Ejemplo: Implementación de SSO de Windchill con PingFederate como agente
En este ejemplo se proporcionan los pasos detallados sobre cómo configurar un entorno que tenga PDMLink y Shibboleth SP de Windchill configurados para el inicio de sesión único con PingFederate como servidor de autenticación central (CAS) y Servicios de federación de Active Directory (AD FS) como proveedor de identidad (IdP).
En la siguiente tabla se muestran las aplicaciones configuradas y su rol en este ejemplo:
|
Rol
|
Aplicación
|
|---|---|
|
Proveedor de servicios
|
PDMLink y Shibboleth SP de Windchill
|
|
Servidor de autenticación central
|
PingFederate
|
|
Proveedor de identidades
|
AD FS
|
|
Servidor de recursos
|
Windchill
|
En el siguiente diagrama se muestra la configuración que se describe en este ejemplo.
Parte A: requisitos previos
1. Asegúrese de que Windchill esté configurado. Para obtener más información, consulte el centro de ayuda de Windchill adecuado.
2. Instale y configure AD FS, y asegúrese de haber incluido los siguientes ficheros y valores de atributo:
◦ uid
◦ email
◦ group
◦ Fichero de metadatos
Parte B: Configuración manual de la autenticación de AD FS
Paso 1: Creación del certificado SSL global de PingFederate
1. Conéctese a PingFederate como administrador. Busque SSL Server Certificates y abra los resultados de la búsqueda.
2. Pulse en Create New para crear el certificado SSL global y realice lo siguiente:
1. En el campo Common Name, proporcione el FQDN de del ordenador de PingFederate.
2. Proporcione otros detalles en la página y pulse en Next.
3. Asegúrese de que las siguientes casillas estén marcadas y pulse en Save.
4. Pulse en SSL Server Certificates.
5. Para el certificado SSL que se ha creado, en la lista Select Action, seleccione Activate Default for Runtime Server y, a continuación, seleccione Activate Default for Admin Console. Pulse en Save.
Este certificado SSL se marca como default para la consola de administración y el servidor de tiempo de ejecución.
3. Para el certificado localhost, realice lo siguiente:
1. En la lista Select Action, seleccione Deactivate for Runtime Server y, a continuación, seleccione Deactivate for Admin Console.
2. Borre el certificado localhost y pulse en Save.
Paso 2: Creación del contrato de proveedor de servicios
1. En PingFederate, busque Policy Contract y abra el resultado de la búsqueda.
2. Pulse en Create New Contracts y realice lo siguiente:
1. En el campo Contract Info, introduzca un nombre de contrato, por ejemplo, SPContract y pulse en Next.
2. En Contract Attributes, para extender el contrato con los siguientes atributos, pulse en Add para cada atributo:
▪ uid
▪ email
▪ group
Por defecto, el atributo subject está presente.
3. Pulse en Next y, en la página Summary, pulse en Save.
4. En la página Authentication Policy Contracts, pulse en Save.
Para obtener más información, consulte Configuración de PingFederate para redirigir las solicitudes de conexión del usuario al IdP.
Paso 3: Descarga del fichero FederationMetadata.xml de AD FS
1. En el explorador del ordenador de AD FS, introduzca el siguiente URL para descargar el fichero de metadatos de federación:
https://ADSF_Host.ADFS_Dominio/FederationMetadata/2007-06/FederationMetadata.xml
2. Copie el fichero descargado en el ordenador de PingFederate.
Paso 4: Creación de la conexión de IdP de PingFederate
A) Especificación de la información general para crear una conexión de IdP
1. En PingFederate, busque IdP Connections y abra los resultados de la búsqueda. Pulse en Create Connection.
2. En la ficha Connection Type, seleccione la casilla BROWSER SSO Profiles y pulse en Next.
3. En la ficha Connection Options, seleccione las casillas BROWSER SSO y OAUTH ATTRIBUTE MAPPING, y pulse en Next.
4. En la ficha Import Metadata, seleccione File y pulse en Choose File para buscar el fichero FederationMetadata.xml y pulse en Next.
