查看默认属性
您可以查看 default.properties 文件中指定的属性的默认值,并仅在需要时对其进行编辑。此文件位于 <PINGFEDERATE_SCRIPT_HOME> 目录下,即用于保存 PingFederate 配置的自动化脚本的目录。
 |
用单引号将每个属性的值括起来。
|
default.properties 文件中包含以下属性的设置。单击链接可查看不同的属性、说明和示例值。
全局默认属性 - 适用于任何 IdP 配置
PingFederate 连接
下表介绍了已为 PingFederate 连接配置的属性,以及每个属性的默认值。
属性 | 说明 | 默认值 |
|---|---|---|
global_pingFedProtocol | 指定 PingFederate 要使用的协议。 | global_pingFedProtocol='https' |
global_pingFedAdminUser | 指定 PingFederate 管理员帐户的用户名。 | global_pingFedAdminUser='Administrator' |
应用程序层的 SSL 证书 (SAML 加密和签名)
下表介绍了已为应用程序层的 SSL 证书 (SAML 加密和签名) 配置的属性,以及每个属性的默认值。有关详细信息,请参阅 PingFederate 文档中的“管理数字签名证书和解密密钥”。
属性 | 说明 | 默认值 |
|---|---|---|
create_pingfed_signing_cert_keyAlgorithm | 指定用于生成密钥的加密公式。 | create_pingfed_signing_cert_keyAlgorithm='RSA' |
create_pingfed_signing_cert_keySize | 指定密钥中使用的位数。 | create_pingfed_signing_cert_keySize='2048' |
create_pingfed_signing_cert_signatureAlgorithm | 指定证书的签名算法。 | create_pingfed_signing_cert_signatureAlgorithm= 'SHA256withRSA' |
PingFederate 的 SSL 证书
使用自动化脚本,您可以安装 PingFederate 管理 SSL 证书作为 PingFederate 运行时 SSL 证书。
系统引入了一个新属性 activate_global_pingFed_admin_certificate_as_runtime 来管理这一行为。
此属性的默认值设置为 true,这会将 PingFederate 管理 SSL 证书激活为 PingFederate 运行时 SSL 证书。
如果将此属性的值设置为 false,则脚本会创建新的运行时 SSL 证书。这一新的运行时 SSL 证书使用定义为在 activate_global_pingFed_admin_certificate_as_runtime=false 时运行的属性创建。
下表介绍了为 PingFederate 配置 SSL 证书时必须指定的属性,以及每个属性的示例。有关详细信息,请参阅 PingFederate 文档中的“管理 SSL 服务器证书”。
属性 | 说明 | 默认值 |
|---|---|---|
PingFederate 运行时 SSL 服务器证书: | ||
activate_global_pingFed_admin_ certificate_as_runtime | 可安装 PingFederate 管理 SSL 证书作为 PingFederate 运行时 SSL 证书。 | activate_global_pingFed_admin_ certificate_as_runtime='true' |
仅当 activate_global_pingFed_admin_certificate_as_runtime='false' 时,才需要以下属性 | ||
create_pf_ssl_server_cert_organization | 指定创建证书的组织或公司名称。 | create_pf_ssl_server_cert_organization='ptc' |
create_pf_ssl_server_cert_organizationUnit | 指定组织内的特定单位。 | create_pf_ssl_server_cert_organizationUnit='ent-sso' |
create_pf_ssl_server_cert_city | 指定公司运营所在的城市或其他主要位置。 | create_pf_ssl_server_cert_city='Pune' |
create_pf_ssl_server_cert_state | 指定包含该位置的省份或其他政治单位。 | create_pf_ssl_server_cert_state='MAH' |
create_pf_ssl_server_cert_validDays | 指定证书的有效时间。 | create_pf_ssl_server_cert_validDays='36500' |
create_pf_ssl_server_cert_country | 指定公司所在国家/地区的代码。国家/地区代码以两个字母的代码表示。 | create_pf_ssl_server_cert_country='IN' |
create_pf_ssl_server_cert_keyAlgorithm | 指定用于生成密钥的加密公式。 | create_pf_ssl_server_cert_keyAlgorithm='RSA' |
create_pf_ssl_server_cert_keySize | 指定密钥中使用的位数。 | create_pf_ssl_server_cert_keySize='2048' |
