ユーザープロパティの設定
ビジネス要件に応じて、user.properties ファイル内のプロパティの値を指定しなければなりません。このファイルは、PingFederate コンフィギュレーション用の自動化スクリプトを保存した <PINGFEDERATE_SCRIPT_HOME> ディレクトリにあります。
 |
プロパティの値は一重引用符で囲んでください。
|
user.properties ファイルには、以下のプロパティの設定が含まれています。リンクをクリックすると、さまざまなプロパティ、説明、および例の値が表示されます。
グローバルユーザープロパティ - すべての IdP コンフィギュレーションに適用されます。
PingFederate の接続
次のテーブルは、PingFederate との接続を設定するために指定する必要のあるプロパティの説明と、各プロパティの例を示しています。
プロパティ | 説明 | 例 | ||
|---|---|---|---|---|
global_pingFedHost | PingFederate 管理コンソールを実行する完全修飾ドメイン名を指定します。このプロパティ値のフォーマットは <サーバーの完全修飾ドメイン名> です。 | global_pingFedHost='pingfed.yourorg.com' | ||
global_pingFedAdminPort | PingFederate 管理コンソールを実行するポートを指定します。このプロパティ値のフォーマットは <サーバーのポート> です。 | global_pingFedAdminPort='9999' | ||
global_pingFedIdpEntityId | PingFederate を表す Security Assertion Markup Language 2.0 (SAML 2.0) エンティティの一意の識別子を指定します。 | global_pingFedIdpEntityId='ptc-pingfed' | ||
global_pingFed_admin_certificate | 管理 API 呼び出しを行う際に自動化スクリプトによって信頼される Secure Sockets Layer 証明書 (SSL 証明書) ファイルのファイル名を指定します。このプロパティに値を設定するのはオプションですが、証明書を使用することにより、PingFederate とスクリプトの間の安全な SSL 通信が有効になるので、設定することをお勧めします。
| global_pingFed_admin_certificate='pingfed_admin_ssl.crt' |
アプリケーションレイヤー用の SSL 証明書 (SAML 暗号化および署名)
次のテーブルは、アプリケーションレイヤー用の SSL 証明書 (SAML 暗号化および署名) を設定するために指定する必要のあるプロパティの説明と、各プロパティの例を示しています。詳細については、PingFederate ドキュメンテーションの「Manage digital signing certificates and decryption keys」を参照してください。
プロパティ | 説明 | 例 |
|---|---|---|
create_pingfed_signing_cert_organization | 証明書を作成する組織または会社名を指定します。 | create_pingfed_signing_cert_organization='ptc' |
create_pingfed_signing_cert_organizationUnit | 組織内の特定の部署を指定します。 | create_pingfed_signing_cert_organizationUnit='ent-sso' |
create_pingfed_signing_cert_city | 会社が拠点を置く市区町村を指定します。 | create_pingfed_signing_cert_city='Blaine' |
create_pingfed_signing_cert_state | 拠点がある都道府県を指定します。 | create_pingfed_signing_cert_state='MN' |
create_pingfed_signing_cert_country | 会社が拠点を置く国のコードを指定します。国のコードは 2 文字のコードで表されます。 | create_pingfed_signing_cert_country='US' |
create_pingfed_signing_cert_validDays | 証明書の有効期間を指定します。 | create_pingfed_signing_cert_validDays='36500' |
サービスプロバイダ接続
次のテーブルは、サービスプロバイダとの接続を設定するために指定する必要のあるプロパティの説明と、各プロパティの例を示しています。詳細については、PingFederate ドキュメンテーションの「Manage SP connections」を参照してください。
プロパティ | 説明 | 例 |
|---|---|---|
create_sp_connection_baseUrl | サービスプロバイダ用のサーバーをホストするベース URL を指定します。このプロパティ値のフォーマットは https://<サーバーの完全修飾ドメイン名>:<サーバーのポート> です。 | create_sp_connection_baseUrl='https://thingworx.yourorg.com:8443' ここで <サービスプロバイダ> は ThingWorx、Windchill RV&S、または Windchill のいずれかです。 |
create_sp_connection_input_sign_verif_cert | 受信 SAML トークンのデジタル署名を検証するために使用される証明書のファイル名を指定します。 | create_sp_connection_input_sign_verif_cert='twx_sp_signing.crt' ここで <サービスプロバイダ固有の名前> は twx、ilm、または wnc のいずれかです。 |
