Установка PingFederate
Ниже приведен обзор шагов высокого уровня, которые необходимо выполнить, чтобы установить PingFederate. Каждый раздел содержит шаги, необходимые для выполнения задания.
Шаг 1. Загрузите PingFederate
Загрузите последнюю сборку дополнительной версии и исправления PingFederate, поддерживаемые вашим продуктом, как указано в требованиях к системе.
Шаг 2. Получите лицензию PingFederate
 |
PTC больше не предоставляет продукт PingFederate или лицензии на странице загрузки PTC. Начиная с 1 апреля 2022 г. разрешения на новые продукты PTC по умолчанию не будут включать лицензию PingFederate. Новые клиенты, предпочитающие использовать PingFederate, должны напрямую заключать договор с PingIdentity для приобретения лицензии на PingFederate. Клиенты PTC, получившие права до 1 апреля 2022 г., могут по-прежнему запросить лицензию на PingFederate, обратившись в службу технической поддержки PTC; это касается и запросов о продлении лицензии.
Клиентам PTC Cloud при необходимости предоставляется лицензия на PingFederate как часть предоставляемого PTC предложения.
|
Шаг 3. Установите PingFederate
Инструкции по установке PingFederate 11.0 см. в разделе Установка PingFederate.
Шаг 4. Примените исправление к установке PingFederate
После установки PingFederate необходимо применить соответствующее исправление PingFederate к обновленной установке PingFederate. Исправление должно применяться в соответствии с инструкциями, предоставляемыми PingFederate.
Шаг 5. Конфигурирование PingFederate и развертывание файла лицензии PingFederate
1. В окне командной строки перейдите в папку PingFederate/bin и выполните файл run.bat в ОС Windows или run.sh в ОС Linux для запуска PingFederate.
Запуск PingFederate может занять некоторое время.
2. При возвращении сообщения PingFederate running откройте в своем браузере URL-адрес PingFederate в следующем формате: https://<hostname.domain.com>:9999/PingFederate/.
3. Если отображаются предупреждения об ошибках сертификатов, примите их, чтобы продолжить настройку.
4. Следуйте инструкциям на экранах программы установки PingFederate до завершения настройки.
5. Подтвердите, что установка PingFederate была выполнена, снова войдя в систему в новой сессии браузера. Перейдите по URL-адресу PingFederate в формате https://<hostname.domain.com>:9999/pingfederate/ и войдите в систему с вновь созданными именем пользователя и паролем администратора.
Шаг 6. Определите идентификатор объекта SAML 2.0
|
|
В PingFederate 11 entityID не определяется как часть начальных настроек PingFederate, выполненных на предыдущих шагах. Выполните приведенные ниже шаги, чтобы определить entityID.
|
1. Перейдите в консоль администрирования PingFederate.
2. Выполните поиск Protocol Settings. Откройте результаты поиска.
3. Введите entityID в поле SAML 2.0 ENTITY ID на вкладке Federation Info. Нажмите кнопку Save.
Шаг 7. Завершение междоменного конфигурирования для атрибута SameSite cookie
|
|
Если используется PingFederate 11, атрибут sameSite уже существует в файле jetty-runtime.xml и по умолчанию имеет значение None. В этом случае шаги 1 и 2 не требуются.
<Call name="setAttribute">
<Arg>org.eclipse.jetty.cookie.sameSiteDefault</Arg> <Arg>None</Arg> </Call> |
Если PingFederate, ThingWorx и IdP находятся в разных доменах, необходимо включить атрибут SameSite cookie. Для этого в файле <папка установки PingFederate>/etc/jetty-runtime.xml задайте для атрибута sameSiteSpecifier в элементе baseHttpConfig значение None.
<New id="baseHttpConfig" class="org.eclipse.jetty.server.HttpConfiguration">
<!-- ... -->
<Set name="headerCacheSize">512</Set>
<Set name="sameSiteSpecifier">None</Set>
<!-- … -->
</New>
<!-- ... -->
<Set name="headerCacheSize">512</Set>
<Set name="sameSiteSpecifier">None</Set>
<!-- … -->
</New>
|
|
Для полной поддержки междоменного взаимодействия необходимо применить аналогичные изменения к Tomcat. Дополнительные сведения см. в статье на сайте технической поддержки PTC (на английском языке).
|
Шаг 8. Сконфигурируйте PingFederate так, чтобы всегда возвращалась контекстная область
Создайте или отредактируйте файл oauth-scope-settings.xml, доступный в расположении <PingFederate Installation Folder>/server/default/data/config-store, следующим образом:
<?xml version="1.0" encoding="UTF-8"?>
<z:config xmlns:z="http://www.sourceid.org/2004/05/config">
<z:item name="always-return-scope-for-authz-code">true</z:item>
</z:config>
<z:config xmlns:z="http://www.sourceid.org/2004/05/config">
<z:item name="always-return-scope-for-authz-code">true</z:item>
</z:config>
Шаг 9. Перезапустите PingFederate
Перезапустите сервер PingFederate.