create_pf_ssl_server_cert_signatureAlgorithm | 指定证书的签名算法。 | create_pf_ssl_server_cert_signatureAlgorithm='SHA256withRSA' |
服务提供者连接
下表介绍了已为服务提供者连接配置的属性,以及每个属性的默认值。有关详细信息,请参阅 PingFederate 文档中的“管理 SP 连接”。
属性 | 说明 | 默认值 |
|---|---|---|
create_sp_connection_type | 指定作为服务提供者的 ThingWorx 所需的连接类型。 | create_sp_connection_type='SP' |
create_sp_connection_entityId | 指定作为服务提供者的 ThingWorx 所需的实体标识符。例如 ThingWorx 或 Windchill RV&S。 | create_sp_connection_entityId='TWX_SP' 其中 <SP_name> 为 TWX、ILM 或 WNC。 |
create_sp_connection_name | 指定以 ThingWorx 作为服务提供者的连接的纯语言标识符。 | create_sp_connection_name='TWX_SP' |
create_sp_connection_loggingMode | 指定服务提供者连接的日志记录模式。 | create_sp_connection_loggingMode='STANDARD' |
create_sp_connection_browserSSO_protocol | 指定用于支持基于浏览器的 SSO 连接类型的协议。 | create_sp_connection_browserSSO_protocol='SAML20' |
create_sp_connection_browserSSO_assertion_ lifetime_valid_minutes_before | 指定断言发出之前其处于有效状态的持续时间。 | create_sp_connection_browserSSO_assertion_ lifetime_valid_minutes_before='60' |
create_sp_connection_browserSSO_assertion_ lifetime_valid_minutes_after | 指定断言发出之后其处于有效状态的持续时间。 | create_sp_connection_browserSSO_assertion_ lifetime_valid_minutes_after='480' |
create_sp_connection_browserSSO_ saml_identity_mapping | 指定 PingFederate 发送包含用户标识信息的安全令牌 (断言) 的方式,服务提供者 (ThingWorx、Windchill RV&S) 可将其转换或映射到本地用户存储。 | create_sp_connection_browserSSO_ saml_identity_mapping='STANDARD' |
create_sp_connection_browserSSO_ attribute_Contract_coreAttribute_name | 指定 PingFederate 作为 IdP 发送到服务提供者 ThingWorx (ThingWorx 或 Windchill RV&S) 的 SAML 断言中的核心属性名称。 | create_sp_connection_browserSSO_ attribute_Contract_coreAttribute_name='SAML_SUBJECT' |
create_sp_connection_browserSSO_ attribute_Contract_extendedAttribute_name | 指定属性合同的名称,这是 PingFederate 作为 IdP 发送到服务提供者 (ThingWorx 或 Windchill RV&S) 的 SAML 断言中的扩展属性。 | create_sp_connection_browserSSO_ attribute_Contract_extendedAttribute_name='uid' |
create_sp_connection_browserSSO_ attribute_Contract_extendedAttribute_group | 指定属性合同的组,这是 PingFederate 作为 IdP 发送到服务提供者 (ThingWorx 或 Windchill RV&S) 的 SAML 断言中的扩展属性。 | create_sp_connection_browserSSO_ attribute_Contract_extendedAttribute_group='group' |
create_sp_connection_browserSSO_ attribute_Contract_extendedAttribute_email | 指定属性合同的电子邮件,这是 PingFederate 作为 IdP 发送到服务提供者 (ThingWorx 或 Windchill RV&S) 的 SAML 断言中的扩展属性。 | create_sp_connection_browserSSO_ attribute_Contract_extendedAttribute_email='email' |
create_sp_connection_browserSSO_ attribute_contract_1_key | 指定由 IdP 适配器完成的第一个属性合同的服务提供者连接名称。 | create_sp_connection_browserSSO_ attribute_contract_1_key='uid' |
create_sp_connection_browserSSO_ attribute_contract_1_value | 指定用于完成第一个属性合同的 IdP 适配器值的名称。 | create_sp_connection_browserSSO_ attribute_contract_1_value='username' |
