PTC 製品用の OAuth クライアントの作成
アクセストークンを取得または検証する際に PTC 製品が接続するエンドポイントとして機能する OAuth クライアントを PingFederate で作成します。各製品が実行する役割ごとに個別の OAuth クライアントを作成することをお勧めします。
必要条件 - アクセストークン管理インスタンスの作成
アクセストークン管理インスタンスを使用することにより、さまざまな OAuth クライアントに対してアクセストークンポリシーと属性契約を設定できます。次の手順で作成するアクセストークン管理インスタンスは、PTC 製品に対して作成する OAuth クライアントに使用されます。アクセストークン管理インスタンスの詳細と設定方法については、PingFederate ドキュメンテーションの「Access token management」を参照してください。
PTC 製品に対して Internally Managed Reference Tokens 用のアクセストークン管理インスタンスを作成する場合に推奨される設定は以下のとおりです。
 |
委任 OAuth を持つ JWT トークンは PingFederate 11.x.x でのみ機能します。JWT トークンの暗号化は Windchill ではサポートされていません。
|
1. PingFederate のメインナビゲータメニューから、 > > の順にクリックします。
2. 「Type」タブで、以下の操作を行います。
a. インスタンス名と ID を指定します。
b. 「Type」フィールドで、「Internally Managed Reference Tokens」を選択します。
c. 「Parent Instance」フィールドで、「None」を選択します。
3. 「Next」をクリックして、「Instance Configuration」タブのデフォルトをそのまま使用します。
4. 「Access Token Attribute Contract」タブで、ユーザー名を追加します。
5. 「Resource URIs」タブと「Access Control」タブで、「Next」をクリックしてデフォルト設定をそのまま使用します。
PTC 製品に対して JSON WEB TOKENS 用のアクセストークン管理インスタンスを作成する場合に推奨される設定は以下のとおりです。
1. PingFederate のメインナビゲータメニューから、 > > の順にクリックします。
2. 「Type」タブで、以下の操作を行います。
a. インスタンス名と ID を指定します。
b. 「Type」フィールドで、「JSON WEB TOKENS」を選択します。
c. 「Instance Configuration」タブで、JWT トークンの署名に「Symmetric keys」または「Certificate」を選択します。
▪ 対称キーのコンフィギュレーション:
1. 「Instance Configuration」タブで、「Add a new row to 'Symmetric Keys'」をクリックします。「Key ID」、「Key」、「Encoding」の詳細を入力します。エンコーディングでは、Base64[url] のみがサポートされています。「Update」をクリックします。
2. 「JWS ALGORITHM」を選択します。この値を「HMAC using SHA-XXX」に設定します。
3. 前の手順で入力した「ACTIVE SYMMETRIC KEY ID」を選択します。
4. 「Show Advanced Fields」をクリックします。
5. 「ISSUER CLAIM VALUE」と「AUDIENCE CLAIM VALUE」の値を指定します。「TYPE HEADER VALUE」は JWT に設定する必要があります。
▪ 証明書のコンフィギュレーション:
1. 「Instance Configuration」タブで、「Add a new row to 'Certificates'」をクリックします。「Key ID」と「Certificate」の詳細を入力します。「Update」をクリックします。
2. 「JWS ALGORITHM」を選択します。この値を「RSA using SHA-XXX」に設定します。
3. 前の手順で入力した「ACTIVE SIGNING CERTIFICATE KEY ID」を選択します。
4. 「Show Advanced Fields」をクリックします。
5. 「ISSUER CLAIM VALUE」と「AUDIENCE CLAIM VALUE」の値を指定します。「TYPE HEADER VALUE」は JWT に設定する必要があります。
6. 「JWKS ENDPOINT PATH」オプションフィールドの値を指定します。この値がここで指定されていない場合、委任 OAuth の設定中に署名証明書を指定する必要があります。
必要条件 - アクセストークンのマッピングの設定
アクセストークンとともに提供される属性を識別できるように、アクセストークンのマッピングを行わなければなりません。PTC 製品に対してこのマッピングを設定するには、ユーザー名属性を USER_KEY にマッピングしなければなりません。アクセストークンのマッピングの詳細については、PingFederate ドキュメンテーションの「Manage access token mappings」を参照してください。
PTC 製品に対してアクセストークンのマッピングを設定する場合に推奨される設定は以下のとおりです。
1. PingFederate メインナビゲータメニューで、 > の順に選択します。
2. 「Access Token Attribute Mapping」ページで、以下の操作を行います。
a. 「Context」で、デフォルトを選択します。
b. 「Access Token Manager」で、前の手順で作成したアクセストークン管理インスタンスを選択します。
c. 「Add Mapping」をクリックします。
3. 「Attribute Sources & User Lookup」タブで、「Next」をクリックしてデフォルト設定をそのまま使用します。
4. 「Contract Fulfillment」タブで、ユーザー名の契約エントリとして、「Source」列の「Persistent Grant」と「Value」列の USER_KEY を選択します。
5. 「Issuance Criteria」タブで、「Next」をクリックしてデフォルト設定をそのまま使用します。
6. 「Done」をクリックし、「Save」をクリックします。
SSO フレームワークで PTC 製品に対して OAuth クライアントを作成する手順に進むことができます。