV&So Windchill |
create_sp_connection_input_sign_verif_cert | Se especifica el nombre de fichero del certificado que se utiliza para verificar la firma digital del token de SAML entrante. | create_sp_connection_input_sign_verif_cert='twx_sp_signing.crt' donde <nombre específico del SP> podría ser twx, ilm o wnc. |
create_sp_connection_entityId | Se especifica la identidad única del proveedor de servicios. El valor de propiedad para el proveedor de servicios debe ser https://<FQDN del servidor>:<puerto del servidor>/SAML/Metadata | Este ejemplo es específico de Windchill RV&S. create_sp_connection_entityId='https://integrity.yourorg.com:8443/saml/metadata' |
Conexiones de cliente de OAuth con ThingWorx como proveedor de servicios
En la siguiente tabla se describen las propiedades que se deben especificar para configurar las conexiones de cliente de OAuth con ThingWorx como proveedor de servicios y un ejemplo de cada propiedad. Para obtener más información, consulte "Configure an OAuth client" en la documentación de PingFederate.
Propiedad | Descripción | Ejemplo |
|---|---|---|
create_twx_sp_oauth_client_description | Se especifica la descripción de lo que hace la aplicación cliente. Esta descripción aparece cuando se solicita autorización al usuario. | create_twx_sp_oauth_client_description='Thingworx service provider OAuth client.' |
create_twx_sp_oauth_client_auth_secret_value | Se especifica el secreto de cliente de OAuth. | create_twx_sp_oauth_client_auth_secret_value='twx-sp-client_1234' |
create_twx_sp_oauth_client_redirectURI | Se especifica el URI al que el servidor de autorización de OAuth puede redirigir el agente de usuario del propietario del recurso después de que se haya obtenido la autorización. El formato del valor de la propiedad es: https://<FQDN del servidor>:<puerto del servidor>/Thingworx/oauth2_ authorization_ code_redirect. | create_twx_sp_oauth_client_redirectURI='https://thingworx.yourorg.com:8443/ Thingworx/oauth2_ authorization_ code_redirect' |
Conexiones de cliente de OAuth con Windchill como servidor de recursos
En la siguiente tabla se describen las propiedades que se deben especificar para configurar las conexiones de cliente de OAuth con Windchill como servidor de recursos y un ejemplo de cada propiedad. Para obtener más información, consulte "Configure an OAuth client" en la documentación de PingFederate.
Propiedad | Descripción | Ejemplo |
|---|---|---|
create_wnc_oauth_client_description | Se especifica la descripción de lo que hace la aplicación cliente. Esta descripción aparece cuando se solicita autorización a un usuario. | create_wnc_rp_oauth_client_description='Windchill resource server OAuth client.' |
create_wnc_oauth_client_auth_secret_value | Se especifica el secreto de cliente de OAuth. | create_wnc_rp_oauth_client_auth_secret_value='wnc-rp-client_1234' |
Conexiones de cliente de OAuth con Windchill RV&S como servidor de recursos
En la siguiente tabla se describen las propiedades que se deben especificar para configurar las conexiones de cliente de OAuth con Windchill RV&S como servidor de recursos y un ejemplo de cada propiedad. Para obtener más información, consulte "Configure an OAuth client" en la documentación de PingFederate.
Propiedad | Descripción | Ejemplo |
|---|---|---|
create_ilm_oauth_client_description | Se especifica la descripción de lo que hace la aplicación cliente. Esta descripción aparece cuando se solicita autorización al usuario. | create_ilm_rp_oauth_client_description='IntegrityLifecycle Manager resource server OAuth client.' |
create_ilm_oauth_client_auth_secret_value | Se especifica el secreto de cliente de OAuth. | create_ilm_rp_oauth_client_auth_secret_value='olm-rp-client_1234' |
Gestión de ámbitos
En la siguiente tabla se describen las propiedades que se deben especificar para registrar ámbitos en PingFederate y un ejemplo de cada propiedad. Para obtener más información, consulte "Scopes" en la documentación de PingFederate.