create_sp_connection_browserSSO_ attribute_contract_2_key | 指定由 IdP 适配器完成的第二个属性合同的服务提供者连接名称。 | create_sp_connection_browserSSO_ attribute_contract_2_key='SAML_SUBJECT' |
create_sp_connection_browserSSO_ attribute_contract_2_value | 指定用于完成第二个属性合同的 IdP 适配器值的名称。 | create_sp_connection_browserSSO_ attribute_contract_2_value='username' |
create_sp_connection_browserSSO_ attribute_contract_source | 指定包含 IdP 适配器合同或令牌授权工作流可能需要的信息的数据存储或目录位置。 | create_sp_connection_browserSSO_ attribute_contract_source='ADAPTER' |
create_sp_connection_assertion_ consumer_service_url | 指定用于处理 SAML 协议消息的超文本传输协议资源 (HTTP 资源) 的 URL,该 URL 将返回一个表示从消息中提取的信息的 Cookie。 | create_sp_connection_assertion_ consumer_service_url='/Thingworx/saml/SSO' |
create_sp_connection_assertion_ consumer_service_binding | 指定返回响应消息时使用的 SAML 协议绑定。 | create_sp_connection_assertion_ consumer_service_binding='POST' |
create_sp_connection_sign_assertion | 指定由服务提供者接收的响应、注销请求和注销响应元素是否签名。 | create_sp_connection_sign_assertion='true' |
create_sp_connection_sign_auth_requests | 指定由服务提供者发送的身份验证请求消息是否签名。此信息由服务提供者的元数据提供。 | create_sp_connection_sign_auth_requests='true' |
create_sp_connection_encrypt_entire_assertion | 指定由服务提供者接收的整个断言是否加密。 | create_sp_connection_encrypt_entire_assertion='true' |
create_sp_connection_signing_algorithm | 指定服务提供者在签名过程中使用的算法。 | create_sp_connection_signing_algorithm='SHA256withRSA' |
create_sp_connection_block_encryption_algorithm | 指定块加密算法的密码代码。如果为 PingFederate 和 ThingWorx JRE 或 JDK 安装了无限制强度 JAVA (TM) 加密扩展 (JCE) 策略文件,则建议使用 'AES_ 256'。 | create_sp_connection_block_encryption_algorithm='AES_128' |
create_sp_connection_key_transport_algorithm | 指定用于加密证书密钥的密钥传输算法。 | create_sp_connection_key_transport_algorithm='RSA_OAEP' |
访问令牌管理
下表介绍了已为管理访问令牌配置的属性,以及每个属性的默认值。有关详细信息,请参阅 PingFederate 文档中的“访问令牌管理”。
属性 | 说明 | 默认值 |
|---|---|---|
create_access_token_manager_id | 指定访问令牌管理器实例的唯一标识符。 | create_access_token_manager_id='default' |
create_access_token_manager_name | 指定访问令牌管理器实例的名称。 | create_access_token_manager_name='default' |
create_access_token_manager_attribute_name_1 | 指定访问令牌管理实例发布的第一个访问令牌的属性名称。 | create_access_token_manager_attribute_name='Username' |
create_access_token_manager_attribute_name_2 | 指定访问令牌管理实例发布的第二个访问令牌的属性名称。 | create_access_token_manager_attribute_name='username' |
访问令牌映射
下表介绍了已为映射访问令牌配置的属性,以及每个属性的默认值。有关详细信息,请参阅 PingFederate 文档中的“管理访问令牌映射”。
属性 | 说明 | 默认值 |
|---|---|---|
create_access_token_mapping_source | 指定从授权服务器请求的属性源。 | create_access_token_mapping_source='OAUTH_PERSISTENT_GRANT' |
create_access_token_mapping_value | 指定从授权服务器请求的属性值。 | create_access_token_mapping_value='USER_KEY' |