create_sp_connection_entityId | サービスプロバイダの一意の ID を指定します。サービスプロバイダのプロパティ値は https://<サーバーの完全修飾ドメイン名>:<サーバーのポート>/saml/metadata でなければなりません | これは Windchill RV&S に固有の例です。 create_sp_connection_entityId='https://integrity.yourorg.com:8443/saml/metadata' |
サービスプロバイダとしての ThingWorx との OAuth クライアント接続
次のテーブルは、サービスプロバイダとしての ThingWorx との OAuth クライアント接続を設定するために指定する必要のあるプロパティの説明と、各プロパティの例を示しています。詳細については、PingFederate ドキュメンテーションの「Configure an OAuth client」を参照してください。
プロパティ | 説明 | 例 |
|---|---|---|
create_twx_sp_oauth_client_description | クライアントアプリケーションが行う処理の説明を指定します。この説明は、ユーザーが認証を求められるときに表示されます。 | create_twx_sp_oauth_client_description='Thingworx service provider OAuth client.' |
create_twx_sp_oauth_client_auth_secret_value | OAuth クライアントシークレットを指定します。 | create_twx_sp_oauth_client_auth_secret_value='twx-sp-client_1234' |
create_twx_sp_oauth_client_redirectURI | 認証が取得された後に OAuth 認証サーバーが必要に応じてリソースオーナーのユーザーエージェントをリダイレクトする URI を指定します。このプロパティ値のフォーマットは https://<サーバーの完全修飾ドメイン名>:<サーバーのポート>/Thingworx/oauth2_ authorization_ code_redirect です。 | create_twx_sp_oauth_client_redirectURI='https://thingworx.yourorg.com:8443/ Thingworx/oauth2_ authorization_ code_redirect' |
リソースサーバーとしての Windchill との OAuth クライアント接続
次のテーブルは、リソースサーバーとしての Windchill との OAuth クライアント接続を設定するために指定する必要のあるプロパティの説明と、各プロパティの例を示しています。詳細については、PingFederate ドキュメンテーションの「Configure an OAuth client」を参照してください。
プロパティ | 説明 | 例 |
|---|---|---|
create_wnc_oauth_client_description | クライアントアプリケーションが行う処理の説明を指定します。この説明は、ユーザーが認証を求められるときに表示されます。 | create_wnc_rp_oauth_client_description='Windchill resource server OAuth client.' |
create_wnc_oauth_client_auth_secret_value | OAuth クライアントシークレットを指定します。 | create_wnc_rp_oauth_client_auth_secret_value='wnc-rp-client_1234' |
リソースサーバーとしての Windchill RV&S との OAuth クライアント接続
次のテーブルは、リソースサーバーとしての Windchill RV&S との OAuth クライアント接続を設定するために指定する必要のあるプロパティの説明と、各プロパティの例を示しています。詳細については、PingFederate ドキュメンテーションの「Configure an OAuth client」を参照してください。
プロパティ | 説明 | 例 |
|---|---|---|
create_ilm_oauth_client_description | クライアントアプリケーションが行う処理の説明を指定します。この説明は、ユーザーが認証を求められるときに表示されます。 | create_ilm_rp_oauth_client_description='IntegrityLifecycle Manager resource server OAuth client.' |
create_ilm_oauth_client_auth_secret_value | OAuth クライアントシークレットを指定します。 | create_ilm_rp_oauth_client_auth_secret_value='olm-rp-client_1234' |
範囲管理
次のテーブルは、PingFederate で範囲を登録するために指定する必要のあるプロパティの説明と、各プロパティの例を示しています。詳細については、PingFederate ドキュメンテーションの「Scopes」を参照してください。
プロパティ | 説明 | 例 |
|---|---|---|
create_oauth_default_scope_description | 範囲の値が示されない場合、またはほかの値に加えて範囲の値が示されない場合に暗示されるアクセス許可の説明を指定します。この説明は、ユーザーが認証を求められるときに表示されます。 | create_oauth_default_scope_description='Default Scope' |
create_oauth_twx_scope | サービスプロバイダとしての ThingWorx の範囲を指定します。 | create_oauth_twx_scope='THINGWORX' |
create_oauth_twx_read_scope_description | ThingWorx の範囲の値の説明を指定します。この説明は、ユーザーが認証を求められるときに表示されます。 | create_oauth_twx_scope_description='Thingworx Scope' |
