Задание свойств пользователя
Необходимо указать значения свойств в файле user.properties соответственно своим бизнес-требованиям. Этот файл находится в папке <PINGFEDERATE_SCRIPT_HOME>, в которой сохраняются сценарии автоматизации для конфигурирования PingFederate.
 |
Заключайте значение каждого свойства в одинарные кавычки.
|
Файл user.properties содержит настройки для следующих свойств. Щелкните ссылки, чтобы просмотреть различные свойства, описания и примеры значений.
Глобальные свойства пользователя, применимые к любой конфигурации IdP
Соединения PingFederate
В следующей таблице описаны свойства, которые необходимо указать для конфигурирования связи с PingFederate, а также пример для каждого свойства.
Свойство | Описание | Пример | ||
|---|---|---|---|---|
global_pingFedHost | Указывает полное доменное имя (FQDN) сервера, на котором выполняется консоль администрирования PingFederate. Формат значения свойства - <FQDN сервера>. | global_pingFedHost='pingfed.yourorg.com' | ||
global_pingFedAdminPort | Указывает порт, через который работает консоль администрирования PingFederate. Формат значения свойства - <порт сервера >. | global_pingFedAdminPort='9999' | ||
global_pingFedIdpEntityId | Указывает уникальный идентификатор для сущности SAML 2.0, который представляет PingFederate. | global_pingFedIdpEntityId='ptc-pingfed' | ||
global_pingFed_admin_certificate | Указывает имя файла сертификата уровня безопасности SSL, доверенного в сценариях автоматизации, при выполнении административных вызовов API. Задавать значение для этого свойства не обязательно, но рекомендуется, поскольку использование сертификата обеспечивает безопасное соединение SSL между PingFederate и сценариями.
| global_pingFed_admin_certificate='pingfed_admin_ssl.crt' |
Сертификаты SSL для слоя приложения (шифрование и подписание SAML)
В следующей таблице описаны свойства, которые необходимо указать для конфигурирования сертификатов SSL для слоя приложения (шифрование и подпись SAML), а также пример для каждого свойства. Дополнительные сведения см. в разделе Manage digital signing certificates and decryption keys (Управление сертификатами цифровых подписей и ключами расшифровки) документации PingFederate (на английском языке).
Свойство | Описание | Пример |
|---|---|---|
create_pingfed_signing_cert_organization | Указывает наименование организации или компании, создающих сертификат. | create_pingfed_signing_cert_organization='ptc' |
create_pingfed_signing_cert_organizationUnit | Указывает конкретное подразделение в организации. | create_pingfed_signing_cert_organizationUnit='ent-sso' |
create_pingfed_signing_cert_city | Указывает город или другое основное расположение, в котором работает компания. | create_pingfed_signing_cert_city='Blaine' |
create_pingfed_signing_cert_state | Указывает регион или другое территориальное образование, в котором находится расположение. | create_pingfed_signing_cert_state='MN' |
create_pingfed_signing_cert_country | Указывает код страны, в которой базируется компания. Код страны представляется в виде двухбуквенного кода. | create_pingfed_signing_cert_country='US' |
create_pingfed_signing_cert_validDays | Указывает время, в течение которого сертификат является действительным. | create_pingfed_signing_cert_validDays='36500' |
Соединение с поставщиком сервисов
В следующей таблице описаны свойства, которые необходимо указать для конфигурирования связи с поставщиком сервисов, а также примеры для каждого свойства. Дополнительные сведения см. в разделе Manage SP connections (Управление соединениями с SP) документации PingFederate (на английском языке).
Свойство | Описание | Пример |
|---|---|---|
create_sp_connection_baseUrl | Указывает базовый URL-адрес, на котором размещен сервер для поставщика сервисов. Формат значения свойства - https://<fqdn сервера>:<порт сервера>. | create_sp_connection_baseUrl='https://thingworx.yourorg.com:8443' Здесь <поставщиком сервисов> может быть ThingWorx, Windchill RV&S или Windchill. |
create_sp_connection_input_sign_verif_cert | Указывает имя файла сертификата, используемого для проверки цифровой подписи для входящей лексемы SAML. | create_sp_connection_input_sign_verif_cert='twx_sp_signing.crt' Здесь <специфичное имя для sp> может иметь значение twx, ilm или wnc. |
create_sp_connection_entityId | Определяет уникальное удостоверение поставщика сервисов. Значение свойства для поставщика сервисов должно иметь видhttps://<fqdn сервера>:<порт сервера>/saml/metadata | Следующий пример относится к Windchill RV&S: create_sp_connection_entityId='https://integrity.yourorg.com:8443/saml/metadata' |
Клиентские соединения OAuth с ThingWorx в качестве поставщика сервисов
В следующей таблице описаны свойства, которые необходимо указать для конфигурирования соединений клиента OAuth с ThingWorx в качестве поставщика сервисов, а также пример для каждого свойства. Дополнительные сведения см. в разделе Configure an OAuth client (Конфигурирование клиента OAuth) документации PingFederate (на английском языке).
Свойство | Описание | Пример |
|---|---|---|
create_twx_sp_oauth_client_description | Содержит описание того, что делает клиентское приложение. Это описание отображается, когда запрашивается авторизация пользователя. | create_twx_sp_oauth_client_description='Thingworx service provider OAuth client.' |
create_twx_sp_oauth_client_auth_secret_value | Указывает секретное слово клиента OAuth. | create_twx_sp_oauth_client_auth_secret_value='twx-sp-client_1234' |
create_twx_sp_oauth_client_redirectURI | Указывает URI, к которому сервер авторизации OAuth может перенаправить агент пользователя - владельца ресурса после получения авторизации. Формат значения свойства - https://<fqdn сервера>:<порт сервера> /Thingworx/oauth2_ authorization_ code_redirect. | create_twx_sp_oauth_client_redirectURI='https://thingworx.yourorg.com:8443/ Thingworx/oauth2_ authorization_ code_redirect' |
Клиентские соединения OAuth с Windchill в качестве сервера ресурсов
В следующей таблице описаны свойства, которые необходимо указать для конфигурирования соединений клиента OAuth с Windchill в качестве сервера ресурсов, а также пример для каждого свойства. Дополнительные сведения см. в разделе Configure an OAuth client (Конфигурирование клиента OAuth) документации PingFederate (на английском языке).
Свойство | Описание | Пример |
|---|---|---|
create_wnc_oauth_client_description | Содержит описание того, что делает клиентское приложение. Это описание отображается, когда запрашивается авторизация пользователя. | create_wnc_rp_oauth_client_description='Windchill resource server OAuth client.' |
create_wnc_oauth_client_auth_secret_value | Указывает секретное слово клиента OAuth. | create_wnc_rp_oauth_client_auth_secret_value='wnc-rp-client_1234' |
Клиентские соединения OAuth с Windchill RV&S в качестве сервера ресурсов
В следующей таблице описаны свойства, которые необходимо указать для конфигурирования соединений клиента OAuth с Windchill RV&S в качестве сервера ресурсов, а также пример для каждого свойства. Дополнительные сведения см. в разделе Configure an OAuth client (Конфигурирование клиента OAuth) документации PingFederate (на английском языке).
Свойство | Описание | Пример |
|---|---|---|
create_ilm_oauth_client_description | Содержит описание того, что делает клиентское приложение. Это описание отображается, когда запрашивается авторизация пользователя. | create_ilm_rp_oauth_client_description='IntegrityLifecycle Manager resource server OAuth client.' |
create_ilm_oauth_client_auth_secret_value | Указывает секретное слово клиента OAuth. | create_ilm_rp_oauth_client_auth_secret_value='olm-rp-client_1234' |
Управление контекстной областью
В следующей таблице описаны свойства, которые необходимо указать для регистрации контекстных областей в PingFederate, а также пример для каждого свойства. Дополнительные сведения см. в разделе Scopes (Контекстные области) документации PingFederate (на английском языке).
Свойство | Описание | Пример |
|---|---|---|
create_oauth_default_scope_description | Указывает описание разрешений, подразумеваемых, когда не указаны значения контекстной области или в дополнение к любым значениям. Это описание отображается, когда запрашивается авторизация пользователя. | create_oauth_default_scope_description='Default Scope' |
create_oauth_twx_scope | Указывает контекстные области для ThingWorx в качестве поставщика сервисов. | create_oauth_twx_scope='THINGWORX' |
create_oauth_twx_read_scope_description | Указывает описание значения контекстной области для ThingWorx. Это описание отображается, когда запрашивается авторизация пользователя. | create_oauth_twx_scope_description='Thingworx Scope' |
create_oauth_wnc_read_scope | Указывает контекстные области для Windchill в качестве сервера ресурсов. | create_oauth_wnc_read_scope='WINDCHILL' |
create_oauth_wnc_read_scope_description | Указывает описание значения контекстной области для Windchill. Это описание отображается, когда запрашивается авторизация пользователя. | create_oauth_wnc_scope_description='Windchill Scope' |
create_oauth_ilm_scope | Указывает контекстные области для Windchill RV&S в качестве поставщика сервисов. | create_oauth_ilm_ scope='INTEGRITY_ READ' |
create_oauth_ilm_ read_scope_ description | Указывает описание значения контекстной области для Windchill RV&S. Это описание отображается, когда запрашивается авторизация пользователя. | create_oauth_ilm_ scope_ description= 'Integrity LM Scope' |
Свойства пользователя, специфичные для PingFederate, применимые при конфигурировании PindFederate в качестве IdP
Хранилище данных
Конфигурирование хранилища данных требуется только при выборе PingFederate в качестве IdP.
В следующей таблице описаны свойства, которые необходимо указать для конфигурирования сервера каталогов LDAP в качестве хранилища данных, а также пример для каждого свойства. Это хранилище данных используется с помощью валидатора учетных данных пароля LDAP для проверки учетных данных пользователя с помощью PingFederate для аутентификации пользователей. Дополнительные сведения см. в разделе "Manage data stores" (Управление хранилищами данных) в документации PingFederate (на английском языке).
Свойство | Описание | Пример |
|---|---|---|
create_ldap_datastore_hostname | Указывает DNS-имя или IP-адрес хранилища данных с возможным включением номера порта. Формат значения свойства - <FQDN LDAP>:<порт LDAP> . | create_ldap_datastore_hostname='windchillDS.ptc.com:389' ИЛИ create_ldap_ datastore_ hostname= 'integrityLDAP.ptc.com:389' |
create_ldap_datastore_userDN | Указывает имя пользователя, необходимое для доступа к хранилищу данных. | create_ldap_datastore_userDN='cn=Manager' |
create_ldap_datastore_password | Указывает пароль, необходимый для доступа к хранилищу данных. | create_ldap_datastore_password='password' |
Валидатор учетных данных пароля LDAP
Конфигурация валидатора учетных данных пароля LDAP требуется только при выборе PingFederate в качестве IdP.
В следующей таблице описаны свойства, которые необходимо указать, чтобы сконфигурировать валидатор учетных данных пароля LDAP, а также пример для каждого свойства. Дополнительные сведения см. в разделе "Manage password credential validators" (Управление валидаторами учетных данных пароля) в документации PingFederate (на английском языке).
Свойство | Описание | Пример |
|---|---|---|
create_ldap_pcv_searchBase | Указывает расположение на сервере каталогов LDAP, с которого начинается поиск. | create_ldap_pcv_searchBase='cn=Windchill_11.0,o=ptc' ИЛИ create_ldap_pcv_searchBase='cn=IntegrityOU,o=ptc' |
create_ldap_pcv_searchFilter | Указывает запрос LDAP для поиска записи пользователя. | create_ldap_pcv_searchFilter='uid=$<имя пользователя>' |
create_ldap_pcv_scopeOfSearch | Указывает уровень поиска, выполняемого в базе поиска. | create_ldap_pcv_scopeOfSearch='Subtree' |
Адаптер IdP
Конфигурирование адаптера IdP требуется только при выборе PingFederate в качестве IdP.
В следующей таблице описаны свойства, которые необходимо указать для конфигурирования адаптера IdP для PingFederate, а также пример для каждого свойства. Дополнительные сведения см. в разделе "Manage IdP adapters" (Управление адаптерами IdP) в документации PingFederate (на английском языке).
Свойство | Описание | Пример |
|---|---|---|
create_idp_adapter_attributeSource_id | Определяет уникальный идентификатор источника атрибутов, расположения конкретных хранилищ данных или каталога, содержащие информацию, которая может потребоваться для контракта адаптера IdP или рабочего процесса авторизации лексем. | create_idp_adapter_attributeSource_id='uid' |
create_idp_adapter_attributeSource_description | Указывает описание источника атрибутов. | create_idp_adapter_attributeSource_description='uid' |
create_idp_adapter_attributeSource_baseDn | Указывает базовое доменное имя для источника атрибутов. | create_idp_adapter_attributeSource_baseDn='cn=Windchill_11.0,o=ptc' Здесь <имя> может представлять Windchill, IntegrityOU и т. д. |
create_idp_adapter_attributeSource_SearchScope | Указывает контекстную область поиска. Допустимые значения: Subtree, One level и Base. | create_idp_adapter_attributeSource_SearchScope='SUBTREE' |
create_idp_adapter_attributeSource_SearchFilter | Указывает фильтр поиска, который будет использоваться для поиска. | create_idp_adapter_attributeSource_SearchFilter='uid=$<имя пользователя>' |
Специфичные для ADFS свойства пользователя, применимые при конфигурировании ADFS в качестве IdP
Соединения IdP для ADFS
В следующей таблице описаны свойства, которые необходимо указать для конфигурирования соединений IdP для ADFS, а также пример для каждого свойства.
