사용자 속성 설정
비즈니스 요구 사항에 따라 user.properties 파일의 속성 값을 지정해야 합니다. 이 파일은 PingFederate 구성의 자동화 스크립트가 저장되는 디렉터리인 <PINGFEDERATE_SCRIPT_HOME>에 있습니다.
 |
모든 속성의 값을 작은따옴표로 묶습니다.
|
user.properties 파일에는 다음 속성에 대한 설정이 포함되어 있습니다. 링크를 클릭하면 다양한 속성, 설명 및 예의 값이 표시됩니다.
전역 사용자 속성 - 모든 IdP 구성에 적용 가능
PingFederate 연결
다음 표에서는 PingFederate와의 연결을 구성하기 위해 지정해야 하는 속성과 각 속성에 대한 예를 설명합니다.
속성 | 설명 | 예 | ||
|---|---|---|---|---|
global_pingFedHost | PingFederate 관리 콘솔이 실행되는 전체 도메인 이름을 지정합니다. 속성 값의 형식은 <서버 FQDN>입니다. | global_pingFedHost='pingfed.yourorg.com' | ||
global_pingFedAdminPort | PingFederate 관리 콘솔이 실행되는 포트를 지정합니다. 속성 값의 형식은 <서버 포트>입니다. | global_pingFedAdminPort='9999' | ||
global_pingFedIdpEntityId | PingFederate를 나타내는 SAML 2.0(Security Assertion Markup Language 2.0) 엔티티에 대한 고유 식별자를 지정합니다. | global_pingFedIdpEntityId='ptc-pingfed' | ||
global_pingFed_admin_certificate | 관리 API 호출을 수행하는 동안 자동화 스크립트에서 신뢰하는 SSL(Secure Sockets Layer) 인증서 파일의 파일 이름을 지정합니다. 이 속성의 값을 지정하는 것은 선택 사항이지만, 인증서를 사용하면 PingFederate와 스크립트 간에 보안 SSL 통신이 활성화되므로 지정할 것을 권장합니다.
| global_pingFed_admin_certificate='pingfed_admin_ssl.crt' |
응용 프로그램 레이어용 SSL 인증서(SAML 암호화 및 서명)
다음 표에서는 응용 프로그램 레이어(SAML 암호화 및 서명)의 SSL 인증서를 구성하기 위해 지정해야 하는 속성과 각 속성에 대한 예를 설명합니다. 자세한 내용은 PingFederate 설명서의 "Manage digital signing certificates and decryption keys(디지털 서명 인증서 및 암호 해독 키 관리)"를 참조하십시오.
속성 | 설명 | 예 |
|---|---|---|
create_pingfed_signing_cert_organization | 인증서를 생성하는 조직 또는 회사 이름을 지정합니다. | create_pingfed_signing_cert_organization='ptc' |
create_pingfed_signing_cert_organizationUnit | 조직 내의 특정 단위를 지정합니다. | create_pingfed_signing_cert_organizationUnit='ent-sso' |
create_pingfed_signing_cert_city | 회사가 운영되는 도시 또는 기타 기본 위치를 지정합니다. | create_pingfed_signing_cert_city='Blaine' |
create_pingfed_signing_cert_state | 해당 위치가 속한 시/도 또는 정치 단위를 지정합니다. | create_pingfed_signing_cert_state='MN' |
create_pingfed_signing_cert_country | 회사가 위치한 국가의 코드를 지정합니다. 국가 코드는 두 개의 문자 코드로 표현됩니다. | create_pingfed_signing_cert_country='US' |
create_pingfed_signing_cert_validDays | 인증서가 유효한 시간을 지정합니다. | create_pingfed_signing_cert_validDays='36500' |
서비스 공급자 연결
다음 표에서는 서비스 공급자와의 연결을 구성하기 위해 지정해야 하는 속성과 각 속성에 대한 예를 설명합니다. 자세한 내용은 PingFederate 설명서의 "Manage SP connections(SP 연결 관리)"를 참조하십시오.
