Configuration de PingFederate pour rediriger les demandes de connexion utilisateur vers votre IdP
Dans la configuration du fournisseur de services, configurez les connexions du fournisseur d'identité (IdP) pour PingFederate. Pour les IdP tiers, PingFederate agit en tant que fournisseur de services.
Dans ce processus, vous devez également effectuer les opérations suivantes :
• Exportez le fichier de métadonnées du fournisseur de services.
• Importez le fichier de métadonnées depuis l'IdP.
Dans l'architecture SSO que PTC a testé et recommande, PingFederate doit être configuré pour rediriger les demandes d'authentification utilisateur vers un service d'annuaire d'entreprise (fournisseurs d'identité (IdP) tiers). Cela permet de réduire les noeuds de l'architecture SSO qui doivent gérer les informations d'identification de connexion utilisateur, car le navigateur est redirigé pour une authentification auprès de votre IdP. Pour configurer PingFederate en tant que concentrateur de fédération, vous devez créer au moins deux connexions dans PingFederate :
• Créez une connexion IdP dans la configuration du fournisseur de services dans PingFederate. PingFederate utilise cette connexion pour se connecter à votre IdP.
• Créez une connexion de fournisseur de services sous la configuration IdP dans PingFederate. PingFederate utilise cette connexion pour se connecter au fournisseur de services.
Pour plus d'informations, consultez les sections suivantes de la
documentation de PingFederate :
• "Service provider SSO configuration"
• "Bridging an IdP to an SP"
• "Federation hub and authentication policy contracts"
|
Utilisez le modèle de connexion des profils SSO du navigateur uniquement pour configurer la connexion SSO. Vous ne devez pas créer d'adaptateurs de fournisseur de services pour les connexions SSO.
|
Le provisionnement utilisateur est une configuration avancée lors de la configuration SSO de
PingFederate. Il dépend du choix de l'IdP sélectionné par le client. Il fonctionne différemment avec chaque IdP. Pour plus d'informations sur le provisionnement utilisateur, consultez la rubrique
Provisionnement du Centre d'aide
ThingWorx.
Contrat de stratégie d'authentification
En outre, vous devez créer un contrat de stratégie d'authentification dans PingFederate qui relie les connexions entre les fournisseurs de services et le fournisseur d'identité. Le contrat de stratégie d'authentification permet de spécifier les attributs utilisateur à récupérer auprès de votre IdP et de les transmettre à l'application du fournisseur de services. Reportez-vous à la documentation de votre IdP pour connaître les attributs requis.
Lors de la configuration de SSO pour les produits PTC, les attributs suivants sont requis pour l'authentification utilisateur et doivent être exposés dans l'IdP et mappés dans votre contrat de stratégie d'authentification :
• uid
• subject
• email
• group
Par exemple, vous pouvez spécifier les valeurs suivantes pour Active Directory Federation Services (ADFS). Toutefois, le mappage peut varier en fonction de l'IdP choisi. Vous devez déterminer le mappage en fonction de vos besoins.
Attribut
|
Valeur
|
subject
|
SAML_SUBJECT (Assertion)
|
uid
|
http://schemas.xmlsoap.org/ws/2005/05/Identity/claims/name (Assertion)
|
email
|
http://schemas.xmlsoap.org/claims/EmailAddress (Assertion)
|
group
|
http://schemas.xmlsoap.org/claims/Group (Assertion)
|
Pour implémenter un contrat de stratégie d'authentification, procédez comme suit :
1. Connectez-vous à la console d'administration de PingFederate en tant qu'administrateur.
2. Dans le menu SP Configuration, dans la section AUTHENTICATION POLICIES, cliquez sur Policy Contracts.
3. Dans la page Authentication Policy Contracts, cliquez sur Create New Contract.
4. Ajoutez les attributs requis (en fonction de ceux requis par PTC répertoriés précédemment, et ceux requis par votre IdP), puis cliquez sur Done.
5. Utilisez ce contrat de stratégie lors de la configuration de votre connexion IdP à votre service d'annuaire d'entreprise.
|
Une fois votre connexion IdP créée, vous pouvez confirmer quels attributs sont échangés en consultant la section Contract Fulfillment de l'onglet Activation & Summary de votre connexion IdP.
|