Esempio: implementazione di SSO per Windchill con PingFederate come broker
Questo esempio illustra i passi dettagliati per la configurazione di un ambiente con Windchill PDMLink e Shibboleth SP configurati per Single Sign-On con PingFederate come server di autenticazione centralizzata (CAS) e Active Directory Federation Services (AD FS) come provider di identificativi (IdP).
Nella tabella seguente sono visualizzate le applicazioni configurate insieme al relativo ruolo nell'esempio:
|
Ruolo
|
Applicazione
|
|---|---|
|
Provider di servizi
|
Windchill PDMLink + Shibboleth SP
|
|
Server di autenticazione centralizzata
|
PingFederate
|
|
Provider di identificativi
|
AD FS
|
|
Server delle risorse
|
Windchill
|
Nel diagramma seguente è visualizzata la configurazione illustrata in questo esempio:
Parte A: prerequisiti
1. Assicurarsi che Windchill sia installato. Per ulteriori informazioni, vedere la versione di Windchill Help Center appropriata.
2. Impostare e configurare AD FS e assicurarsi di aver incluso i file e i valori di attributo seguenti:
◦ uid
◦ email
◦ group
◦ File di metadati
Parte B: configurare manualmente l'autenticazione per AD FS
Passo 1: creare il certificato SSL globale di PingFederate
1. Accedere a PingFederate come amministratore. Cercare SSL Server Certificates e aprire i risultati della ricerca.
2. Fare clic su Create New per creare il certificato SSL globale ed eseguire le operazioni descritte di seguito.
1. Nel campo Common Name specificare l'FQDN del computer PingFederate.
2. Immettere altri dettagli nella pagina e fare clic su Next.
3. Assicurarsi che le caselle di controllo riportate di seguito siano selezionate e fare clic su Save.
4. Fare clic su SSL Server Certificates.
5. Per il certificato SSL creato selezionare Activate Default for Runtime Server e Activate Default for Admin Console nell'elenco Select Action. Fare clic su Save.
Questo certificato SSL è contrassegnato come default per la console di amministrazione e il server di runtime.
3. Per il certificato localhost eseguire le operazioni descritte di seguito.
1. Nell'elenco Select Action selezionare Deactivate for Runtime Server e Deactivate for Admin Console.
2. Eliminare il certificato localhost e fare clic su Save.
Passo 2: creare il contratto del provider di servizi
1. In PingFederate, cercare Policy Contract e aprire il risultato della ricerca.
2. Fare clic su Create New Contracts ed eseguire le operazioni descritte di seguito.
1. Nel campo Contract Info immettere il nome di un contratto, ad esempio SPContract, e fare clic su Next.
2. In Contract Attributes fare clic su Add per ciascuno degli attributi seguenti per estenderne il contratto:
▪ uid
▪ email
▪ group
Per default, l'attributo subject è presente.
3. Fare clic su Next e, nella pagina Summary, fare clic su Save.
4. Nella pagina Authentication Policy Contracts fare clic su Save.
Per ulteriori informazioni, vedere Configurare PingFederate per reindirizzare le richieste di accesso utente al proprio IdP.
Passo 3: scaricare il file AD FS FederationMetadata.xml
1. Nel browser del computer AD FS immettere il seguente URL per scaricare il file di metadati dell'ambiente federato:
https://Host_ADSF.Dominio_ADFS/FederationMetadata/2007-06/FederationMetadata.xml
2. Copiare il file scaricato sul computer PingFederate.
Passo 4: creare la connessione IdP di PingFederate
A) Specificare le informazioni generali per creare una connessione IdP
1. In PingFederate, cercare IdP Connections e aprire i risultati della ricerca. Fare clic su Create Connection.
2. Nella scheda Connection Type selezionare la casella di controllo BROWSER SSO Profiles e fare clic su Next.
3. Nella scheda Connection Options selezionare le caselle di controllo BROWSER SSO e OAUTH ATTRIBUTE MAPPING e fare clic su Next.
4. Nella scheda Import Metadata selezionare File, fare clic su Choose File per selezionare il file FederationMetadata.xml, quindi fare clic su Next.
