Définition des propriétés utilisateur
Vous devez spécifier des valeurs de propriétés dans le fichier user.properties en fonction de vos besoins métier. Ce fichier se trouve dans <PINGFEDERATE_SCRIPT_HOME>, le répertoire dans lequel vous avez enregistré les scripts d'automatisation de la configuration PingFederate.
 |
Indiquez la valeur de chaque propriété entre des guillemets simples.
|
Le fichier user.properties contient des paramètres pour les propriétés suivantes. Cliquez sur les liens pour afficher les différentes propriétés, leur description et des exemples de valeurs.
Propriétés utilisateur globales : applicables à toute configuration IdP
Connectivité PingFederate
La table suivante décrit les propriétés que vous devez spécifier pour configurer la connectivité avec PingFederate, tout en fournissant un exemple pour chaque propriété.
Propriété | Description | Exemple | ||
|---|---|---|---|---|
global_pingFedHost | Spécifie le nom de domaine complet sur lequel s'exécute la console d'administration PingFederate. Le format de la valeur de propriété est <nom de domaine complet du serveur>. | global_pingFedHost='pingfed.yourorg.com' | ||
global_pingFedAdminPort | Spécifie le port sur lequel s'exécute la console d'administration PingFederate. Le format de la valeur de propriété est <port du serveur>. | global_pingFedAdminPort='9999' | ||
global_pingFedIdpEntityId | Spécifie l'identificateur unique de l'entité Security Assertion Markup Language 2.0 (SAML 2.0) qui représente PingFederate. | global_pingFedIdpEntityId='ptc-pingfed' | ||
global_pingFed_admin_certificate | Spécifie le nom du fichier de certificat SSL (Secure Sockets Layer) approuvé par les scripts d'automatisation lors de la réalisation d'appels d'API administrateur. La spécification d'une valeur pour cette propriété est facultative mais recommandée, car l'utilisation du certificat permet la communication SSL sécurisée entre PingFederate et les scripts.
| global_pingFed_admin_certificate='pingfed_admin_ssl.crt' |
Certificats SSL pour la couche d'application (chiffrement et signature SAML)
La table ci-après décrit les propriétés que vous devez spécifier afin de configurer les certificats SSL pour la couche d'application (chiffrement et signature SAML), tout en fournissant un exemple pour chaque propriété. Pour plus d'informations, reportez-vous à la section "Manage digital signing certificates and decryption keys" de la documentation de PingFederate.
Propriété | Description | Exemple |
|---|---|---|
create_pingfed_signing_cert_organization | Spécifie le nom de l'organisation ou de l'entreprise qui crée le certificat. | create_pingfed_signing_cert_organization='ptc' |
create_pingfed_signing_cert_organizationUnit | Spécifie l'unité précise au sein de l'organisation. | create_pingfed_signing_cert_organizationUnit='ent-sso' |
create_pingfed_signing_cert_city | Spécifie la ville ou tout autre lieu principal où l'entreprise opère. | create_pingfed_signing_cert_city='Blaine' |
create_pingfed_signing_cert_state | Spécifie l'Etat ou toute autre unité politique dans laquelle se trouve le lieu. | create_pingfed_signing_cert_state='MN' |
create_pingfed_signing_cert_country | Spécifie le code du pays dans lequel l'entreprise est basée. Ce code est composé de deux lettres. | create_pingfed_signing_cert_country='US' |
create_pingfed_signing_cert_validDays | Spécifie la durée de validité du certificat. | create_pingfed_signing_cert_validDays='36500' |
Connexion au fournisseur de services
La table suivante décrit les propriétés que vous devez spécifier pour configurer la connectivité avec le fournisseur de services, tout en fournissant un exemple pour chaque propriété. Pour plus d'informations, reportez-vous à la section "Manage SP connections" de la documentation de PingFederate.
Propriété | Description | Exemple |
|---|---|---|
create_sp_connection_baseUrl | Spécifie l'URL de base qui héberge le serveur pour votre fournisseur de services. Le format de la valeur de propriété est le suivant : https://<nom de domaine complet du serveur>:<port du serveur>. | create_sp_connection_baseUrl='https://thingworx.yourorg.com:8443' où <fournisseur_de_services> peut être ThingWorx, Windchill RV&S ou Windchill. |
create_sp_connection_input_sign_verif_cert | Spécifie le nom de fichier du certificat utilisé pour vérifier la signature numérique du jeton SAML entrant. | create_sp_connection_input_sign_verif_cert='twx_sp_signing.crt' où <nom spécifique au fournisseur de services> peut être twx, ilm ou wnc. |
create_sp_connection_entityId | Spécifie l'identité unique de votre fournisseur de services. La valeur de propriété de votre fournisseur de services doit être https://<nom de domaine complet du serveur>:<port du serveur>/saml/metadata. | Cet exemple est spécifique à Windchill RV&S. create_sp_connection_entityId='https://integrity.yourorg.com:8443/saml/metadata' |
Connexions client OAuth avec ThingWorx en tant que fournisseur de services
La table suivante décrit les propriétés que vous devez spécifier pour configurer les connexions client OAuth avec ThingWorx comme fournisseur de services, tout en fournissant un exemple pour chaque propriété. Pour plus d'informations, reportez-vous à la section "Configure an OAuth client" de la documentation de PingFederate.