以 ThingWorx 作为服务提供者的 OAuth 客户端连接
下表介绍了在以 ThingWorx 作为服务提供者的情况下为 OAuth 客户端连接配置的属性,以及每个属性的默认值。有关详细信息,请参阅 PingFederate 文档中的“配置 OAuth 客户端”。
属性 | 说明 | 默认值 |
|---|---|---|
create_twx_sp_oauth_client_id | 指定用于标识客户端应用程序的 OAuth 客户端 ID。 | create_twx_sp_oauth_client_id='twx-sp-client' |
create_twx_oauth_client_name | 指定客户端应用程序的名称。 | create_twx_oauth_client_name='twx-sp-client' |
create_twx_oauth_client_auth_type | 指定要注册到授权服务器的客户端应用程序的授权类型。 | create_twx_oauth_client_auth_type='SECRET' |
create_twx_oauth_client_grantType1 | 指定 ThingWorx OAuth 客户端所需的第一个授权类型。 | create_twx_oauth_client_grantType1= 'AUTHORIZATION_CODE' |
create_twx_oauth_client_grantType2 | 指定 ThingWorx OAuth 客户端所需的第二个授权类型。 | create_twx_oauth_client_grantType2='REFRESH_TOKEN' |
create_twx_oauth_client_grantType3 | 指定 ThingWorx OAuth 客户端所需的第三个授权类型。 | create_twx_oauth_client_grantType3= 'ACCESS_TOKEN_VALIDATION' |
create_twx_oauth_client_refreshRolling | 指定用于确定每次获取新访问令牌时是否发出新刷新令牌的属性。 | create_twx_oauth_client_refreshRolling='ROLL' |
create_twx_oauth_client_expirationTime | 指定为客户端应用程序生成的访问令牌的有效期。 | create_twx_oauth_client_expirationTime='30' |
create_twx_oauth_client_expirationTimeUnit | 指定计量单位,进而指定为客户端应用程序生成的访问令牌的有效期。 | create_twx_oauth_client_expirationTimeUnit='DAYS' |
create_twx_oauth_client_persistent_grant_ expiration_type | 指定客户端应用程序的持久化授权到期设置。 | create_twx_oauth_client_persistent_grant_ expiration_type='OVERRIDE_SERVER_DEFAULT' |
以 Windchill 作为资源服务器的 OAuth 客户端连接
下表介绍了在以 Windchill 作为资源服务器的情况下为 OAuth 客户端连接配置的属性,以及每个属性的默认值。有关详细信息,请参阅 PingFederate 文档中的“配置 OAuth 客户端”。
属性 | 说明 | 默认值 |
|---|---|---|
create_wnc_rp_oauth_client_id | 指定用于标识客户端应用程序的 OAuth 客户端 ID。 | create_wnc_rp_oauth_client_id='wnc-rp-client' |
create_wnc_oauth_client_name | 指定要为 OAuth 委派授权配置 Windchill 的客户端应用程序的名称。 | create_wnc_oauth_client_name='wnc-rp-client' |
create_wnc_oauth_client_auth_type | 指定要注册到授权服务器的客户端应用程序的授权类型。 | create_wnc_oauth_client_auth_type='SECRET' |
create_wnc_oauth_client_grantType | 指定 Windchill OAuth 客户端所需的授权类型。 | create_wnc_oauth_client_grantType='ACCESS_TOKEN_VALIDATION' |
以 Windchill RV&S 作为服务提供者的 OAuth 客户端连接
下表介绍了在以 Windchill RV&S 作为服务提供者的情况下为 OAuth 客户端连接配置的属性,以及每个属性的默认值。有关详细信息,请参阅 PingFederate 文档中的“配置 OAuth 客户端”。
属性 | 说明 | 默认值 |
|---|---|---|
create_twx_sp_oauth_client_id | 指定用于标识客户端应用程序的 OAuth 客户端 ID。 | create_twx_sp_oauth_client_id= 'ilm-rp-client' |
create_twx_oauth_client_name | 指定客户端应用程序的名称。 | create_twx_oauth_client_name='ilm-rp- client' |
create_twx_oauth_client_auth_type | 指定要注册到授权服务器的客户端应用程序的授权类型。 | create_ilm_oauth_client_auth_type='SECRET' |
