Panoramica dell'autenticazione Single Sign-On
Il Single Sign-On (SSO) è un meccanismo di autenticazione di utenti e sessioni che consente di utilizzare un insieme di credenziali per accedere a più applicazioni in un'azienda, indipendentemente dalla piattaforma, dalla tecnologia o dal dominio. Una volta effettuato l'accesso a un'applicazione abilitata per l'SSO, viene automaticamente eseguito l'accesso a tutte le altre applicazioni per cui si dispone dei permessi appropriati. PTC consiglia l'SSO come metodo di autenticazione.
 |
Se l'applicazione è configurata con l'SSO, l'autenticazione a più fattori (MFA) può essere configurata tramite il provider di identificativi (IdP), se l'IdP supporta l'autenticazione MFA. Le applicazioni PTC non gestiscono l'autenticazione MFA, che viene invece configurata tramite l'IdP.
|
Il flusso di elaborazione delle informazioni SSO è costituito da uno scambio di dati di autenticazione e di autorizzazione. Ciascuno dei componenti elencati nella tabella riportata di seguito svolge un ruolo in uno o entrambi gli scambi.
|
Termine
|
Definizione
|
||
|---|---|---|---|
|
Server di autenticazione centralizzata (CAS)
|
Strumento di terze parti che gestisce l'autenticazione e l'autorizzazione degli utenti in un ambiente federato SSO. Consente agli utenti di accedere ai dati di più server delle risorse tramite l'autorizzazione delegata.
PTC supporta i seguenti server di autenticazione centralizzata:
• PingFederate
• Microsoft Entra ID
◦ Per le versioni di ThingWorx 9.2.0 e successive, 9.1.4 e successive e 9.0.9 e successive
◦ Per ThingWorx Navigate 9.5.0 e versioni successive
◦ Per Windchill 12.0.2.2 e versioni successive
• Azure AD B2C
◦ Per le versioni di ThingWorx 9.6.0 e successive.
• AD FS
◦ Per le versioni di ThingWorx 9.2.0 e successive, 9.1.4 e successive e 9.0.9 e successive
|
||
|
Open Authorization (OAuth)
|
OAuth è uno standard di settore che utilizza i token di accesso per consentire a un'applicazione di eseguire l'autenticazione per conto di un utente in un'altra applicazione e recuperare i dati di proprietà dell'utente.
La struttura SSO di PTC utilizza OAuth 2.0.
|
||
|
SAML (Security Assertion Markup Language)
|
SAML è uno standard di settore di autenticazione basato su XML che elimina la necessità di password specifiche delle applicazioni. Lo standard SAML utilizza i token digitali a utilizzo singolo, a scadenza, per scambiare i dati di autorizzazione e di autenticazione tra un provider di identificativi e un provider di servizi che hanno una relazione di trust definita.
La struttura SSO di PTC utilizza SAML 2.0.
|
||
|
OpenID Connect (OIDC)
|
OpenID Connect (OIDC) è un livello di identità basato sulla struttura OAuth 2.0. Consente alle applicazioni di terze parti di verificare l'identità dell'utente finale e di ottenere informazioni di base sul profilo utente. OIDC utilizza token Web JSON (JWT), che è possibile ottenere utilizzando flussi conformi alle specifiche OAuth 2.0.
|
||
|
Token di accesso
|
Stringa opaca o token JWT ottenuto dal server di autorizzazione che un'applicazione presenta a un'altra applicazione per accedere ai dati del proprietario di risorse.
|
||
|
Ambiente federato
|
Rete di applicazioni software in un'azienda che è stata configurata per l'utilizzo di un CAS per consentire il Single Sign-On.
|
||
|
Provider di identificativi (IdP)
|
Strumento di terze parti che gestisce i dati identificativi dell'utente. Il sistema di gestione utenti o Active Directory memorizza i nomi utente, le password e altre credenziali. Il server CAS fa riferimento all'IdP durante l'autenticazione di un utente.
|
||
|
Server delle risorse (RS)
|
Applicazione all'interno dell'ambiente federato SSO contenente dati protetti.
|
||
|
Provider di servizi (SP)
|
Server Web da cui l'utente accede alle informazioni. Utilizza il protocollo SAML per autenticare gli accessi utente in un ambiente federato SSO. Un SP richiede inoltre l'accesso a dati protetti da un RP per conto di un utente autenticato.
|
||
|
Ambito
|
Valori stringa che si registrano nel server CAS, nel provider di servizi e nel provider di risorse. Ciò fornisce un controllo di accesso aggiuntivo per i dati del proprietario della risorsa disponibili nel server delle risorse. Quando a un SP viene concessa l'approvazione per l'ambito associato alla risorsa protetta, i dati vengono resi disponibili all'SP solo se fornisce anche un token di accesso valido.
|
||
|
Agente utente
|
Browser Web che l'utente (proprietario della risorsa) utilizza per accedere alle informazioni. L'agente utente agisce per conto dell'utente per effettuare le richieste da un SP e dal server CAS.
|