Конфигурирование PingFederate для перенаправления запросов на вход пользователя в IdP
В конфигурации поставщика сервисов настройте соединения поставщика удостоверений (IdP) для PingFederate. Для сторонних IdP PingFederate выступает в роли поставщика сервисов.
В этом процессе необходимо также выполнить следующие действия.
• Экспорт файла метаданных поставщика сервисов.
• Импорт файла метаданных из IdP.
В архитектуре SSO, которая проверена и рекомендована PTC, необходимо сконфигурировать PingFederate для перенаправления запросов аутентификации пользователя в службу каталогов предприятия (сторонние поставщики удостоверений). Это уменьшает количество узлов в архитектуре SSO, которые должны обрабатывать учетные данные пользователя для входа в систему, поскольку браузер перенаправляется для аутентификации в IdP. Чтобы сконфигурировать PingFederate как концентратор объединения, необходимо создать по крайней мере два соединения в PingFederate:
• Создайте соединение IdP в конфигурации поставщика сервисов в PingFederate. PingFederate использует это соединение для соединения с вашим IdP.
• Создайте соединение с поставщиком сервисов в конфигурации IdP в PingFederate. PingFederate использует это соединение для соединения с поставщиком сервисов.
Дополнительные сведения см. в следующих разделах
документации PingFederate (на английском языке):
• Service provider SSO configuration (Конфигурация SSO поставщика сервисов (SP))
• Bridging an IdP to an SP (Перенос IdP в SP)
• Federation hub and authentication policy contracts (Концентраторы объединения и контракты политики аутентификации)
|
Используйте только шаблон соединения профиля SSO браузера для конфигурирования соединения SSO. Не следует создавать адаптеры SP для соединений SSO.
|
Подготовка учетных записей пользователей - это расширенная конфигурация при настройке SSO в
PingFederate. Подготовка пользователя зависит от IdP, выбранного клиентом. Она работает по-разному для каждого IdP. Дополнительные сведения о подготовке пользователей см. в разделе
Provisioning (Подготовка) (на английском языке) в справочном центре
ThingWorx.
Контракт политики аутентификации
Кроме того, необходимо создать в PingFederate контракт политики аутентификации, в котором создается мост между соединением поставщика сервисов и соединением IdP. Контракт политики аутентификации используется, чтобы указать, какие атрибуты пользователя должны загружаться из IdP и передаваться в приложение поставщика сервисов. Сведения о дополнительных требуемых атрибутах см. в документации IdP.
При конфигурировании SSO для продуктов PTC требуются следующие атрибуты для аутентификации пользователя, которые должны быть представлены в IdP и сопоставлены в контракте политики аутентификации:
• uid
• subject
• email
• group
Например, можно ввести следующие значения для Active Directory Federation Services (ADFS). Однако сопоставление может отличаться в зависимости от выбора IdP. Пользователь должен определить сопоставление на основе своих требований.
Атрибут
|
Значение
|
subject
|
SAML_SUBJECT (Утверждение)
|
uid
|
http://schemas.xmlsoap.org/ws/2005/05/Identity/claims/name (Утверждение)
|
email
|
http://schemas.xmlsoap.org/claims/EmailAddress (Утверждение)
|
group
|
http://schemas.xmlsoap.org/claims/Group (Утверждение)
|
Чтобы применить контракт политики аутентификации, выполните следующие действия.
1. Войдите в консоль администрирования PingFederate как администратор.
2. В меню SP Configuration в разделе AUTHENTICATION POLICIES щелкните Policy Contracts.
3. На странице Authentication Policy Contracts щелкните Create New Contract.
4. Добавьте требуемые атрибуты (на основе требуемых для PTC, как показано выше, и требуемых для IdP) и нажмите кнопку Done.
5. Этот контракт политики используется при настройке подключения IdP к службе каталогов предприятия.
|
После создания соединения IdP можно подтвердить, для каких атрибутов выполнятся обмен, проверив раздел Contract Fulfillment на вкладке Activation & Summary для соединения IdP.
|