ユーザーのログインリクエストを IdP にリダイレクトする PingFederate の設定
サービスプロバイダコンフィギュレーションで、PingFederate 用の ID プロバイダ (IdP) 接続を設定します。サードパーティ IdP の場合、PingFederate はサービスプロバイダとして機能します。
このプロセスでは、以下の操作も行わなければなりません。
• サービスプロバイダのメタデータファイルをエクスポートする。
• メタデータファイルを IdP からインポートする。
PTC がテストして推奨する SSO アーキテクチャでは、ユーザー認証リクエストをエンタープライズディレクトリサービス (サードパーティ ID プロバイダ (IdP)) にリダイレクトするように PingFederate が設定されていなければなりません。これにより、ブラウザがリダイレクトされて IdP で認証するため、ユーザーのログイン資格証明を処理する必要がある SSO アーキテクチャ内のノードが削減されます。PingFederate をフェデレーションハブとして設定するには、PingFederate で少なくとも 2 つの接続を作成しなければなりません。
• PingFederate のサービスプロバイダコンフィギュレーションで IdP 接続を作成します。PingFederate は、この接続を使用して IdP に接続します。
• PingFederate の IdP コンフィギュレーションでサービスプロバイダ接続を作成します。PingFederate は、この接続を使用してサービスプロバイダに接続します。
詳細については、
PingFederate ドキュメンテーションの以下のトピックを参照してください。
• 「Service provider SSO configuration」
• 「Bridging an IdP to an SP」
• 「Federation hub and authentication policy contracts」
|
Browser SSO Profiles 接続テンプレートは、SSO 接続を設定するためにのみ使用します。SSO 接続用の SP アダプタを作成してはなりません。
|
ユーザープロビジョニングは、
PingFederate の SSO 設定における高度なコンフィギュレーションです。ユーザープロビジョニングは、選択される IdP の選択肢によって異なります。その動作は IdP ごとに異なります。ユーザープロビジョニングの詳細については、
ThingWorx ヘルプセンターの
「プロビジョニング」を参照してください。
認証ポリシー契約
さらに、サービスプロバイダ接続と IdP 接続の間にブリッジを作成する認証ポリシー契約を PingFederate で作成しなければなりません。認証ポリシー契約は、IdP から取得してサービスプロバイダアプリケーションに渡すユーザー属性を指定するために使用されます。必要な属性については、IdP のドキュメンテーションを参照してください。
PTC 製品の SSO を設定する際、以下の属性がユーザー認証に必要であり、IdP で公開され、認証ポリシー契約でマッピングされていなければなりません。
• uid
• subject
• email
• group
たとえば、Active Directory フェデレーションサービス (ADFS) に対しては以下の値を入力できます。ただし、マッピングは IdP の選択肢によって異なる場合があります。ユーザーの要件に基づいてマッピングを決定しなければなりません。
属性
|
値
|
subject
|
SAML_SUBJECT (アサーション)
|
uid
|
http://schemas.xmlsoap.org/ws/2005/05/Identity/claims/name (アサーション)
|
email
|
http://schemas.xmlsoap.org/claims/EmailAddress (アサーション)
|
group
|
http://schemas.xmlsoap.org/claims/Group (アサーション)
|
認証ポリシー契約を実装するには、以下の操作を行います。
1. PingFederate 管理コンソールに管理者としてログインします。
2. 「SP Configuration」メニューの「AUTHENTICATION POLICIES」セクションの「Policy Contracts」をクリックします。
3. 「Authentication Policy Contracts」ページで、「Create New Contract」をクリックします。
4. 必要な属性 (前述の PTC が必須とする属性と、IdP が必須とする属性) を追加し、「Done」をクリックします。
5. エンタープライズディレクトリサービスへの IdP 接続を設定する際、このポリシー契約を使用します。
|
IdP 接続を作成した後、IdP 接続の「Activation & Summary」タブの「Contract Fulfillment」セクションをレビューして、交換される属性を確認できます。
|