속성 | 설명 | 예 |
|---|---|---|
create_sp_connection_baseUrl | 서비스 공급자에 대한 서버를 호스트하는 기본 URL을 지정합니다. 속성 값의 형식은 https://<서버 FQDN>:<서버 포트>입니다. | create_sp_connection_baseUrl='https://thingworx.yourorg.com:8443' 여기서 <Service_provider>는 ThingWorx, Windchill RV&S 또는 Windchill입니다. |
create_sp_connection_input_sign_verif_cert | 들어오는 SAML 토큰에 대한 디지털 서명을 확인하는 데 사용되는 인증서의 파일 이름을 지정합니다. | create_sp_connection_input_sign_verif_cert='twx_sp_signing.crt' 여기서 <sp 관련 이름>는 twx, ilm 또는 wnc입니다. |
create_sp_connection_entityId | 서비스 공급자에 대한 고유 ID를 지정합니다. 서비스 공급자의 속성 값은 https://<서버 FQDN>:<서버 포트>/saml/metadata여야 합니다. | 이 예는 Windchill RV&S에만 해당됩니다. create_sp_connection_entityId='https://integrity.yourorg.com:8443/saml/metadata' |
ThingWorx를 서비스 공급자로 사용하여 OAuth 클라이언트 연결
다음 표에서는 서비스 공급자로 ThingWorx와의 OAuth 클라이언트 연결을 구성하기 위해 지정해야 하는 속성과 각 속성에 대한 예를 설명합니다. 자세한 내용은 PingFederate 설명서의 "Configure an OAuth client(OAuth 클라이언트 구성)"를 참조하십시오.
속성 | 설명 | 예 |
|---|---|---|
create_twx_sp_oauth_client_description | 클라이언트 응용 프로그램이 수행하는 작업에 대한 설명을 지정합니다. 이 설명은 사용자에게 승인을 요청하는 경우 나타납니다. | create_twx_sp_oauth_client_description='Thingworx service provider OAuth client.' |
create_twx_sp_oauth_client_auth_secret_value | OAuth 클라이언트 보안을 지정합니다. | create_twx_sp_oauth_client_auth_secret_value='twx-sp-client_1234' |
create_twx_sp_oauth_client_redirectURI | 승인 받은 후 OAuth 승인 서버가 리소스 소유자의 사용자 에이전트를 리디렉션할 수 있는 URI를 지정합니다. 속성 값의 형식은 https://<서버 FQDN>:<서버 포트>/Thingworx/oauth2_ authorization_ code_redirect입니다. | create_twx_sp_oauth_client_redirectURI='https://thingworx.yourorg.com:8443/ Thingworx/oauth2_ authorization_ code_redirect' |
Windchill을 리소스 서버로 사용하여 OAuth 클라이언트 연결
다음 표에서는 Windchill를 리소스 서버로 사용하는 OAuth 클라이언트 연결을 구성하기 위해 지정해야 하는 속성과 각 속성에 대한 예를 설명합니다. 자세한 내용은 PingFederate 설명서의 "Configure an OAuth client(OAuth 클라이언트 구성)"를 참조하십시오.
속성 | 설명 | 예 |
|---|---|---|
create_wnc_oauth_client_description | 클라이언트 응용 프로그램이 수행하는 작업에 대한 설명을 지정합니다. 이 설명은 사용자에게 승인을 요청하는 경우 나타납니다. | create_wnc_rp_oauth_client_description='Windchill resource server OAuth client.' |
create_wnc_oauth_client_auth_secret_value | OAuth 클라이언트 보안을 지정합니다. | create_wnc_rp_oauth_client_auth_secret_value='wnc-rp-client_1234' |
Windchill RV&S를 리소스 서버로 사용하여 OAuth 클라이언트 연결
다음 표에서는 Windchill RV&S를 리소스 서버로 사용하는 OAuth 클라이언트 연결을 구성하기 위해 지정해야 하는 속성과 각 속성에 대한 예를 설명합니다. 자세한 내용은 PingFederate 설명서의 "Configure an OAuth client(OAuth 클라이언트 구성)"를 참조하십시오.