Свойство | Описание | Пример |
|---|---|---|
create_idp_adfs_connection_entityId | Указывает идентификатор сущности, который требуется для конфигурирования ADFS в качестве поставщика удостоверений. | create_idp_adfs_connection_entityId=‘http://adfs.org.io/adfs/services/trust’ |
create_idp_adfs_connection_baseUrl | Указывает базовый URL-адрес, на котором размещается сервер для поставщика удостоверений. Формат значения свойства - https://<fqdn сервера>:<порт сервера>. | create_idp_adfs_connection_baseUrl =‘https://adfs.org.io’ (Указание порта по умолчанию не требуется.) |
create_idp_adfs_connection_input_sign_verif_cert | Указывает имя файла сертификата, который используется для проверки цифровой подписи входящей лексемы SAML. | create_idp_adfs_connection_input_sign_verif_cert =’adfs_idp_signing.crt’ |
Базовые специфичные для SAML свойства пользователя, применимые при конфигурировании любого IdP для базового SAML 2.0
Соединения IdP для базового SAML 2.0
В следующей таблице описаны свойства, которые необходимо указать для конфигурирования соединений IdP для IdP базового SAML 2.0, а также пример для каждого свойства.
Свойство | Описание | Пример |
|---|---|---|
create_idp_saml2_connection_entityId | Указывает идентификатор сущности, который требуется для конфигурирования поставщика удостоверений. | create_idp_saml2_connection_entityId= 'http://www.okta.com/exk15nb0a9fkh36Aq2p7' |
create_idp_saml2_connection_baseUrl | Указывает базовый URL-адрес, на котором размещается сервер для поставщика удостоверений. Формат значения свойства - https://<fqdn сервера>:<порт сервера>. | create_idp_saml2_connection_baseUrl='https://org.okta.com' (Указание порта по умолчанию не требуется.) |
create_idp_saml2_connection_input_sign_ verif_cert | Указывает имя файла сертификата, используемого для проверки цифровой подписи для входящей лексемы SAML. | create_idp_saml2_connection_input_sign_verif_cert= 'saml2_idp_signing.crt' |
create_idp_saml2_connection_assertion_ consumer_service_url | Указывает URL-адрес для ресурса протокола HTTP, который обрабатывает сообщения протокола SAML. Этот URL-адрес возвращает файл cookie, который представляет информацию, извлеченную из сообщения. | create_idp_saml2_connection_assertion_consumer_service_url= '/app/org399352_pingfed_1/exk15nb0a9fkh36Aq2p7/sso/saml' |
create_idp_saml2_attr_uid | Указывает наименование контракта атрибута, расширенный атрибут в утверждении SAML, который будет отправлен поставщику сервисов в качестве IdP, где поставщиком сервисов может быть ThingWorx, Windchill или PingFederate. | create_idp_saml2_attr_uid='uid' |
create_idp_saml2_attr_group | Указывает группу контракта атрибута, расширенный атрибут в утверждении SAML, который будет отправлен поставщику сервисов в качестве IdP, где поставщиком сервисов может быть ThingWorx, Windchill или PingFederate. Если атрибут группы недоступен в IdP или если не требуется его сопоставлять, это свойство можно удалить из файла user.properties. | create_idp_saml2_attr_group='group' |
create_idp_saml2_attr_email | Указывает адрес электронной почты контракта атрибута, расширенный атрибут в утверждении SAML, который отправляется в качестве IdP поставщику сервисов, где поставщиком сервисов может быть ThingWorx, Windchill или PingFederate. Если атрибут сообщения электронной почты недоступен в IdP или если не требуется его сопоставлять, это свойство можно удалить из файла user.properties. | create_idp_saml2_attr_email='emailaddress' |