5. Nella scheda Metadata Summary fare clic su Next.
6. La scheda General Info viene precompletata con i dati. Se si desidera, è possibile modificare il nome in CONNECTION NAME. Verificare il resto delle informazioni e fare clic su Next.
7. Nella scheda Browser SSO fare clic su Configure Browser SSO. Viene visualizzata la pagina Browser SSO, in cui è necessario specificare le impostazioni per il Single Sign-On per il browser.
B) Configurare le impostazioni SSO del browser
1. Nella scheda SAML Profiles della pagina Browser SSO selezionare le opzioni riportate di seguito e fare clic su Next:
▪ IDP-INITIATED SSO
▪ SP-INITIATED SSO
2. Nella scheda User-Session Creation fare clic su Configure User-Session Creation. Viene visualizzata la pagina User-Session Creation, in cui è necessario specificare le impostazioni per configurare la creazione di una sessione utente.
C) Configurare le impostazioni per la creazione di una sessione utente
1. Nella scheda Identity Mapping accettare le impostazioni di default e fare clic su Next.
2. Nella scheda Attribute Contract verificare gli attributi inseriti automaticamente e fare clic su Next.
3. Nella scheda Target Session Mapping fare clic su Map New Authentication Policy. Viene visualizzata la pagina Authentication Policy Mapping, in cui è necessario specificare le impostazioni per la mappatura delle regole di autenticazione.
D) Configurare le impostazioni per la mappatura delle regole di autenticazione
1. Nell'elenco Authentication Policy Contract selezionare il contratto creato in Parte B - Passo 2, ovvero SPContract. Verificare che tutti gli attributi siano visualizzati e fare clic su Next.
2. Nella scheda Attribute Retrieval accettare le impostazioni di default e fare clic su Next.
3. Nella scheda Contract Fulfillment selezionare i valori seguenti per i contratti di regole di autenticazione email, group, subject e uid:
▪ Nell'elenco Source selezionare Assertion.
▪ Nell'elenco Value selezionare la voce corrispondente.
Fare clic su Next.
4. Nella scheda Issuance Criteria fare clic su Next.
5. Esaminare le informazioni nella scheda Summary. Se le informazioni sono corrette, fare clic su Done. Viene visualizzata la pagina User-Session Creation, in cui è necessario esaminare le impostazioni di configurazione per la creazione di una sessione utente.
E) Esaminare le impostazioni di configurazione per la creazione di una sessione utente
1. Nella scheda Target Session Mapping della pagina User-Session Creation sono visualizzate le informazioni selezionate durante la mappatura di una nuova regola di autenticazione. Fare clic su Next.
2. Esaminare le informazioni nella scheda Summary. Se le informazioni sono corrette, fare clic su Done. Viene visualizzata la pagina Browser SSO.
3. Nella scheda User-Session Creation della pagina Browser SSO sono visualizzate le informazioni immesse durante la configurazione della creazione di una sessione utente. Fare clic su Next.
4. Nella scheda OAuth Attribute Mapping selezionare Map Directly Into Persistent Grant e Configure OAuth Attribute Mapping, quindi eseguire le operazioni descritte di seguito.
1. Nella scheda Data Store fare clic su Next.
2. Nella scheda Contract Fulfilment, per USER_KEY e USER_NAME, selezionare Assertion in Source e in Value specificare l'attributo del nome di ADFS, quindi fare clic su Next.
3. Nella scheda Issuance Criteria fare clic su Next.
5. Esaminare le informazioni nella scheda Summary. Se le informazioni sono corrette, fare clic su Done. Nella pagina OAuth Attribute Mapping Configuration fare clic su Next.
6. Nella scheda Protocol Settings fare clic su Configure Protocol Settings. Viene visualizzata la pagina Protocol Settings, in cui è necessario specificare le impostazioni del protocollo.
F) Configurare ed esaminare le impostazioni del protocollo
1. Nella scheda SSO Service URLs fare clic su Next.
2. Nella scheda Allowable SAML Bindings eseguire le operazioni descritte di seguito e fare clic su Next.
1. Selezionare le caselle di controllo riportate di seguito:
▪ POST
▪ REDIRECT
2. Deselezionare le caselle di controllo riportate di seguito:
▪ ARTIFACT
▪ POST
3. Ignorare le impostazioni nella scheda Overrides e fare clic su Next.
4. Nella scheda Signature Policy fare clic su SPECIFY ADDITIONAL SIGNATURE REQUIREMENTS, selezionare le due caselle di controllo riportate sotto l'opzione, quindi fare clic su Next.
