シングルサインオンの概要
シングルサインオン (SSO) は、プラットフォーム、テクノロジ、またはドメインに関係なく、1 セットの資格証明を使用して組織全体の複数のアプリケーションにアクセスすることを可能にするセッションおよびユーザー認証メカニズムです。SSO が有効になっているアプリケーションにログインすると、適切なアクセス許可を持っているその他すべてのアプリケーションに自動的にサインインします。PTC は、SSO を認証の方法として推奨します。
 |
アプリケーションに SSO が設定されており、ID プロバイダ (IdP) が多要素認証 (MFA) をサポートしている場合、IdP を介して MFA を設定できます。PTC アプリケーションは MFA を管理していません。これは IdP を介して設定されます。
|
SSO 情報プロセスフローは、認証および権限承認データの交換で構成されています。次のテーブルにリストされているコンポーネントは、それぞれ 1 つまたは両方の交換において一定の役割を果たします。
|
用語
|
定義
|
||
|---|---|---|---|
|
中央認証サーバー (CAS)
|
SSO フェデレーション全体におけるユーザーの認証と権限承認を管理するサードパーティのツール。これにより、ユーザーは委任認証を介して複数のリソースサーバーからのデータにアクセスできます。
PTC では以下の中央認証サーバーがサポートされています。
• PingFederate
• Microsoft Entra ID
◦ ThingWorx バージョン、9.2 以降、9.1.4 以降、および 9.0 9 以降
◦ Windchill 12.0.2.2 以降
• Azure AD B2C
◦ ThingWorx バージョン 9.6.0 以降。
• AD FS
◦ ThingWorx バージョン、9.2 以降、9.1.4 以降、および 9.0 9 以降
|
||
|
Open Authorization (OAuth)
|
OAuth は、アクセストークンを使用して、アプリケーションがユーザーに代わって別のアプリケーションに対して認証し、ユーザーが所有するデータを取得できるようにする業界標準です。
PTC の SSO フレームワークでは OAuth 2.0 が使用されています。
|
||
|
Security Assertion Markup Language (SAML)
|
SAML は XML ベースの認証の業界標準であり、アプリケーション固有のパスワードを必要としません。SAML では、1 回の使用で失効するデジタルトークンを使用して、信頼関係が確立されている ID プロバイダとサービスプロバイダの間で認証データと権限承認データが交換されます。
PTC の SSO フレームワークでは SAML 2.0 が使用されています。
|
||
|
OpenID Connect (OIDC)
|
OpenID Connect (OIDC) は、OAuth 2.0 フレームワーク上に構築された ID レイヤーです。これにより、サードパーティアプリケーションはエンドユーザーの ID を検証し、基本的なユーザープロファイル情報を取得できます。OIDC では JSON Web トークン (JWT) が使用されます。これは OAuth 2.0 仕様に準拠したフローを使用して取得できます。
|
||
|
アクセストークン
|
リソースオーナーデータにアクセスするために、アプリケーションが別のアプリケーションに提供する認証サーバーから取得される不透明文字列または JWT トークン。
|
||
|
フェデレーション
|
CAS を使用してシングルサインオンを有効にするように設定されているエンタープライズ内のソフトウェアアプリケーションのネットワーク。
|
||
|
ID プロバイダ (IdP)
|
ユーザー ID データを管理するサードパーティツール。ユーザー管理システムまたは Active Directory にユーザー名、パスワード、およびその他の資格証明が保存されます。CAS はユーザーを認証する際に IdP を参照します。
|
||
|
リソースサーバー (RS)
|
保護されているデータが含まれている SSO フェデレーション内のアプリケーション。
|
||
|
サービスプロバイダ (SP)
|
ユーザーによる情報へのアクセスが行われる Web サーバー。これは、SAML プロトコルを使用して、SSO フェデレーション内のユーザーログインを認証します。また、SP は、認証済みのユーザーに代わって、RP からの保護されているデータへのアクセスをリクエストします。
|
||
|
範囲
|
CAS、SP、および RP に登録する文字列値。これにより、リソースサーバーで使用可能なリソースオーナーのデータに対するアクセス制御が強化されます。保護されているリソースに関連付けられている範囲に対する承認が SP に付与されると、有効なアクセストークンも提供されている場合にのみ、そのデータが SP で使用可能になります。
|
||
|
ユーザーエージェント
|
ユーザー (リソースオーナー) が情報にアクセスするために使用する Web ブラウザ。ユーザーエージェントは、ユーザーに代わって、SP と CAS からのリクエストを行います。
|