Configurare PingFederate per reindirizzare le richieste di accesso utente al proprio IdP
Nella configurazione del provider di servizi impostare le connessioni del provider di identificativi (IdP) per PingFederate. Per gli IdP di terze parti, PingFederate funge da provider di servizi.
In questo processo è inoltre necessario eseguire le operazioni descritte di seguito.
• Configurare il certificato di crittografia a livello dell'applicazione per il provider di servizi. Per ulteriori informazioni, vedere Configurare il certificato SSL per la crittografia e la firma a livello dell'applicazione.
• Esportare il file di metadati del provider di servizi.
• Importare il file di metadati dall'IdP.
Nell'architettura SSO testata e consigliata da PTC, PingFederate deve essere configurato in modo da reindirizzare le richieste di autenticazione utente a un servizio di elenco aziendale (provider di identificativi (IdP) di terze parti). In questo modo si riducono i nodi all'interno dell'architettura SSO che devono gestire le credenziali di accesso utente in quanto il browser viene reindirizzato per l'autenticazione con l'IdP. Per configurare PingFederate come hub federato, è necessario creare almeno due connessioni in PingFederate.
• Creare una connessione IdP nella configurazione del provider di servizi in PingFederate. PingFederate utilizza questa connessione per connettersi all'IdP.
• Creare una connessione del provider di servizi nella configurazione IdP in PingFederate. PingFederate utilizza questa connessione per connettersi al provider di servizi.
Per ulteriori informazioni, vedere gli argomenti seguenti nella documentazione di PingFederate:
• "Service provider SSO configuration"
• "Bridging an IdP to an SP"
• "Federation hub and authentication policy contracts"
 |
Utilizzare il modello di connessione dei profili SSO del browser solo per configurare la connessione SSO. Non è necessario creare adattatori SP per le connessioni SSO.
|
Il provisioning degli utenti è una configurazione avanzata dell'impostazione SSO di PingFederate. Il provisioning degli utenti dipende dall'IdP che viene scelto dal cliente. Funziona in modo diverso con ogni IdP. Per ulteriori informazioni sul provisioning degli utenti, vedere Provisioning in ThingWorx Help Center.
Contratto di regole di autenticazione
Inoltre è necessario creare un contratto di regole di autenticazione in PingFederate che stabilisca un ponte tra la connessione del provider di servizi e la connessione IdP. Questo contratto viene utilizzato per specificare gli attributi utente da recuperare dall'IdP e da trasmettere all'applicazione del provider di servizi. Per tutti gli attributi obbligatori, fare riferimento alla documentazione dell'IdP.
Durante la configurazione del protocollo SSO per i prodotti PTC, gli attributi seguenti sono necessari per l'autenticazione dell'utente e devono essere esposti nell'IdP, quindi mappati nel contratto di regole di autenticazione:
• uid
• subject
• email
• group
Ad esempio, è possibile immettere i valori riportati di seguito per Active Directory Federation Services (ADFS). Tuttavia la mappatura può variare a seconda dell'IdP scelto. È necessario determinare la mappatura in base alle esigenze.
|
Attributo
|
Valore
|
|---|---|
|
subject
|
SAML_SUBJECT (Asserzione)
|
|
uid
|
http://schemas.xmlsoap.org/ws/2005/05/Identity/claims/name (Asserzione)
|
|
email
|
http://schemas.xmlsoap.org/claims/EmailAddress (Asserzione)
|
|
group
|
http://schemas.xmlsoap.org/claims/Group (Asserzione)
|
Per implementare un contratto di regole di autenticazione, attenersi alla procedura descritta di seguito.
1. Accedere alla console di amministrazione di PingFederate come amministratore.
2. Nel menu SP Configuration, nella sezione AUTHENTICATION POLICIES, fare clic su Policy Contracts.
3. Nella pagina Authentication Policy Contracts fare clic su Create New Contract.
4. Aggiungere gli attributi necessari (in base a quelli richiesti da PTC come indicato in precedenza e quelli richiesti dall'IdP) e fare clic su Done.
5. Utilizzare questo contratto di regole quando si imposta la connessione IdP sul servizio di elenco aziendale.
 |
Dopo aver creato la connessione IdP, è possibile confermare quali attributi vengono scambiati esaminando la sezione Contract Fulfillment della scheda Activation & Summary della connessione IdP.
|