5. Nella scheda Encryption Policy fare clic su ALLOW ENCRYPTED SAML ASSERTIONS AND SLO MESSAGES, selezionare la casella di controllo THE ENTIRE ASSERTION, quindi fare clic su Next.
6. Esaminare le informazioni nella scheda Summary. Se le informazioni sono corrette, fare clic su Done. Viene visualizzata la pagina Browser SSO.
7. Nella scheda Protocol Settings della pagina Browser SSO sono visualizzate le informazioni selezionate durante la configurazione delle impostazioni del protocollo. Fare clic su Next.
8. Esaminare le informazioni nella scheda Summary. Se le informazioni sono corrette, fare clic su Done. Viene visualizzata la pagina IdP Connection.
9. Nella scheda Browser SSO della pagina IdP Connection fare clic su Next.
10. Nella scheda Credentials fare clic su Configure Credentials. Viene visualizzata la pagina Credentials, in cui è necessario specificare le impostazioni per la configurazione delle credenziali.
G) Configurare le credenziali
1. Nella scheda Digital Signature Settings fare clic su Manage Certificates.
2. Per creare un certificato di firma, fare clic su Create New, specificare i valori riportati di seguito, quindi fare clic su Next:
▪ COMMON NAME
▪ ORGANIZATION
▪ COUNTRY
▪ VALIDITY (DAYS)—365
▪ KEY ALGORITHM—RSA
▪ KEY SIZE (BITS)—2048
▪ SIGNATURE ALGORITHM—RSA SHA256
3. Esaminare le informazioni nella scheda Summary. Se sono corrette, fare clic su Save, quindi su Done.
4. Nella scheda Digital Signature Settings, per il certificato di firma specificato in SIGNING CERTIFICATE creato, selezionare la casella di controllo INCLUDE THE CERTIFICATE IN THE SIGNATURE <KEYINFO> ELEMENT, quindi fare clic su Next.
Si tratta del certificato a livello dell'applicazione utilizzato per firmare digitalmente la richiesta di PingFederate all'IdP.
5. Nella scheda Signature Verification Settings fare clic su Manage Signature Verification Settings.
a. Nella scheda Trust Model selezionare UNANCHORED e fare clic su Next.
b. In Signature Verification Certificate verificare che sia visualizzato il certificato di firma dell'IdP e fare clic su Next.
Si tratta del certificato a livello dell'applicazione utilizzato per verificare la firma delle richieste dell'IdP a PingFederate. È stato importato automaticamente in PingFederate quando si è importato il file metadata.xml dall'IdP.
c. Esaminare le informazioni nella scheda Summary. Se le informazioni sono corrette, fare clic su Done.
d. Nella scheda Signature Verification Settings fare clic su Next.
e. Nella scheda Select Decryption Keys selezionare il certificato di PingFederate e fare clic su Next.
f. Esaminare le informazioni nella scheda Summary. Se le informazioni sono corrette, fare clic su Done.
g. Nella pagina Credentials fare clic su Next.
H) Attivare la connessione IdP
Nella pagina Activation & Summary assicurarsi che l'opzione SSO Application Endpoint sia selezionata e fare clic su Save.
La connessione IdP viene ora creata e attivata.
I) Verificare la connessione IdP
Fare clic sulla connessione IdP creata, copiare l'URL specificato per SSO Application Endpoint, incollarlo in un browser, quindi verificare che venga reindirizzato all'IdP. Questo URL di PingFederate deve essere reindirizzato ad AD FS. Viene visualizzata una pagina simile a quella riportata di seguito, che include un messaggio di errore:
Parte C: configurare il relying party di AD FS
Passo 1: esportare il file XML di metadati di PingFederate
1. In PingFederate selezionare Service Provider e in IDP Connections fare clic su Manage All.
2. Per la connessione IdP fare clic su Export Metadata nell'elenco Select Action.
3. Nella pagina Metadata Signing fare clic su Next.
4. Nella pagina Export & Summary fare clic su Export per scaricare il file di metadati nella cartella Downloads sul computer, quindi fare clic su Done.
