Présentation de l'authentification unique
L'authentification unique (SSO) est un mécanisme d'authentification de session et d'utilisateur qui vous permet d'utiliser un seul jeu d'informations d'identification pour accéder à plusieurs applications au sein d'une entreprise, quelle que soit la plateforme, la technologie ou le domaine. Une fois que vous êtes connecté à une application avec SSO, vous êtes automatiquement connecté à toutes les autres applications pour lesquelles vous disposez des autorisations appropriées. PTC recommande l'authentification SSO.
 |
Si votre application est configurée avec l'authentification SSO, l'authentification multifactorielle (MFA) peut être configurée par le fournisseur d'identité (IdP) sous réserve que celui-ci prenne en charge l'authentification MFA. Les applications PTC ne gèrent pas lʹauthentification MFA ; elle est configurée par l'IdP.
|
Le flux de processus d'information SSO consiste en un échange de données d'authentification et d'autorisation. Chacun des composants répertoriés dans la table ci-dessous joue un rôle dans l'un des échanges (ou dans les deux) :
|
Terme
|
Définition
|
||
|---|---|---|---|
|
Serveur d'authentification centralisée (CAS)
|
Outil tiers gérant l'authentification et l'autorisation des utilisateurs dans une fédération SSO. Il permet aux utilisateurs d'accéder aux données de plusieurs serveurs de ressources via l'autorisation déléguée.
PTC prend en charge les serveurs d'authentification centraux suivants :
• PingFederate
• Microsoft Entra ID
◦ Pour ThingWorx 9.2.0 et versions ultérieures, 9.1.4 et versions ultérieures, 9.0.9 et versions ultérieures
◦ Pour ThingWorx Navigate 9.5.0 et versions ultérieures
◦ Pour Windchill 12.0.2.2 et versions ultérieures
• Azure AD B2C
◦ Pour ThingWorx 9.6.0 et versions ultérieures
• AD FS
◦ Pour ThingWorx 9.2.0 et versions ultérieures, 9.1.4 et versions ultérieures, 9.0.9 et versions ultérieures
|
||
|
OAuth (Open Authorization)
|
OAuth est une norme industrielle qui utilise des jetons d'accès pour permettre à une application de s'authentifier au nom d'un utilisateur dans une autre application et récupérer les données appartenant à l'utilisateur.
L'infrastructure SSO PTC utilise OAuth 2.0.
|
||
|
SAML (Security Assertion Markup Language)
|
SAML est une norme industrielle d'authentification basée sur XML qui évite d'avoir besoin de mots de passe spécifiques à des applications. SAML utilise des jetons numériques à utilisation unique et à date d'expiration pour échanger des données d'authentification et d'autorisation entre un fournisseur d'identité et un fournisseur de services entre lesquels existe une relation d'approbation établie.
L'infrastructure SSO PTC utilise SAML 2.0.
|
||
|
OpenID Connect (OIDC)
|
OpenID Connect (OIDC) est une couche d'identité intégrée à l'infrastructure OAuth 2.0. Elle permet aux applications tierces de vérifier l'identité de l'utilisateur final et d'obtenir des informations de base sur son profil. OIDC utilise des jetons Web JSON (JWT), que vous pouvez obtenir à l'aide de flux conformes aux spécifications OAuth 2.0.
|
||
|
Jeton d'accès
|
Chaîne opaque ou jeton JWT obtenue du serveur d'autorisation qu'une application présente à une autre application pour accéder aux données du propriétaire des ressources.
|
||
|
Fédération
|
Réseau d'applications logicielles d'une entreprise qui ont été configurées pour utiliser un CAS afin d'activer l'authentification unique.
|
||
|
Fournisseur d'identité (IdP)
|
Outil tiers qui gère les données d'identité des utilisateurs. Le système de gestion des utilisateurs ou Active Directory stocke les noms d'utilisateur, les mots de passe et d'autres informations d'identification. Le CAS référence l'IdP lors de l'authentification d'un utilisateur.
|
||
|
Serveur de ressources (RS)
|
Application dans la fédération SSO qui contient des données protégées.
|
||
|
Fournisseur de services (SP)
|
Serveur Web à partir duquel l'utilisateur accède aux informations. Il utilise le protocole SAML afin d'authentifier les connexions utilisateur dans une fédération SSO. Un fournisseur de services demande également l'accès aux données protégées d'un fournisseur de ressources au nom d'un utilisateur authentifié.
|
||
|
Etendue
|
Valeurs de chaîne que vous enregistrez dans le CAS, le fournisseur de services et le fournisseur de ressources. Cela offre un contrôle d'accès supplémentaire pour les données du propriétaire des ressources qui sont disponibles dans le serveur de ressources. Lorsqu'un fournisseur de services reçoit une approbation pour l'étendue associée à la ressource protégée, les données sont mises à la disposition du fournisseur de services uniquement s'il fournit également un jeton d'accès valide.
|
||
|
Agent utilisateur
|
Le navigateur Web que l'utilisateur (propriétaire des ressources) utilise afin d'accéder aux informations. L'agent utilisateur agit au nom de l'utilisateur pour envoyer des demandes à partir d'un fournisseur de services et du CAS.
|