Création de clients OAuth pour les produits PTC
Vous pouvez créer des clients OAuth dans PingFederate qui serviront de points de terminaison auxquels les produits PTC se connecteront lors de l'obtention ou de la vérification des jetons d'accès. Il est recommandé de créer un client OAuth distinct pour chaque rôle joué par chaque produit.
Prérequis : créer une instance de gestion des jetons d'accès
Les instances de gestion des jetons d'accès vous permettent de configurer des stratégies de jeton d'accès et des contrats d'attribut pour différents clients OAuth. L'instance de gestion des jetons d'accès que vous créez dans la procédure suivante sera utilisée pour les clients OAuth que vous créez pour les produits PTC. Pour plus d'informations sur les instances de gestion des jetons d'accès et leur configuration, consultez la section "Access token management" de la documentation de PingFederate.
Les paramètres suivants sont recommandés lors de la création d'une instance de gestion des jetons d'accès pour Internally Managed Reference Tokens pour les produits PTC.
 |
Le jeton JWT avec autorisation OAuth déléguée fonctionne uniquement avec PingFederate 11.x.x. Le chiffrement du jeton JWT n'est pas pris en charge dans Windchill.
|
1. Dans le menu principal de PingFederate, cliquez sur > > .
2. Dans l'onglet Type :
a. Spécifiez un nom et un ID d'instance.
b. Dans le champ Type, sélectionnez Internally Managed Reference Tokens.
c. Dans le champ Parent Instance, sélectionnez None.
3. Cliquez sur Next pour accepter les valeurs par défaut de l'onglet Instance Configuration.
4. Dans l'onglet Access Token Attribute Contract, ajoutez un nom d'utilisateur dans Username.
5. Cliquez sur Next dans les onglets Resource URIs et Access Control pour accepter les paramètres par défaut.
Les paramètres suivants sont recommandés lors de la création d'une instance de gestion des jetons d'accès pour JSON WEB TOKENS pour les produits PTC :
1. Dans le menu principal de PingFederate, cliquez sur > > .
2. Dans l'onglet Type :
a. Spécifiez un nom et un ID d'instance.
b. Dans le champ Type, sélectionnez JSON WEB TOKENS.
c. Dans l'onglet Instance Configuration, sélectionnez Symmetric keys ou Certificate pour signer le jeton JWT.
▪ Configurations avec des clés symétriques :
1. Dans l'onglet Instance Configuration, cliquez sur Add a new row to 'Symmetric Keys'. Renseignez les champs Key ID, Key et Encoding. Pour le codage, seul Base64[url] est pris en charge. Cliquez sur Update.
2. Sélectionnez JWS ALGORITHM. Définissez la valeur sur HMAC using SHA-XXX.
3. Dans ACTIVE SYMMETRIC KEY ID, sélectionnez l'ID que vous avez spécifié à l'étape précédente.
4. Cliquez sur Show Advanced Fields.
5. Renseignez les champs ISSUER CLAIM VALUE et AUDIENCE CLAIM VALUE. Le champ TYPE HEADER VALUE doit être défini sur JWT.
▪ Configurations avec des certificats :
1. Dans l'onglet Instance Configuration, cliquez sur Add a new row to 'Certificates'. Renseignez les champs Key ID et Certificate. Cliquez sur Update.
2. Sélectionnez JWS ALGORITHM. Définissez la valeur sur RSA using SHA-XXX.
3. Dans ACTIVE SIGNING CERTIFICATE KEY ID, sélectionnez l'ID que vous avez spécifié à l'étape précédente.
4. Cliquez sur Show Advanced Fields.
5. Renseignez les champs ISSUER CLAIM VALUE et AUDIENCE CLAIM VALUE. Le champ TYPE HEADER VALUE doit être défini sur JWT.
6. Spécifiez la valeur du champ facultatif JWKS ENDPOINT PATH. Si vous ne spécifiez pas cette valeur ici, vous devrez fournir le certificat de signature lors de la configuration de l'autorisation OAuth déléguée.
Prérequis : configurer le mappage des jetons d'accès
Un mappage des jetons d'accès est nécessaire pour identifier les attributs qui seront fournis avec les jetons d'accès. Pour configurer ce mappage pour les produits PTC, l'attribut Nom d'utilisateur doit être mappé à USER_KEY. Pour plus d'informations sur le mappage des jetons d'accès, reportez-vous à la section "Manage access token mappings" de la documentation de PingFederate.
Les paramètres suivants sont recommandés lors de la configuration d'un mappage des jetons d'accès pour les produits PTC :
1. Dans le menu principal de PingFederate, sélectionnez > .
2. Sur la page Access Token Attribute Mapping :
a. Pour Context, sélectionnez Default.
b. Pour Access Token Manager, sélectionnez l'instance de gestion des jetons d'accès que vous avez créée dans la procédure précédente.
c. Cliquez sur Add Mapping.
3. Dans l'onglet Attribute Sources & User Lookup, cliquez sur Next pour accepter les paramètres par défaut.
4. Dans l'onglet Contract Fulfillment, pour l'entrée de contrat Nom d'utilisateur, sélectionnez Persistent Grant dans la colonne Source et USER_KEY dans la colonne Value.
5. Dans l'onglet Issuance Criteria, cliquez sur Next pour accepter les paramètres par défaut.
6. Cliquez sur Done, puis sur Save.
Vous pouvez maintenant créer un client OAuth pour le produit PTC dans votre structure SSO.