속성 | 설명 | 예 |
|---|---|---|
create_ilm_oauth_client_description | 클라이언트 응용 프로그램이 수행하는 작업에 대한 설명을 지정합니다. 이 설명은 사용자에게 승인을 요청하는 경우 나타납니다. | create_ilm_rp_oauth_client_description='IntegrityLifecycle Manager resource server OAuth client.' |
create_ilm_oauth_client_auth_secret_value | OAuth 클라이언트 보안을 지정합니다. | create_ilm_rp_oauth_client_auth_secret_value='olm-rp-client_1234' |
범위 관리
다음 표에서는 PingFederate의 범위를 등록하기 위해 지정해야 하는 속성과 각 속성에 대한 예를 설명합니다. 자세한 내용은 PingFederate 설명서의 "Scopes(범위)"를 참조하십시오.
속성 | 설명 | 예 |
|---|---|---|
create_oauth_default_scope_description | 범위 값이 표시되지 않거나 값에 추가되는 경우 암시된 권한에 대한 설명을 지정합니다. 이 설명은 사용자에게 승인을 요청하는 경우 나타납니다. | create_oauth_default_scope_description='Default Scope' |
create_oauth_twx_scope | 서비스 공급자로 ThingWorx의 범위를 지정합니다. | create_oauth_twx_scope='THINGWORX' |
create_oauth_twx_read_scope_description | ThingWorx의 범위 값에 대한 설명을 지정합니다. 이 설명은 사용자에게 승인을 요청하는 경우 나타납니다. | create_oauth_twx_scope_description='Thingworx Scope' |
create_oauth_wnc_read_scope | 리소스 서버로 Windchill의 범위를 지정합니다. | create_oauth_wnc_read_scope='WINDCHILL' |
create_oauth_wnc_read_scope_description | Windchill의 범위 값에 대한 설명을 지정합니다. 이 설명은 사용자에게 승인을 요청하는 경우 나타납니다. | create_oauth_wnc_scope_description='Windchill Scope' |
create_oauth_ilm_scope | 서비스 공급자로 Windchill RV&S의 범위를 지정합니다. | create_oauth_ilm_ scope='INTEGRITY_ READ' |
create_oauth_ilm_ read_scope_ description | Windchill RV&S의 범위 값에 대한 설명을 지정합니다. 이 설명은 사용자에게 승인을 요청하는 경우 나타납니다. | create_oauth_ilm_ scope_ description= 'Integrity LM Scope' |
PingFederate 관련 사용자 속성 - PindFederate를 IdP로 구성하는 경우 적용 가능
데이터 저장소
PingFederate를 IdP로 선택하는 경우에만 데이터 저장소를 구성해야 합니다.
다음 표에서는 LDAP(Lightweight Directory Access Protocol) 디렉터리 서버를 데이터 저장소로 구성하기 위해 지정해야 하는 속성과 각 속성에 대한 예를 설명합니다. 이 데이터 저장소는 LDAP 암호 자격 증명 검사기와 함께 사용자 인증을 위해 PingFederate에서 사용자 자격 증명을 검증하는 데 사용됩니다. 자세한 내용은 PingFederate 설명서의 "Manage data stores(데이터 저장소 관리)"를 참조하십시오.