5. En la ficha Metadata Summary, pulse en Next.
6. La ficha General Info se rellena con datos. Si lo desea, puede cambiar el valor de CONNECTION NAME. Verifique el resto de la información y pulse en Next.
7. En la ficha Browser SSO, pulse en Configure Browser SSO. Se abre la página Browser SSO, donde se debe especificar la configuración del inicio de sesión único para el explorador.
B) Configuración de las opciones de SSO del explorador
1. En la ficha SAML Profiles de la página Browser SSO, seleccione las siguientes opciones y pulse en Next:
▪ IDP-INITIATED SSO
▪ SP-INITIATED SSO
2. En la ficha User-Session Creation, pulse en Configure User-Session Creation. Se abre la página User-Session Creation, donde se deben especificar las opciones para configurar la creación de usuarios.
C) Configuración de las opciones de creación de sesión de usuario
1. En la ficha Identity Mapping, acepte la configuración por defecto y pulse en Next.
2. En la ficha Attribute Contract, verifique los atributos rellenados automáticamente y pulse en Siguiente.
3. En la ficha Target Session Mapping, pulse en Map New Authentication Policy. Se abre la página Authentication Policy Mapping, donde se debe especificar la configuración de la asignación de directivas de autenticación.
D) Configuración de las opciones de asignación de directivas de autenticación
1. En la lista Authentication Policy Contract, seleccione el contrato que se ha creado en Parte B: paso 2, es decir, SPContract. Verifique que se muestren todos los atributos y pulse en Next.
2. En la ficha Attribute Retrieval, acepte la configuración por defecto y pulse en Next.
3. En la ficha Contract Fulfillment, seleccione los siguientes valores para los contratos de directiva de autenticación email, group, subject y uid:
▪ En la lista Source, seleccione Assertion.
▪ En la lista Value, seleccione la entrada correspondiente de la lista.
Pulse en Next.
4. En la ficha Issuance Criteria, pulse en Next.
5. Revise la información de la ficha Summary. Si la información es correcta, pulse en Done. Se abre la página User-Session Creation, donde se deben revisar los valores de configuración para la creación de sesiones de usuario.
E) Revisión de las opciones de configuración de creación de sesión de usuario
1. En la ficha Target Session Mapping de la página User-Session Creation se muestra la información que se ha seleccionado al asignar una nueva directiva de autenticación. Pulse en Next.
2. Revise la información de la ficha Summary. Si la información es correcta, pulse en Done. Se abre la página Browser SSO.
3. En la ficha User-Session Creation de la página Browser SSO se muestra la información que se ha introducido al configurar la creación de la sesión de usuario. Pulse en Next.
4. En la ficha OAuth Attribute Mapping, seleccione Map Directly Into Persistent Grant y Configure OAuth Attribute Mapping y, a continuación, realice lo siguiente:
1. En la ficha Data Store, pulse en Next.
2. En la ficha Contract Fulfilment, para USER_KEY y USER_NAME, seleccione Source como Assertion y Value como atributo de nombre desde ADFS y pulse en Next.
3. En la ficha Issuance Criteria, pulse en Next.
5. Revise la información de la ficha Summary. Si la información es correcta, pulse en Done. Pulse en Next en la página OAuth Attribute Mapping Configuration.
6. En la ficha Protocol Settings, pulse en Configure Protocol Settings. Se abre la página Protocol Settings, donde se debe especificar la configuración del protocolo.
F) Configuración y revisión de las opciones del protocolo
1. En la ficha SSO Service URLs, pulse en Next.
2. En la ficha Allowable SAML Bindings, realice lo siguiente y pulse en Next:
1. Seleccione las siguientes casillas:
▪ POST
▪ REDIRECT
2. Despeje las siguientes casillas:
▪ ARTIFACT
▪ POST
3. Omita la configuración de la ficha Overrides y pulse en Next.
4. En la ficha Signature Policy, pulse en SPECIFY ADDITIONAL SIGNATURE REQUIREMENTS, seleccione las dos casillas situadas debajo y pulse en Siguiente.
