Installation de PingFederate
La liste ci-dessous présente une vue d'ensemble des étapes à suivre pour installer PingFederate. Chaque section contient les étapes que vous devez suivre pour terminer la tâche.
Etape 1 : Téléchargement de PingFederate
Téléchargez la dernière build de la version mineure et le correctif de PingFederate pris en charge par votre produit, comme indiqué dans sa configuration système requise.
Etape 2 : Obtention de la licence PingFederate
 |
PTC ne fournit plus de produit ou de licences PingFederate sur la page dédiée aux téléchargements PTC. A compter du 1er avril 2022, les droits pour les nouveaux produits PTC ne comprendront pas de licence PingFederate par défaut. Les nouveaux clients qui choisissent d'utiliser PingFederate doivent acheter une licence PingFederate directement auprès de PingIdentity. Les clients PTC qui avaient droit à une licence avant le 1er avril 2022 peuvent toujours demander une licence PingFederate (et un renouvellement de licence) en contactant le support technique PTC.
Les clients PTC Cloud bénéficieront d'une licence PingFederate si cela est requis dans le cadre de l'offre PTC fournie.
|
Etape 3 : Installation de PingFederate
Pour obtenir les instructions d'installation de PingFederate 11.0, consultez la rubrique Installation de PingFederate.
Etape 4 : Application du correctif à l'installation de PingFederate
Après l'installation de PingFederate, vous devez appliquer le correctif PingFederate correspondant à la version de PingFederate installée. Le correctif doit être appliqué conformément aux instructions fournies par PingFederate.
Etape 5 : Configuration de PingFederate et déploiement du fichier de licence PingFederate
1. A partir d'une fenêtre d'invite de commande, accédez à PingFederate/bin, puis exécutez la commande run.bat sur Windows ou run.sh sur Linux pour démarrer PingFederate.
Le démarrage de PingFederate peut prendre un certain temps.
2. Lorsque le message PingFederate running est renvoyé, ouvrez l'URL de PingFederate au format suivant dans votre navigateur : https://<nomhôte.domaine.com>:9999/pingfederate/.
3. Si des invites d'erreur de certificat s'affichent, acceptez-les pour poursuivre l'installation.
4. Suivez les instructions des écrans Setup de PingFederate jusqu'à la finalisation de la configuration.
5. Confirmez que PingFederate a été configuré en vous connectant via une nouvelle session de navigateur. Accédez à l'URL PingFederate dans le format https://<nomhôte.domaine.com>:9999/pingfederate/, puis connectez-vous à l'aide du nom d'utilisateur et du mot de passe d'administrateur que vous venez de créer.
Etape 6 : Définition de l'ID d'entité SAML 2.0
|
|
Dans PingFederate 11, entityID n'est pas défini comme faisant partie des réglages initiaux de PingFederate définis lors des étapes précédentes. Suivez les étapes mentionnées ci-dessous pour définir l'entityID.
|
1. Accédez à la console d'administration PingFederate.
2. Lancez une recherche sur Protocol Settings. Ouvrez les résultats de la recherche.
3. Entrez votre entityID dans SAML 2.0 ENTITY ID sous l'onglet Federation Info. Cliquez sur Save.
Etape 7 : Configuration complète inter-domaines pour l'attribut de cookie SameSite
|
|
Si vous utilisez PingFederate 11, l'attribut sameSite existe déjà et présente la valeur par défaut "None" dans le fichier jetty-runtime.xml. Les étapes 1 et 2 ne sont pas requises dans ce cas.
<Call name="setAttribute">
<Arg>org.eclipse.jetty.cookie.sameSiteDefault</Arg> <Arg>None</Arg> </Call> |
Si PingFederate et/ou ThingWorx et/ou l'IdP se trouvent dans des domaines différents, vous devez activer l'attribut de cookie SameSite. Pour ce faire, dans le fichier <dossier d'installation de PingFederate>/etc/jetty-runtime.xml, définissez la valeur de l'attribut sameSiteSpecifier dans l'élément baseHttpConfig sur None.
<New id="baseHttpConfig" class="org.eclipse.jetty.server.HttpConfiguration">
<!-- ... -->
<Set name="headerCacheSize">512</Set>
<Set name="sameSiteSpecifier">None</Set>
<!-- … -->
</New>
<!-- ... -->
<Set name="headerCacheSize">512</Set>
<Set name="sameSiteSpecifier">None</Set>
<!-- … -->
</New>
|
|
Pour compléter la prise en charge inter-domaines, vous devez appliquer des modifications similaires à Tomcat. Pour plus d'informations, consultez l'article de support technique PTC.
|
Etape 8 : Configuration de PingFederate pour toujours renvoyer l'étendue
Créez ou modifiez le fichier oauth-scope-settings.xml disponible à l'emplacement <PingFederate Installation Folder>/server/default/data/config-store comme suit :
<?xml version="1.0" encoding="UTF-8"?>
<z:config xmlns:z="http://www.sourceid.org/2004/05/config">
<z:item name="always-return-scope-for-authz-code">true</z:item>
</z:config>
<z:config xmlns:z="http://www.sourceid.org/2004/05/config">
<z:item name="always-return-scope-for-authz-code">true</z:item>
</z:config>
Etape 9 : Redémarrage de PingFederate
Redémarrez le serveur PingFederate.