Propriété | Description | Exemple |
|---|---|---|
create_twx_sp_oauth_client_description | Spécifie la description de la fonction de l'application cliente. Cette description s'affiche lorsque l'utilisateur est invité à donner son autorisation. | create_twx_sp_oauth_client_description='Thingworx service provider OAuth client.' |
create_twx_sp_oauth_client_auth_secret_value | Spécifie la clé du client OAuth. | create_twx_sp_oauth_client_auth_secret_value='twx-sp-client_1234' |
create_twx_sp_oauth_client_redirectURI | Spécifie l'URI vers lequel le serveur d'autorisation OAuth peut rediriger l'agent utilisateur du propriétaire de la ressource après l'obtention de l'autorisation. Le format de la valeur de propriété est le suivant : https://<nom de domaine complet du serveur>:<port du serveur>/Thingworx/oauth2_ authorization_ code_redirect. | create_twx_sp_oauth_client_redirectURI='https://thingworx.yourorg.com:8443/ Thingworx/oauth2_ authorization_ code_redirect' |
Connexions client OAuth avec Windchill en tant que serveur de ressources
La table suivante décrit les propriétés que vous devez spécifier pour configurer des connexions client OAuth avec Windchill comme serveur de ressources, et fournit un exemple pour chaque propriété. Pour plus d'informations, reportez-vous à la section "Configure an OAuth client" de la documentation de PingFederate.
Propriété | Description | Exemple |
|---|---|---|
create_wnc_oauth_client_description | Spécifie la description de la fonction de l'application cliente. Cette description s'affiche lorsqu'un utilisateur est invité à donner son autorisation. | create_wnc_rp_oauth_client_description='Windchill resource server OAuth client.' |
create_wnc_oauth_client_auth_secret_value | Spécifie la clé du client OAuth. | create_wnc_rp_oauth_client_auth_secret_value='wnc-rp-client_1234' |
Connexions client OAuth avec Windchill RV&S comme serveur de ressources
La table suivante décrit les propriétés que vous devez spécifier pour configurer des connexions client OAuth avec Windchill RV&S comme serveur de ressources, et fournit un exemple pour chaque propriété. Pour plus d'informations, reportez-vous à la section "Configure an OAuth client" de la documentation de PingFederate.
Propriété | Description | Exemple |
|---|---|---|
create_ilm_oauth_client_description | Spécifie la description de la fonction de l'application cliente. Cette description s'affiche lorsque l'utilisateur est invité à donner son autorisation. | create_ilm_rp_oauth_client_description='IntegrityLifecycle Manager resource server OAuth client.' |
create_ilm_oauth_client_auth_secret_value | Spécifie la clé du client OAuth. | create_ilm_rp_oauth_client_auth_secret_value='olm-rp-client_1234' |
Gestion des étendues
La table suivante décrit les propriétés que vous devez spécifier pour enregistrer des étendues dans PingFederate, tout en fournissant un exemple pour chaque propriété. Pour plus d'informations, reportez-vous à la section "Scopes" de la documentation de PingFederate.
Propriété | Description | Exemple |
|---|---|---|
create_oauth_default_scope_description | Spécifie la description des autorisations implicites lorsqu'aucune valeur d'étendue n'est indiquée ou en plus de toute valeur. Cette description s'affiche lorsque l'utilisateur est invité à donner son autorisation. | create_oauth_default_scope_description='Default Scope' |
create_oauth_twx_scope | Spécifie les étendues pour ThingWorx en tant que fournisseur de services. | create_oauth_twx_scope='THINGWORX' |
create_oauth_twx_read_scope_description | Spécifie la description de la valeur d'étendue de ThingWorx. Cette description s'affiche lorsque l'utilisateur est invité à donner son autorisation. | create_oauth_twx_scope_description='Thingworx Scope' |
create_oauth_wnc_read_scope | Spécifie les étendues pour Windchill en tant que serveur de ressources. | create_oauth_wnc_read_scope='WINDCHILL' |
create_oauth_wnc_read_scope_description | Spécifie la description de la valeur d'étendue de Windchill. Cette description s'affiche lorsque l'utilisateur est invité à donner son autorisation. | create_oauth_wnc_scope_description='Windchill Scope' |
create_oauth_ilm_scope | Spécifie les étendues pour Windchill RV&S en tant que fournisseur de services. | create_oauth_ilm_ scope='INTEGRITY_ READ' |
create_oauth_ilm_ read_scope_ description | Spécifie la description de la valeur d'étendue de Windchill RV&S. Cette description s'affiche lorsque l'utilisateur est invité à donner son autorisation. | create_oauth_ilm_ scope_ description= 'Integrity LM Scope' |
Propriétés utilisateur spécifiques à PingFederate : s'appliquent lorsque vous configurez PingFederate en tant qu'IdP
Magasin de données
Vous devez configurer un magasin de données uniquement lorsque vous sélectionnez PingFederate en tant qu'IdP.