create_oauth_wnc_read_scope | リソースサーバーとしての Windchill の範囲を指定します。 | create_oauth_wnc_read_scope='WINDCHILL' |
create_oauth_wnc_read_scope_description | Windchill の範囲の値の説明を指定します。この説明は、ユーザーが認証を求められるときに表示されます。 | create_oauth_wnc_scope_description='Windchill Scope' |
create_oauth_ilm_scope | サービスプロバイダとしての Windchill RV&S の範囲を指定します。 | create_oauth_ilm_ scope='INTEGRITY_ READ' |
create_oauth_ilm_ read_scope_ description | Windchill RV&S の範囲の値の説明を指定します。この説明は、ユーザーが認証を求められるときに表示されます。 | create_oauth_ilm_ scope_ description= 'Integrity LM Scope' |
PingFederate 固有のユーザープロパティ - PindFederate を IdP として設定する場合に適用されます。
データストア
PingFederate を IdP として選択する場合にのみデータストアを設定する必要があります。
次のテーブルは、ライトウェイトディレクトリアクセスプロトコルディレクトリサーバー (LDAP ディレクトリサーバー) をデータストアとして設定するために指定する必要のあるプロパティの説明と、各プロパティの例を示しています。このデータストアは、PingFederate によってユーザー資格証明を検証してユーザーを認証するために、LDAP パスワード資格証明バリデータとともに使用されます。詳細については、PingFederate ドキュメンテーションの「Manage data stores」を参照してください。
プロパティ | 説明 | 例 |
|---|---|---|
create_ldap_datastore_hostname | ポート番号を含めることができるデータストアのドメインネームシステム名 (DNS 名) またはインターネットプロトコルアドレス (IP アドレス) を指定します。このプロパティ値のフォーマットは <LDAP の完全修飾ドメイン名>:<LDAP のポート> です。 | create_ldap_datastore_hostname='windchillDS.ptc.com:389' または create_ldap_ datastore_ hostname= 'integrityLDAP.ptc.com:389' |
create_ldap_datastore_userDN | データストアにアクセスするために必要なユーザー名を指定します。 | create_ldap_datastore_userDN='cn=Manager' |
create_ldap_datastore_password | データストアにアクセスするために必要なパスワードを指定します。 | create_ldap_datastore_password='password' |
LDAP パスワード資格証明バリデータ
LDAP パスワード資格証明バリデータのコンフィギュレーションは、PingFederate を IdP として選択する場合にのみ必要です。
次のテーブルは、LDAP パスワード資格証明バリデータを設定するために指定する必要のあるプロパティの説明と、各プロパティの例を示しています。詳細については、PingFederate ドキュメンテーションの「Manage password credential validators」を参照してください。
プロパティ | 説明 | 例 |
|---|---|---|
create_ldap_pcv_searchBase | サーチを開始する LDAP ディレクトリサーバー内の場所を指定します。 | create_ldap_pcv_searchBase='cn=Windchill_11.0,o=ptc' または create_ldap_pcv_searchBase='cn=IntegrityOU,o=ptc' |
create_ldap_pcv_searchFilter | ユーザーレコードを検索する LDAP クエリーを指定します。 | create_ldap_pcv_searchFilter='uid=$<ユーザー名>' |
create_ldap_pcv_scopeOfSearch | サーチベースで実行するサーチのレベルを指定します。 | create_ldap_pcv_scopeOfSearch='Subtree' |
IdP アダプタ
PingFederate を IdP として選択する場合にのみ IdP アダプタを設定する必要があります。
次のテーブルは、PingFederate 用の IdP アダプタを設定するために指定する必要のあるプロパティの説明と、各プロパティの例を示しています。詳細については、PingFederate ドキュメンテーションの「Manage IdP adapters」を参照してください。
プロパティ | 説明 | 例 |
|---|---|---|
create_idp_adapter_attributeSource_id | 属性ソースの一意の識別子を指定します。属性ソースは、IdP アダプタ契約またはトークン認証ワークフローに必要な情報が含まれている特定のデータストアまたはディレクトリの場所です。 | create_idp_adapter_attributeSource_id='uid' |
create_idp_adapter_attributeSource_description | 属性ソースの説明を指定します。 | create_idp_adapter_attributeSource_description='uid' |
create_idp_adapter_attributeSource_baseDn | 属性ソースのベースドメイン名を指定します。 | create_idp_adapter_attributeSource_baseDn='cn=Windchill_11.0,o=ptc' ここで <名前> は Windchill や IntegrityOU などです。 |