5. Copiare il file XML di metadati sul computer AD FS.
Passo 2: aggiungere il relying party in AD FS
1. Accedere al server AD FS e aprire Server Manager.
2. Selezionare > .
3. In AD FS fare clic con il pulsante destro del mouse su Relying Party Trusts e scegliere Add Relying Party Trust. In questo modo AD FS sa che la connessione proviene da PingFederate ed è attendibile.
4. Nella finestra Add Relying Party Trust Wizard eseguire le operazioni descritte di seguito.
1. Fare clic su Start.
2. Nella schermata successiva fare clic su Import data about the relying party from a file.
3. Fare clic su Browse per selezionare il percorso del file Metadata.xml copiato da PingFederate per creare un relying party in AD FS, quindi fare clic su Next.
4. Specificare un nome in Display name e fare clic su Next.
Prendere nota di questo nome in quanto sarà necessario in un secondo momento.
5. Fare clic su Next nelle finestre riportate di seguito fino a visualizzare la schermata Finish. Fare clic su Close.
La voce corrente viene aggiunta all'elenco Relying Party Trusts.
Viene visualizzata anche la finestra riportata di seguito, che potrebbe essere nascosta dietro la finestra corrente:
5. Per mappare gli attributi di AD FS ad Active Directory, attenersi alla procedura descritta di seguito.
1. Nella finestra Edit Claim Issuance Policy for <Nome relazione di trust relying party> fare clic su Add Rule e quindi su Next.
2. Specificare un nome in Claim rule name e impostare Attribute store su Active Directory.
3. Nella tabella Mapping of LDAP attributes to outgoing claim types selezionare i valori dagli elenchi per mappare gli attributi di AD FS agli attributi di Active Directory:
 | Se non si mappano questi attributi correttamente, il Single Sign-On non funziona. |
Display-Name | Name |
SAM-Account-Name | Name ID |
E-Mail-Addresses | E-Mail Address |
Is-Member-Of-DL | Group |
4. Fare clic su Finish e quindi su OK.
Passo 3: configurare AD FS in modo da crittografare il messaggio completo e l'asserzione
1. Nel computer AD FS, aprire Windows PowerShell come amministratore.
2. Eseguire il comando seguente sul computer AD FS affinché la comunicazione funzioni:
Set-ADFSRelyingPartyTrust -TargetName <Nome relazione di trust relying party> -SamlResponseSignature "MessageAndAssertion",
dove <Nome relazione di trust relying party> è il nome della relazione di trust del relying party creato e annotato al passo 2 riportato sopra.
Questo comando configura la firma di risposta SAML tramite Windows PowerShell.
Parte D: verificare l'URL dell'endpoint della connessione IdP
1. In PingFederate copiare l'URL specificato per SSO Application Endpoint e incollarlo in una finestra in incognito.
2. Accedere utilizzando il nome di dominio e l'utente amministratore creati per AD FS.
Viene visualizzato il messaggio riportato di seguito:
Parte E: configurazione di Shibboleth SP e di PingFederate
Per attivare le funzionalità SAML per Windchill utilizzando il provider di servizi Shibboleth 2.6.0, completare la procedura nella sezione riportata di seguito di Windchill Help Center: Autenticazione Security Assertion Markup Language (SAML). Attenersi alle istruzioni riportate in queste sezioni della stessa pagina di Windchill Help Center.
• Troubleshooting and Debugging the Shibboleth Service Provider
• Restarting the Shibboleth Service Provider and PTC HTTP Servers
Parte F: configurare una voce LDAP JNDI
Per configurare un adattatore JNDI, completare la procedura nella sezione riportata di seguito di Windchill Help Center: Voce di configurazione dell'adattatore JNDI.
Parte G: configurazione aggiuntiva
Se il workflow di Windchill richiede l'utilizzo di firma elettronica, è necessaria una configurazione aggiuntiva per la distribuzione di SSO. Per ulteriori informazioni, vedere le sezioni riportate di seguito di Windchill Help Center.
Per ulteriori considerazioni, vedere la sezione "Client Compatibility" di Security Assertion Markup Language (SAML) Authentication in Windchill Help Center: