PingFederate 作为中央身份验证服务器 > 配置中央身份验证服务器 – PingFederate > 手动配置第三方 IdP 的身份验证 > 为 PTC 产品创建 OAuth 客户端
为 PTC 产品创建 OAuth 客户端
PingFederate 中创建 OAuth 客户端,该客户端可用作获取或验证访问令牌时 PTC 产品所连接的端点。建议为各产品所执行的每个角色均创建一个单独的 OAuth 客户端。
先决条件 - 创建访问令牌管理实例
访问令牌管理实例可用于为不同的 OAuth 客户端配置访问令牌策略和属性合同。在以下过程中创建的访问令牌管理实例将用于为 PTC 产品创建的 OAuth 客户端。有关访问令牌管理实例及其配置方法的详细信息,请参阅 PingFederate 文档中的“访问令牌管理”。
在为 PTC 产品创建 Internally Managed Reference Tokens 访问令牌管理实例时,建议使用以下设置。
* 
具有委派 OAuth 的 JWT 令牌仅适用于 PingFederate 11.x.x。Windchill 中不支持 JWT 令牌加密。
1. PingFederate 主导航器菜单中,单击 OAuth Server > Access Token Management > Create New Instance
2. Type 选项卡上:
a. 指定实例名称和 ID。
b. Type 字段中,选择 Internally Managed Reference Tokens
c. Parent Instance 字段中,选择 None
3. 单击 Next 以接受 Instance Configuration 选项卡上的默认值。
4. Access Token Attribute Contract 选项卡上,添加 Username
5. Resource URIsAccess Control 选项卡上单击 Next 以接受默认设置。
在为 PTC 产品创建 JSON WEB TOKENS 访问令牌管理实例时,建议使用以下设置。
1. PingFederate 主导航器菜单中,单击 OAuth Server > Access Token Management > Create New Instance
2. Type 选项卡上:
a. 指定实例名称和 ID。
b. “类型”字段,选择 JSON WEB TOKENS
c. Instance Configuration 选项卡上,为 JWT 令牌签名选择 Symmeric keysCertificate
对称密钥配置:
1. Instance Configuration 选项卡上,单击 Add a new row to 'Symmetric Keys'。提供 Key IDKeyEncoding 的详细信息。对于编码,仅支持 Base64[url]。单击“更新”
2. 选择 JWS ALGORITHM。将值设置为 HMAC using SHA-XXX
3. 选择在上一步骤中提供的 ACTIVE SYMMETRIC KEY ID
4. 单击 Show Advanced Fields
5. 指定 ISSUER CLAIM VALUEAUDIENCE CLAIM VALUE 的值。应将 TYPE HEADER VALUE 设置为 JWT
证书配置:
1. Instance Configuration 选项卡上,单击 Add a new row to 'Certificates'。提供 Key IDCertificate 的详细信息。单击“更新”
2. 选择 JWS ALGORITHM。将值设置为 RSA using SHA-XXX
3. 选择在上一步骤中提供的 ACTIVE SIGNING CERTIFICATE KEY ID
4. 单击 Show Advanced Fields
5. 指定 ISSUER CLAIM VALUEAUDIENCE CLAIM VALUE 的值。应将 TYPE HEADER VALUE 设置为 JWT
6. 为可选字段 JWKS ENDPOINT PATH 指定值。如果未在此处指定该值,则需要在设置委派 OAuth 时提供签名证书。
先决条件 - 配置访问令牌映射
在标识随访问令牌一起提供的属性时需用到访问令牌映射。要为 PTC 产品配置此映射,必须将 Username 属性映射至 USER_KEY。有关访问令牌映射的详细信息,请参阅 PingFederate 文档中的“管理访问令牌映射”。
在为 PTC 产品配置访问令牌映射时,建议使用以下设置:
1. PingFederate 主导航器菜单中,选择 OAuth Server > Access Token Mapping
2. Access Token Attribute Mapping 页面上:
a. Context 选择默认值。
b. Access Token Manager 选择上一过程中创建的访问令牌管理实例。
c. 单击 Add Mapping
3. Attribute Sources & User Lookup 选项卡上,单击 Next 以接受默认设置。
4. Contract Fulfillment 选项卡的 Username 合同条目内,选择 Source 列中的“持久化授权”和 Value 列中的 USER_KEY
5. Issuance Criteria 选项卡上,单击 Next 以接受默认设置。
6. 单击 Done,然后单击 Save
可继续在 SSO 框架中为 PTC 产品创建 OAuth 客户端。
这对您有帮助吗?