Propiedad | Descripción | Ejemplo |
|---|---|---|
create_oauth_default_scope_description | Se especifica la descripción de los permisos implícitos cuando no se indica ningún valor de ámbito o además de cualquier valor. Esta descripción se muestra cuando se solicita autorización al usuario. | create_oauth_default_scope_description='Default Scope' |
create_oauth_twx_scope | Se especifican los ámbitos de ThingWorx como proveedor de servicios. | create_oauth_twx_scope='THINGWORX' |
create_oauth_twx_read_scope_description | Se especifica la descripción del valor de ámbito de ThingWorx. Esta descripción aparece cuando se solicita autorización al usuario. | create_oauth_twx_scope_description='Thingworx Scope' |
create_oauth_wnc_read_scope | Se especifican los ámbitos de Windchill como servidor de recursos. | create_oauth_wnc_read_scope='WINDCHILL' |
create_oauth_wnc_read_scope_description | Se especifica la descripción del valor de ámbito de Windchill. Esta descripción aparece cuando se solicita autorización al usuario. | create_oauth_wnc_scope_description='Windchill Scope' |
create_oauth_ilm_scope | Se especifican los ámbitos de Windchill RV&S como proveedor de servicios. | create_oauth_ilm_ scope='INTEGRITY_ READ' |
create_oauth_ilm_ read_scope_ description | Se especifica la descripción del valor de ámbito de Windchill RV&S. Esta descripción aparece cuando se solicita autorización al usuario. | create_oauth_ilm_ scope_ description= 'Integrity LM Scope' |
Propiedades de usuario específicas de PingFederate: se aplican al configurar PingFederate como IdP
Almacén de datos
Solo es necesario configurar un almacén de datos si se selecciona PingFederate como IdP.
En la siguiente tabla se describen las propiedades que se deben especificar para configurar un servidor de directorios de Lightweight Directory Access Protocol (servidor de directorios LDAP) como almacén de datos y un ejemplo de cada propiedad. Este almacén de datos se utiliza con el validador de credenciales de contraseña de LDAP para que PingFederate valide las credenciales de usuario para la autenticación de usuarios. Para obtener más información, consulte "Manage data stores" en la documentación de PingFederate.
Propiedad | Descripción | Ejemplo |
|---|---|---|
create_ldap_datastore_hostname | Se especifica el nombre del sistema de nombres de dominio (nombre DNS) o la dirección del protocolo de Internet (dirección IP) del almacén de datos que puede incluir un número de puerto. El formato del valor de la propiedad es: <FQDN de LDAP>:<puerto de LDAP>. | create_ldap_datastore_hostname='windchillDS.ptc.com:389' O bien create_ldap_ datastore_ hostname= 'integrityLDAP.ptc.com:389' |
create_ldap_datastore_userDN | Se especifica el nombre de usuario que se requiere para acceder al almacén de datos. | create_ldap_datastore_userDN='cn=Manager' |
create_ldap_datastore_password | Se especifica la contraseña obligatoria para acceder al almacén de datos. | create_ldap_datastore_password='password' |
Validador de credenciales de contraseña de LDAP
La configuración de un validador de credenciales de contraseña de LDAP solo es obligatoria cuando se selecciona PingFederate como IdP.
En la siguiente tabla se describen las propiedades que se deben especificar para configurar el validador de credenciales de contraseña de LDAP y un ejemplo de cada propiedad. Para obtener más información, consulte "Manage password credential validators" en la documentación de PingFederate.
Propiedad | Descripción | Ejemplo |
|---|---|---|
create_ldap_pcv_searchBase | Se especifica la ubicación en el servidor de directorios LDAP desde el que se inicia la búsqueda. | create_ldap_pcv_searchBase='cn=Windchill_11.0,o=ptc' O bien create_ldap_pcv_searchBase='cn=IntegrityOU,o=ptc' |
create_ldap_pcv_searchFilter | Se especifica la consulta LDAP para localizar un registro de usuario. | create_ldap_pcv_searchFilter='uid=$<nombre de usuario>' |
create_ldap_pcv_scopeOfSearch | Se especifica el nivel de búsqueda que se debe realizar en la base de búsqueda. | create_ldap_pcv_scopeOfSearch='Subtree' |
Adaptador de IdP
Solo es necesario configurar un adaptador de IdP cuando se selecciona PingFederate como IdP.
En la siguiente tabla se describen las propiedades que se deben especificar para configurar un adaptador de IdP para PingFederate y un ejemplo de cada propiedad. Para obtener más información, consulte "Manage IdP adapters" en la documentación de PingFederate.
Propiedad | Descripción | Ejemplo |
|---|---|---|
create_idp_adapter_attributeSource_id | Se especifica el identificador único del origen de atributo, un almacén de datos específico o ubicaciones de directorio que incluyen información que puede ser necesaria para el contrato de adaptador de IdP o el flujo de trabajo de autorización de tokens. | create_idp_adapter_attributeSource_id='uid' |
create_idp_adapter_attributeSource_description | Se especifica la descripción del origen de atributo. | create_idp_adapter_attributeSource_description='uid' |
create_idp_adapter_attributeSource_baseDn | Se especifica el nombre de dominio base del origen de atributo. | create_idp_adapter_attributeSource_baseDn='cn=Windchill_11.0,o=ptc' donde <nombre> podría ser Windchill, IntegrityOU, etc. |
create_idp_adapter_attributeSource_SearchScope | Se especifica el ámbito de la búsqueda. Los valores válidos son Subtree, One level y Base. | create_idp_adapter_attributeSource_SearchScope='SUBTREE' |
create_idp_adapter_attributeSource_SearchFilter | Se especifica el filtro de búsqueda que se debe utilizar para la búsqueda. | create_idp_adapter_attributeSource_SearchFilter='uid=$<nombre de usuario>' |
Propiedades de usuario específicas de ADFS: se aplican al configurar ADFS como IdP
Conexiones de IdP para ADFS
En la siguiente tabla se describen las propiedades que se deben especificar para configurar conexiones de IdP para ADFS y un ejemplo de cada propiedad.
Propiedad | Descripción | Ejemplo |
|---|---|---|
create_idp_adfs_connection_entityId | Se especifica el identificador de entidad necesario para configurar ADFS como proveedor de identidad. | create_idp_adfs_connection_entityId=‘http://adfs.org.io/adfs/services/trust’ |
create_idp_adfs_connection_baseUrl | Se especifica el URL base que aloja el servidor para el proveedor de identidad. El formato del valor de la propiedad es: https://<FQDN del servidor>:<puerto del servidor> | create_idp_adfs_connection_baseUrl =‘https://adfs.org.io’ (No es necesario especificar un puerto por defecto). |
create_idp_adfs_connection_input_sign_verif_cert | Se especifica el nombre de fichero del certificado que se utiliza para verificar la firma digital para el token de SAML entrante. | create_idp_adfs_connection_input_sign_verif_cert =’adfs_idp_signing.crt’ |
Propiedades de usuario específicas de SAML genérico: se aplican al configurar un IdP de SAML 2.0 genérico
Conexiones de IdP para el SAML 2.0 genérico
En la siguiente tabla se describen las propiedades que se deben especificar para configurar las conexiones de IdP para un IdP de SAML 2.0 genérico y un ejemplo de cada propiedad.
Propiedad | Descripción | Ejemplo |
|---|---|---|
create_idp_saml2_connection_entityId | Se especifica el identificador de entidad necesario para configurar el proveedor de identidad. | create_idp_saml2_connection_entityId= 'http://www.okta.com/exk15nb0a9fkh36Aq2p7' |
create_idp_saml2_connection_baseUrl | Se especifica el URL base que aloja el servidor para el proveedor de identidad. El formato del valor de la propiedad es: https://<FQDN del servidor>:<puerto del servidor> | create_idp_saml2_connection_baseUrl='https://org.okta.com' (No es necesario especificar un puerto por defecto). |
create_idp_saml2_connection_input_sign_ verif_cert | Se especifica el nombre de fichero del certificado que se utiliza para verificar la firma digital del token de SAML entrante. | create_idp_saml2_connection_input_sign_verif_cert= 'saml2_idp_signing.crt' |
create_idp_saml2_connection_assertion_ consumer_service_url | Se especifica el URL del recurso del protocolo de transferencia de hipertexto (recurso HTTP) que procesa los mensajes de protocolo de SAML. Este URL devuelve una cookie que representa la información que se extrae del mensaje. | create_idp_saml2_connection_assertion_consumer_service_url= '/app/org399352_pingfed_1/exk15nb0a9fkh36Aq2p7/sso/saml' |
create_idp_saml2_attr_uid | Se especifica el nombre del contrato de atributo, un atributo ampliado en la aserción de SAML que enviará como IdP al proveedor de servicios, donde el proveedor de servicios podría ser ThingWorx, Windchill o PingFederate. | create_idp_saml2_attr_uid='uid' |
create_idp_saml2_attr_group | Se especifica el grupo del contrato de atributo, un atributo ampliado en la aserción de SAML que enviará como un IdP al proveedor de servicios, donde el proveedor de servicios podría ser ThingWorx, Windchill o PingFederate. Si un atributo de grupo no está disponible en el IdP o si no desea asignarlo, esta propiedad se puede quitar del fichero user.properties. | create_idp_saml2_attr_group='group' |
create_idp_saml2_attr_email | Se especifica la dirección de correo electrónico del contrato de atributo, un atributo ampliado en la aserción de SAML que se enviará como IdP al proveedor de servicios, donde el proveedor de servicios podría ser ThingWorx, Windchill o PingFederate. Si un atributo de correo electrónico no está disponible en el IdP o si no desea asignarlo, esta propiedad se puede quitar del fichero user.properties. | create_idp_saml2_attr_email='emailaddress' |