5. En la ficha Encryption Policy, pulse en ALLOW ENCRYPTED SAML ASSERTIONS AND SLO MESSAGES, seleccione la casilla THE ENTIRE ASSERTION y pulse en Next.
6. Revise la información de la ficha Summary. Si la información es correcta, pulse en Done. Se abre la página Browser SSO.
7. En la ficha Protocol Settings de la página Browser SSO se muestra la información seleccionada al configurar las opciones del protocolo. Pulse en Next.
8. Revise la información de la ficha Summary. Si la información es correcta, pulse en Done. Se abre la página IdP Connection.
9. En la ficha Browser SSO de la página IdP Connection, pulse en Next.
10. En la ficha Credentials, pulse en Configure Credentials. Se abre la página Credentials, donde es necesario especificar las opciones para configurar las credenciales.
G) Configuración de credenciales
1. En la ficha Digital Signature Settings, pulse en Manage Certificates.
2. Para crear un certificado de firma, pulse en Create New, proporcione los siguientes valores y pulse en Next:
▪ COMMON NAME
▪ ORGANIZATION
▪ COUNTRY
▪ VALIDITY (DAYS): 365
▪ KEY ALGORITHM: RSA
▪ KEY SIZE (BITS): 2048
▪ SIGNATURE ALGORITHM: RSA SHA256
3. Revise la información de la ficha Summary. Si la información es correcta, pulse en Save y pulse en Done.
4. En la ficha Digital Signature Settings, para la instancia de SIGNING CERTIFICATE creada, seleccione la casilla INCLUDE THE CERTIFICATE IN THE SIGNATURE <KEYINFO> ELEMENT y pulse en Next.
Este es el certificado de capa de aplicación que se utiliza para firmar digitalmente la solicitud de PingFederate al IdP.
5. En la ficha Signature Verification Settings, pulse en Manage Signature Verification Settings.
a. En la ficha Trust Model, seleccione sin UNANCHORED y pulse en Next.
b. En Signature Verification Certificate, verifique que se muestra el certificado de firma de IdP y pulse en Siguiente.
Este es el certificado de capa de aplicación que se utiliza para la verificación de firmas de las solicitudes del IdP a PingFederate. Se importa automáticamente en PingFederate al importar el fichero metadata.xml del IdP.
c. Revise la información de la ficha Summary. Si la información es correcta, pulse en Done.
d. En la ficha Signature Verification Settings, pulse en Next.
e. En Select Decryption Keys, seleccione el certificado de PingFederate y pulse en Next.
f. Revise la información de la ficha Summary. Si la información es correcta, pulse en Done.
g. En la página Credentials, pulse en Next.
H) Activación de la conexión IdP
En la página Activation & Summary, asegúrese de que la opción SSO Application Endpoint está activada y pulse en Save.
Se ha creado y activado la conexión IdP.
I) Verificación de la conexión IdP
Pulse en la conexión de IdP que ha creado, copie el URL de SSO Application Endpoint, péguelo en un explorador y verifique que se redirige al IdP. Por lo tanto, este URL de PingFederate debe redirigirse a AD FS. Se verá una página similar a la siguiente y que incluirá un mensaje de error.
Parte C: Configuración de la parte dependiente de AD FS
Paso 1: Exportación del fichero XML de metadatos desde PingFederate
1. En PingFederate, vaya a Service Provider y, en IDP Connections, pulse en Manage All.
2. Para la conexión IdP, en la lista Select Action, pulse en Export Metadata.
3. En la página Metadata Signing, pulse en Next.
4. En la página Export & Summary, pulse en Export para descargar el fichero de metadatos en la carpeta Descargas del ordenador y pulse en Done.
5. Copie el fichero XML de metadatos en el ordenador de AD FS.
Paso 2: Adición de la parte dependiente en AD FS
1. Inicie sesión en el servidor de AD FS y abra Administrador de servidores.
2. Vaya a > .
3. En AD FS, pulse con el botón derecho del ratón en Veracidades de usuarios de confianza y luego seleccione Agregar veracidad del usuario de confianza. De este modo, se garantiza que AD FS confía que la conexión procede de PingFederate.
