Installazione di PingFederate
Di seguito è riportata una panoramica generale della procedura a cui è necessario attenersi per installare PingFederate. Ogni sezione contiene i passi che è necessario seguire per completare il task.
Passo 1: scaricare PingFederate
Scaricare la build con il numero di versione secondario più recente e la patch di
PingFederate supportata dal prodotto, come indicato dai requisiti di sistema.
Passo 2: ottenere la licenza PingFederate
|
Nella pagina dei download PTC non sono più disponibili il prodotto PingFederate o le relative licenze. A partire dal 1° aprile 2022, i nuovi diritti di accesso ai prodotti PTC non includono per default una licenza PingFederate. I nuovi clienti che scelgono di utilizzare PingFederate devono rivolgersi direttamente a PingIdentity per acquistare una licenza PingFederate. I clienti PTC che avevano diritto a una licenza PingFederate prima del 1° aprile 2022 possono ancora richiederla contattando il supporto tecnico PTC. Sono incluse anche le richieste di rinnovo licenza.
Ai clienti PTC Cloud verrà fornita una licenza PingFederate, se necessaria, come parte dell'offerta PTC in uso.
|
Passo 3: installare PingFederate
Per istruzioni sull'installazione di
PingFederate 11.0, vedere
Installazione di PingFederate.
Passo 4: applicare la patch all'installazione di PingFederate
Dopo l'installazione di PingFederate, è necessario applicare la relativa patch di PingFederate all'installazione di PingFederate. La patch deve essere applicata seguendo le istruzioni fornite da PingFederate.
Passo 5: configurare PingFederate e distribuire il file di licenza di PingFederate
1. Nella finestra del prompt dei comandi, passare a PingFederate/bin ed eseguire run.bat in Windows o run.sh in Linux per avviare PingFederate.
L'avvio di PingFederate può richiedere alcuni minuti.
2. Quando viene restituito il messaggio PingFederate running, aprire l'URL di PingFederate nel formato seguente nel browser: https://<nomehost.dominio.com>:9999/pingfederate/.
3. Se vengono visualizzati prompt di errore del certificato, accettarli per continuare con l'impostazione.
4. Seguire le istruzioni nelle schermate di impostazione di PingFederate fino al completamento della procedura.
5. Verificare che PingFederate sia stato installato accedendo attraverso una nuova sessione del browser. Passare all'URL di PingFederate nel formato https://<nomehost.dominio.com>:9999/pingfederate/ e accedere con il nome utente e la password di amministratore appena creati.
Passo 6: definire l'ID di entità SAML 2.0
|
In PingFederate 11, il valore entityID non viene definito nell'ambito delle impostazioni iniziali di PingFederate eseguite nei passi precedenti. Attenersi alla procedura descritta di seguito per definire il valore entityID.
|
1. Passare alla console di amministrazione di PingFederate.
2. Cercare Protocol Settings. Aprire i risultati della ricerca.
3. Immettere il valore entityID in SAML 2.0 ENTITY ID nella scheda Federation Info. Fare clic su Save.
Passo 7: completare la configurazione tra domini per l'attributo cookie SameSite
|
Se si utilizza PingFederate 11, l'attributo sameSite esiste già e il valore di default è "None" nel file jetty-runtime.xml. In questo caso i passi 1 e 2 non sono necessari.
<Call name="setAttribute"> <Arg>org.eclipse.jetty.cookie.sameSiteDefault</Arg> <Arg>None</Arg> </Call>
|
Se PingFederate e/o ThingWorx e/o l'IdP si trovano in domini diversi, è necessario abilitare l'attributo cookie SameSite. A tal fine, nel file <cartella di installazione di PingFederate>/etc/jetty-runtime.xml, impostare il valore dell'attributo sameSiteSpecifier all'interno dell'elemento baseHttpConfig su None.
<New id="baseHttpConfig" class="org.eclipse.jetty.server.HttpConfiguration">
<!-- ... -->
<Set name="headerCacheSize">512</Set>
<Set name="sameSiteSpecifier">None</Set>
<!-- … -->
</New>
|
Per completare il supporto del dominio incrociato, è necessario applicare modifiche simili a Tomcat. Per ulteriori informazioni, vedere l' articolo del Supporto tecnico PTC.
|
Passo 8: configurare PingFederate in modo che restituisca sempre l'ambito
Creare o modificare il file oauth-scope-settings.xml, disponibile nella posizione <PingFederate Installation Folder>/server/default/data/config-store, come descritto di seguito:
<?xml version="1.0" encoding="UTF-8"?>
<z:config xmlns:z="http://www.sourceid.org/2004/05/config">
<z:item name="always-return-scope-for-authz-code">true</z:item>
</z:config>
Passo 9: riavviare PingFederate
Riavviare il server PingFederate.