Создание клиентов OAuth для продуктов PTC
Клиенты OAuth создаются в PingFederate, чтобы служить в качестве конечных точек, с которыми соединяются продукты PTC при получении или проверке лексем доступа. Рекомендуется создавать отдельный клиент OAuth для каждой роли, выполняемой каждым продуктом.
Предварительное требование - создайте экземпляр управления лексемами доступа
Экземпляры управления лексемами доступа позволяют конфигурировать политики лексем доступа и контракты атрибутов для различных клиентов OAuth. Экземпляр управления лексемами доступа, созданный в следующей процедуре, будет использоваться для клиентов OAuth, создаваемых для продуктов PTC. Дополнительные сведения об экземплярах управления лексемами доступа и их конфигурировании см. в разделе Access token management (Управление лексемами доступа) документации PingFederate (на английском языке).
При создании экземпляра управления лексемой доступа для Internally Managed Reference Tokens для продуктов PTC рекомендуется использовать следующие настройки.
 |
Лексема JWT с делегированием OAuth работает только с PingFederate 11.x.x. Шифрование лексемы JWT не поддерживается в Windchill.
|
1. В главном меню навигатора PingFederate выберите команду > > .
2. На вкладке Type выполните следующие действия.
a. Укажите имя и идентификатор экземпляра.
b. В поле Type выберите Internally Managed Reference Tokens.
c. В поле Parent Instance выберите None.
3. Нажмите кнопку Next, чтобы принять значения по умолчанию на вкладке Instance Configuration.
4. На вкладке Access Token Attribute Contract добавьте имя пользователя.
5. Нажмите кнопку Next на вкладках Resource URIs и Access Control, чтобы принять настройки по умолчанию.
При создании экземпляра управления лексемой доступа для JSON WEB TOKENS для продуктов PTC рекомендуется использовать следующие настройки.
1. В главном меню навигатора PingFederateвыберите команду > > .
2. На вкладке Type выполните следующие действия.
a. Укажите имя и идентификатор экземпляра.
b. В поле Type выберите JSON WEB TOKENS.
c. На вкладке Instance Configuration выберите Symmetric keys или Certificate для подписания лексемы JWT.
▪ Конфигурации для симметричных ключей:
1. На вкладке Instance Configuration щелкните Add a new row to 'Users'. Укажите сведения для полей Key ID, Key и Encoding. Поддерживается только кодировка Base64[url]. Щелкните Update.
2. Выберите JWS ALGORITHM. Задайте значение как HMAC using SHA-XXX.
3. Выберите идентификатор ACTIVE SYMMETRIC KEY ID, указанный на предыдущем шаге.
4. Щелкните Show Advanced Fields.
5. Укажите значения параметров ISSUER CLAIM VALUE и AUDIENCE CLAIM VALUE. Параметр TYPE HEADER VALUE следует задать как JWT.
▪ Конфигурации для сертификатов:
1. На вкладке Instance Configuration щелкните Add a new row to 'Certificates'. Укажите сведения для полей Key ID и Certificate. Щелкните Update.
2. Выберите JWS ALGORITHM. Задайте значение как RSA using SHA-XXX.
3. Выберите идентификатор ACTIVE SIGNING CERTIFICATE KEY ID, указанный на предыдущем шаге.
4. Щелкните Show Advanced Fields.
5. Укажите значения параметров ISSUER CLAIM VALUE и AUDIENCE CLAIM VALUE. Параметр TYPE HEADER VALUE следует задать как JWT.
6. Укажите значение дополнительного поля JWKS ENDPOINT PATH. Если это значение не указано, необходимо предоставить сертификат подписи во время настройки делегирования OAuth.
Предварительное условие - сконфигурировать сопоставление лексем доступа
Сопоставление лексем доступа требуется для определения атрибутов, которые будут предоставлены вместе с лексемами доступа. Чтобы сконфигурировать это сопоставление для продуктов PTC, атрибут username должен быть сопоставлен с USER_KEY. Дополнительные сведения о сопоставлении лексем доступа см. в разделе Manage access token mappings (Управление сопоставлениями лексем доступа) документации PingFederate (на английском языке).
При конфигурировании сопоставления лексем доступа для продуктов PTC рекомендуется использовать следующие настройки:
1. В главном меню навигатора PingFederate выберите > .
2. На странице Access Token Attribute Mapping:
a. Для опции Context выберите значение по умолчанию.
b. Для опции Access Token Managerвыберите экземпляр управления лексемами доступа, созданный в предыдущей процедуре.
c. Щелкните Add Mapping.
3. Чтобы принять настройки по умолчанию, на вкладке Attribute Sources & User Lookup нажмите кнопку Next.
4. На вкладке Contract Fulfillment для записи контракта имя пользователя выберите Persistent Grant в столбце Source и USER_KEY - в столбце Value.
5. На вкладке Issuance Criteria нажмите кнопку Next, чтобы принять настройки по умолчанию.
6. Нажмите кнопку Done, а затем кнопку Save.
Теперь можно перейти к созданию клиента OAuth для продукта PTC в среде SSO.