4. En la ventana Asistente para agregar veracidad del usuario de confianza, realice lo siguiente:
1. Pulse en Inicio.
2. En la siguiente pantalla, pulse en Importar datos sobre el usuario de confianza de un archivo.
3. Pulse en Examinar para navegar hasta la ubicación del fichero Metadata.xml que se ha copiado de PingFederate para crear un usuario de confianza en AD FS y pulse en Siguiente.
4. Proporcione el valor de Nombre para mostrar y pulse en Siguiente.
Tome nota de este nombre, ya que será necesario más tarde.
5. Pulse en Siguiente en las ventanas siguientes hasta que llegue a la pantalla Finalizar. A continuación, pulse en Cerrar.
La entrada actual se añade a la lista Veracidades de usuarios de confianza.
También debe aparecer la siguiente ventana (puede estar oculta detrás de la ventana actual):
5. Para asignar los atributos de AD FS a Active Directory, realice lo siguiente:
1. En la ventana Editar la directiva de emisión de notificaciones para <nombre de veracidad de usuario de confianza>, pulse en Agregar regla y, a continuación, en Siguiente.
2. Proporcione un valor de Nombre de regla de notificación y defina el valor de Almacén de atributos en Active Directory.
3. En la tabla Asignación de atributos LDAP a los tipos de notificación saliente, seleccione los valores de las listas para asignar los atributos de AD FS a los atributos de Active Directory:
 | Si no se asignan estos atributos correctamente, el inicio de sesión único no funcionará. |
Nombre para mostrar | Nombre |
Nombre de cuenta SAM | ID de nombre |
Direcciones de correo electrónico | Dirección de correo electrónico |
Is-Member-Of-DL | Grupo |
4. Pulse en Finalizar y, a continuación, en Aceptar.
Paso 3: Configuración de AD FS para cifrar el mensaje completo y la aserción
1. En el ordenador de AD FS, abra Windows PowerShell como administrador.
2. Ejecute el siguiente comando en el ordenador de AD FS para que la comunicación funcione:
Set-ADFSRelyingPartyTrust -TargetName <Nombre de veracidad de usuario de confianza> -SamlResponseSignature "MessageAndAssertion"
donde <Nombre de veracidad de usuario de confianza> es el nombre de la veracidad del usuario de confianza que se ha creado y anotado en el paso 2 anterior.
Este comando configura la firma de la respuesta de SAML a través de Windows PowerShell.
Parte D: Verificación del URL del punto final de conexión del IdP
1. En PingFederate, copie el URL de SSO Application Endpoint y péguelo en una ventana de incognito.
2. Inicie sesión con el usuario administrador y nombre de dominio que se ha creado para AD FS.
Se debe recibir el siguiente mensaje:
Parte E: Configuración de Shibboleth SP y PingFederate
Para activar las funciones de SAML para Windchill mediante Shibboleth Service Provider 2.6.0, complete el procedimiento de la siguiente sección del centro de ayuda de Windchill: Security Assertion Markup Language (SAML) Authentication. Siga las instrucciones de estas secciones de la misma página del centro de ayuda de Windchill:
• Troubleshooting and Debugging the Shibboleth Service Provider
• Restarting the Shibboleth Service Provider and PTC HTTP Servers
Parte F: Configuración de una entrada LDAP de JNDI
Para configurar un adaptador JNDI, complete el procedimiento de la siguiente sección del centro de ayuda de Windchill: Entrada de configuración del adaptador JNDI.
Pieza G: Configuración adicional
Si el flujo de trabajo de Windchill requiere el uso de eSignature, es necesario realizar una configuración adicional para implementar SSO. Para obtener más información, consulte las siguientes secciones del centro de ayuda de Windchill:
Para obtener consideraciones adicionales, consulte la sección "Compatibilidad del cliente" de Security Assertion Markup Language (SAML) Authentication en el centro de ayuda de Windchill: