Resumen del inicio de sesión único
El inicio de sesión único (SSO) es una sesión y un mecanismo de autentificación de usuarios que permite utilizar un conjunto de credenciales para acceder a varias aplicaciones en una empresa, independientemente de la plataforma, la tecnología o el dominio. Una vez que se haya iniciado sesión en una aplicación con SSO activado, el usuario se conectará automáticamente a todas las aplicaciones para las que tenga los permisos adecuados. PTC recomienda SSO como método de autentificación.
 |
Si la aplicación se ha configurado con SSO, la autenticación multifactor (MFA) se puede configurar a través del proveedor de identidades (IdP), si el IdP soporta MFA. Las aplicaciones de PTC no gestionan MFA; esta se configura a través del IdP.
|
El flujo del proceso de información de SSO consiste en un intercambio de datos de autenticación y autorización. Cada uno de los componentes que se muestran en la siguiente tabla desempeña un rol en uno o ambos intercambios:
|
Término
|
Definición
|
||
|---|---|---|---|
|
Servidor de autenticación central (CAS)
|
Herramienta de terceros que permite gestionar la autenticación y la autorización de usuario en una federación de SSO. De este modo, los usuarios pueden acceder a los datos de múltiples servidores de recursos a través de la autorización delegada.
PTC soporta los siguientes servidores de autenticación centrales:
• PingFederate
• Microsoft Entra ID
◦ Para ThingWorx 9.2.0 y versiones posteriores, 9.1.4 y versiones posteriores y 9.0.9 y versiones posteriores
◦ Para ThingWorx Navigate 9.5.0 y versiones posteriores
◦ Para Windchill 12.0.2.2 y versiones posteriores
• Azure AD B2C
◦ Para ThingWorx versiones 9.6.0 y posteriores.
• AD FS
◦ Para ThingWorx 9.2.0 y versiones posteriores, 9.1.4 y versiones posteriores y 9.0.9 y versiones posteriores
|
||
|
Autorización abierta (OAuth)
|
OAuth es un estándar de la industria que utiliza tokens de acceso para permitir que una aplicación autentique en nombre de un usuario en otra aplicación y recupere datos que pertenecen al usuario.
El marco de SSO de PTC utiliza OAuth 2.0.
|
||
|
Lenguaje de marcado de aserción de seguridad (SAML)
|
SAML es un estándar de la industria de autentificación basada en XML que elimina la necesidad de utilizar contraseñas específicas de la aplicación. SAML utiliza tokens digitales de uso único que vencen para intercambiar datos de autenticación y autorización entre un proveedor de identidad y un proveedor de servicios que tienen una relación de confianza establecida.
El marco de SSO de PTC utiliza SAML 2.0.
|
||
|
OpenID Connect (OIDC)
|
OpenID Connect (OIDC) es una capa de identidad integrada sobre la estructura de OAuth 2.0. Permite a las aplicaciones de terceros verificar la identidad del usuario final y obtener información básica del perfil de usuario. OIDC utiliza tokens Web de JSON (JWT), que se pueden obtener mediante flujos que se ajustan a las especificaciones de OAuth 2.0.
|
||
|
Token de acceso
|
Cadena opaca o token JWT que se obtiene del servidor de autorización y que una aplicación presenta a otra aplicación para acceder a los datos del propietario del recurso.
|
||
|
Federación
|
Red de aplicaciones de software de una empresa que se han configurado para utilizar un CAS con el fin de activar el inicio de sesión único.
|
||
|
Proveedor de identidad (IdP)
|
Herramienta de terceros que gestiona los datos de identidad del usuario. El sistema de gestión de usuarios o Active Directory almacena los nombres de usuario, las contraseñas y otras credenciales. CAS hace referencia a IdP al autenticar un usuario.
|
||
|
Servidor de recursos (RS)
|
Aplicación de la federación de SSO que contiene datos protegidos.
|
||
|
Proveedor de servicios (SP)
|
Servidor Web desde el que el usuario accede a la información. Utiliza el protocolo de SAML para autenticar las conexiones del usuario en una federación de SSO. Un SP también solicita acceso a datos protegidos de un RP en nombre de un usuario autentificado.
|
||
|
Ámbito
|
Valores de cadena que se registran en el CAS, SP y RP. Proporciona un control de acceso adicional para los datos del propietario de recursos que están disponibles en el servidor de recursos. Cuando se concede autorización a un SP para el ámbito asociado al recurso protegido, los datos se ponen a disposición del SP solo si este también proporciona un token de acceso válido.
|
||
|
Agente de usuario
|
Explorador Web que el usuario (propietario de recursos) utiliza para acceder a la información. El agente de usuario actúa en nombre del usuario para realizar solicitudes de un SP y del CAS.
|