配置 PingFederate 以将用户登录请求重定向至 IdP
在服务提供者配置中,为 PingFederate 配置标识提供者 (IdP) 连接。对于第三方 IdP,可将 PingFederate 用作服务提供者。
在此过程中,还必须执行以下操作:
• 为服务提供者配置应用程序层加密证书。有关详细信息,请参阅为应用程序层加密和签名配置 SSL 证书。
• 导出服务提供者元数据文件。
• 从 IdP 导入元数据文件。
在 PTC 测试和推荐的 SSO 架构中,应将 PingFederate 配置为将用户身份验证请求重定向至企业目录服务 (第三方标识提供者 (IdP))。这可减少 SSO 架构中处理用户登录凭据所需的节点,因为浏览器会被重定向以通过 IdP 进行身份验证。要将 PingFederate 配置为联合中心,必须在 PingFederate 中至少创建两个连接:
• 在 PingFederate 中的服务提供者配置下创建 IdP 连接。PingFederate 使用此连接与 IdP 建立连接。
• 在 PingFederate 中的 IdP 配置下创建服务提供者连接。PingFederate 使用此连接与服务提供者建立连接。
有关详细信息,请参阅 PingFederate 文档中的以下主题:
• “服务提供者 SSO 配置”
• “将 IdP 桥接至 SP”
• “联合中心和身份验证策略合同”
 |
仅使用浏览器 SSO 配置文件连接模板配置 SSO 连接。不得为 SSO 连接创建 SP 适配器。
|
在 PingFederate 的 SSO 设置中,用户设置属于高级配置。用户设置取决于客户选择的 IdP。对于每个 IdP 而言,其工作方式均不相同。有关用户设置的详细信息,请参阅 ThingWorx 帮助中心内的设置。
身份验证策略合同
此外,还需在 PingFederate 中创建一个身份验证策略合同,该合同可桥接服务提供者连接和 IdP 连接。身份验证策略合同可用于指定应从 IdP 检索哪些用户属性,并将其传递至服务提供者应用程序。有关任何所需属性的说明,请参阅 IdP 文档。
在为 PTC 产品配置 SSO 时,以下属性对于用户身份验证而言必不可少,且必须于 IdP 中显示,并在身份验证策略合同中进行映射:
• uid
• subject
• email
• group
例如,您可为 Active Directory 联合身份验证服务 (ADFS) 输入以下值。然而,根据所选择的 IdP,映射可能会有所不同。必须根据需要确定映射。
|
属性
|
值
|
|---|---|
|
subject
|
SAML_SUBJECT (声明)
|
|
uid
|
http://schemas.xmlsoap.org/ws/2005/05/Identity/claims/name (声明)
|
|
email
|
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress (声明)
|
|
group
|
http://schemas.xmlsoap.org/claims/Group (声明)
|
要执行身份验证策略合同,请执行以下操作:
1. 以管理员身份登录 PingFederate 管理控制台。
2. 在 SP Configuration 菜单的 AUTHENTICATION POLICIES 部分中,单击 Policy Contracts。
3. 在 Authentication Policy Contracts 页面上,单击 Create New Contract。
4. 添加所需属性 (基于前面列出的 PTC 所需属性和 IdP 所需属性),然后单击 Done。
5. 请在设置企业目录服务的 IdP 连接时使用此策略合同。
 |
创建完 IdP 连接后,可通过查看 IdP 连接 Activation & Summary 选项卡中的 Contract Fulfillment 部分来确认正在交换的属性。
|