Установка PingFederate
Ниже приведен обзор шагов высокого уровня, которые необходимо выполнить, чтобы установить PingFederate. Каждый раздел содержит шаги, необходимые для выполнения задания.
Шаг 1. Загрузите PingFederate
Загрузите последнюю сборку дополнительной версии и исправления PingFederate, поддерживаемые вашим продуктом, как указано в требованиях к системе.
Шаг 2. Получите лицензию PingFederate
 |
Начиная с апреля 2025 г. PTC больше не будет предоставлять локальным клиентам лицензии PingFederate (новые или продления) для любых приложений PTC с поддержкой SSO. Все клиенты, выбирающие использование PingFederate, должны для приобретения лицензии PingFederate заключить договор непосредственно с PingIdentity.
Клиентам PTC Cloud при необходимости предоставляется лицензия на PingFederate как часть предоставляемого PTC предложения.
|
Шаг 3. Установите PingFederate
Инструкции по установке PingFederate 12.1 см. в разделе Установка и удаление PingFederate.
Шаг 4. Примените исправление к установке PingFederate
После установки PingFederate необходимо применить соответствующее исправление PingFederate к обновленной установке PingFederate. Исправление должно применяться в соответствии с инструкциями, предоставляемыми PingFederate.
Шаг 5. Конфигурирование PingFederate и развертывание файла лицензии PingFederate
1. В окне командной строки перейдите в папку PingFederate/bin и выполните файл run.bat в ОС Windows или run.sh в ОС Linux для запуска PingFederate.
Запуск PingFederate может занять некоторое время.
2. При возвращении сообщения PingFederate running откройте в своем браузере URL-адрес PingFederate в следующем формате: https://<hostname.domain.com>:9999/PingFederate/.
3. Если отображаются предупреждения об ошибках сертификатов, примите их, чтобы продолжить настройку.
4. Следуйте инструкциям на экранах программы установки PingFederate до завершения настройки.
5. Подтвердите, что установка PingFederate была выполнена, снова войдя в систему в новой сессии браузера. Перейдите по URL-адресу PingFederate в формате https://<hostname.domain.com>:9999/pingfederate/ и войдите в систему с вновь созданными именем пользователя и паролем администратора.
Шаг 6. Определите идентификатор объекта SAML 2.0
|
|
В PingFederate 11 entityID не определяется как часть начальных настроек PingFederate, выполненных на предыдущих шагах. Выполните приведенные ниже шаги, чтобы определить entityID.
|
1. Перейдите в консоль администрирования PingFederate.
2. Выполните поиск Protocol Settings. Откройте результаты поиска.
3. Введите entityID в поле SAML 2.0 ENTITY ID на вкладке Federation Info. Нажмите кнопку Save.
Шаг 7. Завершение междоменного конфигурирования для атрибута SameSite cookie
|
|
Если используется PingFederate 11 или более поздней версии, атрибут sameSite уже существует с заданным значением по умолчанию None в файле jetty-runtime.xml.
<Call name="setAttribute"> |
Если PingFederate, ThingWorx и IdP находятся в разных доменах, необходимо включить атрибут SameSite cookie. Для этого в файле <папка установки PingFederate>/etc/jetty-runtime.xml задайте для атрибута sameSiteSpecifier в элементе baseHttpConfig значение None.
<New id="baseHttpConfig" class="org.eclipse.jetty.server.HttpConfiguration">
<!-- ... -->
<Set name="headerCacheSize">512</Set>
<Set name="sameSiteSpecifier">None</Set>
<!-- … -->
</New>
|
|
Для полной поддержки междоменного взаимодействия необходимо применить аналогичные изменения к Tomcat. Дополнительные сведения см. в статье на сайте технической поддержки PTC (на английском языке).
|
Шаг 8. Сконфигурируйте PingFederate так, чтобы всегда возвращалась контекстная область
Создайте или отредактируйте файл oauth-scope-settings.xml, доступный в расположении <PingFederate Installation Folder>/server/default/data/config-store, следующим образом:
<?xml version="1.0" encoding="UTF-8"?>
<z:config xmlns:z="http://www.sourceid.org/2004/05/config">
<z:item name="always-return-scope-for-authz-code">true</z:item>
</z:config>
Шаг 9. Перезапустите PingFederate
Перезапустите сервер PingFederate.