La table ci-après décrit les propriétés que vous devez spécifier pour configurer un serveur d'annuaire LDAP (Lightweight Directory Access Protocol) en tant que magasin de données, tout en fournissant un exemple pour chaque propriété. Ce magasin de données est utilisé avec le validateur des informations d'identification du mot de passe LDAP afin de faire valider les informations d'identification de l'utilisateur par PingFederate pour l'authentification des utilisateurs. Pour plus d'informations, reportez-vous à la section "Manage data stores" de la documentation de PingFederate.
Propriété | Description | Exemple |
|---|---|---|
create_ldap_datastore_hostname | Spécifie le nom DNS (Domain Name System) ou l'adresse IP (Internet Protocol) du magasin de données pouvant inclure un numéro de port. Le format de la valeur de propriété est le suivant : <nom de domaine complet ldap>:<port ldap>. | create_ldap_datastore_hostname='windchillDS.ptc.com:389' OU create_ldap_ datastore_ hostname= 'integrityLDAP.ptc.com:389' |
create_ldap_datastore_userDN | Spécifie le nom d'utilisateur requis pour accéder au magasin de données. | create_ldap_datastore_userDN='cn=Manager' |
create_ldap_datastore_password | Spécifie le mot de passe requis pour accéder au magasin de données. | create_ldap_datastore_password='password' |
Validateur des informations d'identification du mot de passe LDAP
La configuration d'un validateur des informations d'identification du mot de passe LDAP n'est requise que si vous sélectionnez PingFederate en tant qu'IdP.
La table suivante décrit les propriétés que vous devez spécifier pour configurer le validateur des informations d'identification du mot de passe LDAP, tout en fournissant un exemple pour chaque propriété. Pour plus d'informations, reportez-vous à la section "Manage password credential validators" de la documentation de PingFederate.
Propriété | Description | Exemple |
|---|---|---|
create_ldap_pcv_searchBase | Spécifie l'emplacement du serveur d'annuaire LDAP à partir duquel la recherche commence. | create_ldap_pcv_searchBase='cn=Windchill_11.0,o=ptc' OU create_ldap_pcv_searchBase='cn=IntegrityOU,o=ptc' |
create_ldap_pcv_searchFilter | Spécifie la requête LDAP permettant de localiser un enregistrement utilisateur. | create_ldap_pcv_searchFilter='uid=$<nom utilisateur>' |
create_ldap_pcv_scopeOfSearch | Spécifie le niveau de recherche à appliquer dans la base de recherche. | create_ldap_pcv_scopeOfSearch='Subtree' |
Adaptateur IdP
Vous devez configurer un adaptateur IdP uniquement lorsque vous sélectionnez PingFederate en tant qu'IdP.
La table suivante décrit les propriétés que vous devez spécifier afin de configurer un adaptateur IdP pour PingFederate, tout en fournissant un exemple pour chaque propriété. Pour plus d'informations, reportez-vous à la section "Manage IdP adapters" de la documentation de PingFederate.
Propriété | Description | Exemple |
|---|---|---|
create_idp_adapter_attributeSource_id | Spécifie l'identificateur unique de la source d'attribut, un magasin de données spécifique ou des emplacements de répertoire contenant les informations qui peuvent être nécessaires pour le contrat d'adaptateur IdP ou le processus d'autorisation de jeton. | create_idp_adapter_attributeSource_id='uid' |
create_idp_adapter_attributeSource_description | Spécifie la description de la source de l'attribut. | create_idp_adapter_attributeSource_description='uid' |
create_idp_adapter_attributeSource_baseDn | Spécifie le nom de domaine de base de la source de l'attribut. | create_idp_adapter_attributeSource_baseDn='cn=Windchill_11.0,o=ptc' où <nom> peut être Windchill, IntegrityOU, etc. |
create_idp_adapter_attributeSource_SearchScope | Spécifie l'étendue de la recherche. Les valeurs possibles sont Subtree, One level et Base. | create_idp_adapter_attributeSource_SearchScope='SUBTREE' |
create_idp_adapter_attributeSource_SearchFilter | Spécifie le filtre de recherche à utiliser pour la recherche. | create_idp_adapter_attributeSource_SearchFilter='uid=$<nom utilisateur>' |
Propriétés utilisateur spécifiques à ADFS : s'appliquent lorsque vous configurez ADFS en tant qu'IdP
Connexions IdP pour ADFS
La table suivante décrit les propriétés que vous devez spécifier afin de configurer les connexions IdP pour ADFS, tout en fournissant un exemple pour chaque propriété.