create_idp_adapter_attributeSource_SearchScope | サーチの範囲を指定します。有効な値は Subtree、One level、および Base です。 | create_idp_adapter_attributeSource_SearchScope='SUBTREE' |
create_idp_adapter_attributeSource_SearchFilter | サーチに使用するサーチフィルタを指定します。 | create_idp_adapter_attributeSource_SearchFilter='uid=$<ユーザー名>' |
ADFS 固有のユーザープロパティ - ADFS を IdP として設定する場合に適用されます。
ADFS 用の IdP 接続
次のテーブルは、ADFS 用の IdP 接続を設定するために指定する必要のあるプロパティの説明と、各プロパティの例を示しています。
プロパティ | 説明 | 例 |
|---|---|---|
create_idp_adfs_connection_entityId | ADFS を ID プロバイダとして設定するために必要なエンティティ識別子を指定します。 | create_idp_adfs_connection_entityId=‘http://adfs.org.io/adfs/services/trust’ |
create_idp_adfs_connection_baseUrl | ID プロバイダ用のサーバーをホストするベース URL を指定します。このプロパティ値のフォーマットは https://<サーバーの完全修飾ドメイン名>:<サーバーのポート> です | create_idp_adfs_connection_baseUrl =‘https://adfs.org.io’ (デフォルトのポートを指定する必要はありません)。 |
create_idp_adfs_connection_input_sign_verif_cert | 受信 SAML トークンのデジタル署名を検証するために使用される証明書のファイル名を指定します。 | create_idp_adfs_connection_input_sign_verif_cert =’adfs_idp_signing.crt’ |
ジェネリック SAML 固有のユーザープロパティ - ジェネリック SAML 2.0 IdP を設定する場合に適用されます。
ジェネリック SAML 2.0 用の IdP 接続
次のテーブルは、ジェネリック SAML 2.0 IdP 用の IdP 接続を設定するために指定する必要のあるプロパティの説明と、各プロパティの例を示しています。
プロパティ | 説明 | 例 |
|---|---|---|
create_idp_saml2_connection_entityId | ID プロバイダを設定するために必要なエンティティ識別子を指定します。 | create_idp_saml2_connection_entityId= 'http://www.okta.com/exk15nb0a9fkh36Aq2p7' |
create_idp_saml2_connection_baseUrl | ID プロバイダ用のサーバーをホストするベース URL を指定します。このプロパティ値のフォーマットは https://<サーバーの完全修飾ドメイン名>:<サーバーのポート> です | create_idp_saml2_connection_baseUrl='https://org.okta.com' (デフォルトのポートを指定する必要はありません)。 |
create_idp_saml2_connection_input_sign_ verif_cert | 受信 SAML トークンのデジタル署名を検証するために使用される証明書のファイル名を指定します。 | create_idp_saml2_connection_input_sign_verif_cert= 'saml2_idp_signing.crt' |
create_idp_saml2_connection_assertion_ consumer_service_url | SAML プロトコルメッセージを処理するハイパーテキスト転送プロトコルリソース (HTTP リソース) の URL を指定します。この URL は、メッセージから抽出された情報を表す cookie を返します。 | create_idp_saml2_connection_assertion_consumer_service_url= '/app/org399352_pingfed_1/exk15nb0a9fkh36Aq2p7/sso/saml' |
create_idp_saml2_attr_uid | 属性契約の名前を指定します。属性契約は、IdP としてサービスプロバイダに送信する SAML アサーション内の拡張属性です。ここで、サービスプロバイダは ThingWorx、Windchill、または PingFederate です。 | create_idp_saml2_attr_uid='uid' |
create_idp_saml2_attr_group | 属性契約のグループを指定します。属性契約は、IdP としてサービスプロバイダに送信する SAML アサーション内の拡張属性です。ここで、サービスプロバイダは ThingWorx、Windchill、または PingFederate です。 IdP からグループ属性を使用できない場合、またはそれをマッピングしない場合、このプロパティを user.properties ファイルから除去できます。 | create_idp_saml2_attr_group='group' |
create_idp_saml2_attr_email | 属性契約の電子メールアドレスを指定します。属性契約は、IdP としてサービスプロバイダに送信する SAML アサーション内の拡張属性です。ここで、サービスプロバイダは ThingWorx、Windchill、または PingFederate です。 IdP から電子メール属性を使用できない場合、またはそれをマッピングしない場合、このプロパティを user.properties ファイルから除去できます。 | create_idp_saml2_attr_email='emailaddress' |