속성 | 설명 | 예 |
|---|---|---|
create_ldap_datastore_hostname | 포트 번호를 포함할 수 있는 데이터 저장소의 도메인 이름 시스템 이름(DNS 이름) 또는 인터넷 프로토콜 주소(IP 주소)를 지정합니다. 속성 값의 형식은 <LDAP FQDN>:<LDAP 포트>입니다. | create_ldap_datastore_hostname='windchillDS.ptc.com:389' 또는 create_ldap_ datastore_ hostname= 'integrityLDAP.ptc.com:389' |
create_ldap_datastore_userDN | 데이터 저장소에 액세스하는 데 필요한 사용자 이름을 지정합니다. | create_ldap_datastore_userDN='cn=Manager' |
create_ldap_datastore_password | 데이터 저장소에 액세스하는 데 필요한 암호를 지정합니다. | create_ldap_datastore_password='password' |
LDAP 암호 자격 증명 유효성 검사기
LDAP 암호 자격 증명 검사기의 구성은 PingFederate를 IdP로 선택하는 경우에만 필요합니다.
다음 표에서는 LDAP 암호 자격 증명 검사기를 구성하기 위해 지정해야 하는 속성과 각 속성에 대한 예를 설명합니다. 자세한 내용은 PingFederate 설명서의 "Manage password credential validators(암호 자격 증명 유효성 검사기 관리)"를 참조하십시오.
속성 | 설명 | 예 |
|---|---|---|
create_ldap_pcv_searchBase | LDAP 디렉터리 서버에서 검색이 시작되는 위치를 지정합니다. | create_ldap_pcv_searchBase='cn=Windchill_11.0,o=ptc' 또는 create_ldap_pcv_searchBase='cn=IntegrityOU,o=ptc' |
create_ldap_pcv_searchFilter | 사용자 기록을 찾기 위한 LDAP 질의를 지정합니다. | create_ldap_pcv_searchFilter='uid=$<username>' |
create_ldap_pcv_scopeOfSearch | 검색 기준에서 수행할 검색 레벨을 지정합니다. | create_ldap_pcv_scopeOfSearch='Subtree' |
IdP 어댑터
PingFederate를 IdP로 선택하는 경우에만 IdP 어댑터를 구성해야 합니다.
다음 표에서는 PingFederate의 IdP 어댑터를 구성하기 위해 지정해야 하는 속성과 각 속성에 대한 예를 설명합니다. 자세한 내용은 PingFederate 설명서의 "Manage IdP adapters(IdP 어댑터 관리)"를 참조하십시오.
속성 | 설명 | 예 |
|---|---|---|
create_idp_adapter_attributeSource_id | IdP 어댑터 계약 또는 토큰 승인 워크플로에 필요한 정보가 포함된 속성 소스, 특정 데이터 저장소 또는 디렉터리 위치의 고유 식별자를 지정합니다. | create_idp_adapter_attributeSource_id='uid' |
create_idp_adapter_attributeSource_description | 속성 소스에 대한 설명을 지정합니다. | create_idp_adapter_attributeSource_description='uid' |
create_idp_adapter_attributeSource_baseDn | 속성 소스의 기본 도메인 이름을 지정합니다. | create_idp_adapter_attributeSource_baseDn='cn=Windchill_11.0,o=ptc' 여기서 <name>은 Windchill, IntegrityOU 등입니다. |
create_idp_adapter_attributeSource_SearchScope | 검색 범위를 지정합니다. 유효한 값은 Subtree, One level 및 Base입니다. | create_idp_adapter_attributeSource_SearchScope='SUBTREE' |
create_idp_adapter_attributeSource_SearchFilter | 검색에 사용할 검색 필터를 지정합니다. | create_idp_adapter_attributeSource_SearchFilter='uid=$<username>' |
ADFS 관련 사용자 속성 - ADFS를 IdP로 구성하는 경우 적용 가능
ADFS로의 IdP 연결
다음 표에서는 ADFS로의 IdP 연결을 구성하기 위해 지정해야 하는 속성과 각 속성에 대한 예를 설명합니다.