Propriété | Description | Exemple |
|---|---|---|
create_idp_adfs_connection_entityId | Spécifie l'identificateur d'entité requis pour configurer ADFS en tant que fournisseur d'identité. | create_idp_adfs_connection_entityId=‘http://adfs.org.io/adfs/services/trust’ |
create_idp_adfs_connection_baseUrl | Spécifie l'URL de base qui héberge le serveur pour votre fournisseur d'identité. Le format de la valeur de propriété est le suivant : https://<nom de domaine complet du serveur>:<port du serveur>. | create_idp_adfs_connection_baseUrl =‘https://adfs.org.io’ La spécification d'un port par défaut n'est pas obligatoire. |
create_idp_adfs_connection_input_sign_verif_cert | Spécifie le nom de fichier du certificat utilisé pour vérifier la signature numérique du jeton SAML entrant. | create_idp_adfs_connection_input_sign_verif_cert =’adfs_idp_signing.crt’ |
Propriétés utilisateur spécifiques à Generic SAML : s'appliquent lorsque vous configurez un IdP SAML 2.0 générique.
Connexions IdP pour un IdP SAML 2.0 générique
La table suivante décrit les propriétés que vous devez spécifier afin de configurer les connexions IdP pour un IdP SAML 2.0 générique, tout en fournissant un exemple pour chaque propriété.
Propriété | Description | Exemple |
|---|---|---|
create_idp_saml2_connection_entityId | Spécifie l'identificateur d'entité requis pour configurer le fournisseur d'identité. | create_idp_saml2_connection_entityId= 'http://www.okta.com/exk15nb0a9fkh36Aq2p7' |
create_idp_saml2_connection_baseUrl | Spécifie l'URL de base qui héberge le serveur pour votre fournisseur d'identité. Le format de la valeur de propriété est le suivant : https://<nom de domaine complet du serveur>:<port du serveur>. | create_idp_saml2_connection_baseUrl='https://org.okta.com' La spécification d'un port par défaut n'est pas obligatoire. |
create_idp_saml2_connection_input_sign_ verif_cert | Spécifie le nom de fichier du certificat utilisé pour vérifier la signature numérique du jeton SAML entrant. | create_idp_saml2_connection_input_sign_verif_cert= 'saml2_idp_signing.crt' |
create_idp_saml2_connection_assertion_ consumer_service_url | Spécifie l'URL de la ressource HTTP (Hypertext Transfer Protocol) qui traite les messages du protocole SAML. Cette URL renvoie un cookie qui représente les informations extraites du message. | create_idp_saml2_connection_assertion_consumer_service_url= '/app/org399352_pingfed_1/exk15nb0a9fkh36Aq2p7/sso/saml' |
create_idp_saml2_attr_uid | Spécifie le nom du contrat d'attribut, un attribut étendu dans l'assertion SAML qu'il enverra en tant qu'IdP au fournisseur de services, où le fournisseur de services peut être ThingWorx, Windchill ou PingFederate. | create_idp_saml2_attr_uid='uid' |
create_idp_saml2_attr_group | Spécifie le groupe du contrat d'attribut, un attribut étendu dans l'assertion SAML qu'il enverra en tant qu'IdP au fournisseur de services, où le fournisseur de services peut être ThingWorx, Windchill ou PingFederate. Si un attribut de groupe n'est pas disponible à partir de l'IdP ou si vous ne souhaitez pas le mapper, vous pouvez supprimer cette propriété du fichier user.properties. | create_idp_saml2_attr_group='group' |
create_idp_saml2_attr_email | Spécifie l'adresse électronique du contrat d'attribut, un attribut étendu dans l'assertion SAML qu'il enverra en tant qu'IdP au fournisseur de services, où le fournisseur de services peut être ThingWorx, Windchill ou PingFederate. Si un attribut d'e-mail n'est pas disponible à partir de l'IdP ou si vous ne souhaitez pas le mapper, vous pouvez supprimer cette propriété du fichier user.properties. | create_idp_saml2_attr_email='emailaddress' |