속성 | 설명 | 예 |
|---|---|---|
create_idp_adfs_connection_entityId | ADFS를 ID 공급자로 구성하는 데 필요한 엔티티 식별자를 지정합니다. | create_idp_adfs_connection_entityId=‘http://adfs.org.io/adfs/services/trust’ |
create_idp_adfs_connection_baseUrl | ID 공급자에 대한 서버를 호스트하는 기본 URL을 지정합니다. 속성 값의 형식은 https://<서버 FQDN>:<서버 포트>입니다. | create_idp_adfs_connection_baseUrl =‘https://adfs.org.io’ 기본 포트를 지정하지 않아도 됩니다. |
create_idp_adfs_connection_input_sign_verif_cert | 들어오는 SAML 토큰에 대한 디지털 서명을 확인하는 데 사용되는 인증서의 파일 이름을 지정합니다. | create_idp_adfs_connection_input_sign_verif_cert =’adfs_idp_signing.crt’ |
일반 SAML 관련 사용자 속성 - 일반 SAML 2.0 IdP를 구성하는 경우 적용 가능
일반 SAML 2.0으로의 IdP 연결
다음 표에서는 일반 SAML 2.0 IdP로의 IdP 연결을 구성하기 위해 지정해야 하는 속성과 각 속성에 대한 예를 설명합니다.
속성 | 설명 | 예 |
|---|---|---|
create_idp_saml2_connection_entityId | ID 공급자를 구성하는 데 필요한 엔티티 식별자를 지정합니다. | create_idp_saml2_connection_entityId= 'http://www.okta.com/exk15nb0a9fkh36Aq2p7' |
create_idp_saml2_connection_baseUrl | ID 공급자에 대한 서버를 호스트하는 기본 URL을 지정합니다. 속성 값의 형식은 https://<서버 FQDN>:<서버 포트>입니다. | create_idp_saml2_connection_baseUrl='https://org.okta.com' 기본 포트를 지정하지 않아도 됩니다. |
create_idp_saml2_connection_input_sign_ verif_cert | 들어오는 SAML 토큰에 대한 디지털 서명을 확인하는 데 사용되는 인증서의 파일 이름을 지정합니다. | create_idp_saml2_connection_input_sign_verif_cert= 'saml2_idp_signing.crt' |
create_idp_saml2_connection_assertion_ consumer_service_url | SAML 프로토콜 메시지를 처리하는 HTTP(HyperText Transfer Protocol) 리소스의 URL을 지정합니다. 이 URL은 메시지에서 추출된 정보를 나타내는 쿠키를 반환합니다. | create_idp_saml2_connection_assertion_consumer_service_url= '/app/org399352_pingfed_1/exk15nb0a9fkh36Aq2p7/sso/saml' |
create_idp_saml2_attr_uid | 서비스 공급자에 IdP로 보낼 SAML 어설션에 대한 확장된 속성인 속성 계약의 이름을 지정합니다. 여기서 서비스 공급자는 ThingWorx, Windchill 또는 PingFederate입니다. | create_idp_saml2_attr_uid='uid' |
create_idp_saml2_attr_group | 서비스 공급자에 IdP로 보낼 SAML 어설션에 대한 확장된 속성인 속성 계약의 그룹을 지정합니다. 여기서 서비스 공급자는 ThingWorx, Windchill 또는 PingFederate입니다. IdP에서 그룹 속성을 사용할 수 없거나 해당 속성을 매핑하지 않으려는 경우에는 user.properties 파일에서 이 속성을 제거할 수 있습니다. | create_idp_saml2_attr_group='group' |
create_idp_saml2_attr_email | 서비스 공급자에 IdP로 보낼 SAML 어설션에 대한 확장된 속성인 속성 계약의 이메일 주소를 지정합니다. 여기서 서비스 공급자는 ThingWorx, Windchill 또는 PingFederate입니다. IdP에서 이메일 속성을 사용할 수 없거나 해당 속성을 매핑하지 않으려는 경우에는 user.properties 파일에서 이 속성을 제거할 수 있습니다. | create_idp_saml2_attr_email='emailaddress' |