create_twx_oauth_client_grantType3 | 指定 Windchill RV&S OAuth 客户端所需的第三个授权类型。 | create_ilm_oauth_client_grantType='ACCESS_TOKEN_VALIDATION' |
服务提供者策略合同
下表介绍了为 PingFederate 配置服务提供者策略合同时必须指定的属性及其示例。有关详细信息,请参阅身份验证策略合同。
属性 | 说明 | 默认值 |
|---|---|---|
create_auth_policy_contract_name | 将身份验证策略合同指定为将用户属性从客户 IdP 通过 PingFederate 转移到服务提供者的媒介。 | create_auth_policy_contract_name='sp-policy-contract' |
PingFederate 特定的默认属性 - 将 PindFederate 配置为 IdP 时适用
数据存储
下表介绍了已为使用 LDAP 目录服务器作为数据存储而配置的属性,以及每个属性的默认值。有关详细信息,请参阅 PingFederate 文档中的“管理数据存储”。
属性 | 说明 | 默认值 |
|---|---|---|
create_ldap_datastore_type | 指定数据存储类型。 | create_ldap_datastore_type='LDAP' |
create_ldap_datastore_ldapType | 指定 LDAP 类型。 | create_ldap_datastore_ldapType='GENERIC' |
LDAP 密码凭据验证器
下表介绍了已为 LDAP 密码凭据验证器配置的属性,以及每个属性的默认值。有关详细信息,请参阅 PingFederate 文档中的“管理密码凭据验证器”。
属性 | 说明 | 默认值 |
|---|---|---|
create_ldap_pcv_id | 指定 LDAP 密码凭据验证器的唯一标识符。 | create_ldap_pcv_id='LdapPcv' |
create_ldap_pcv_name | 指定 LDAP 密码凭据验证器的名称。 | create_ldap_pcv_name='LdapPcv' |
create_ldap_pcv_pluginDescriptorRef_id | 指定 LDAP 密码凭据验证器的可描述插件的唯一标识符。 | create_ldap_pcv_pluginDescriptorRef_id= 'org.sourceid.saml20.domain.LDAPUsernamePasswordCredentialValidator' |
IdP 适配器
下表介绍了已为 PingFederate 的 IdP 适配器配置的属性,以及每个属性的默认值。有关详细信息,请参阅 PingFederate 文档中的“管理 IdP 适配器”。
属性 | 说明 | 默认值 |
|---|---|---|
create_idp_adapter_id | 指定 IdP 适配器的唯一标识符。 | create_idp_adapter_id='IdpAdapter' |
create_idp_adapter_name | 指定 IdP 适配器的名称。 | create_idp_adapter_name='IdpAdapter' |
create_idp_adapter_pluginDescriptorRef_id | 指定以 PingFederate 作为 IdP 执行实际身份验证的身份验证插件。建议使用 HtmlFormAuthnAdapter 插件。 | create_idp_adapter_pluginDescriptorRef_id= 'com.pingidentity.adapters.htmlform.idp.HtmlFormIdpAuthnAdapter' |
create_idp_adapter_isPseudonym | 指定 IdP 适配器是否使用别名进行帐户链接。 | create_idp_adapter_isPseudonym='true' |
ADFS 特定的默认属性 - 将 ADFS 配置为 IdP 时适用
ADFS 的 IdP 连接
下表介绍了已为 ADFS 的 IdP 连接配置的属性,以及每个属性的默认值。
属性 | 说明 | 默认值 |
|---|---|---|
create_idp_adfs_connection_type | 指定将 ADFS 配置为标识提供者所需的连接类型。 | create_idp_adfs_connection_type='IDP' |
create_idp_adfs_connection_name | 指定以 ADFS 作为标识提供者时的连接的纯语言标识符。 | create_idp_adfs_connection_name='ADFS_IDP' |
create_idp_adfs_connection_loggingMode | 指定标识提供者连接的日志记录模式。 | create_idp_adfs_connection_loggingMode='STANDARD' |
create_idp_adfs_connection_browserSSO_protocol | 指定用于支持基于浏览器的 SSO 连接类型的协议。 | create_idp_adfs_connection_browserSSO_protocol='SAML20' |
create_idp_adfs_connection_browserSSO _saml_identity_mapping | 指定 ADFS 发送包含用户标识信息的安全令牌 (断言) 的方式,服务提供者 ThingWorx 可将其转换或映射到本地用户存储。 | create_idp_adfs_connection_browserSSO_ saml_identity_mapping='ACCOUNT_MAPPING' |
create_idp_adfs_connection_assertion_ consumer_service_url | 指定用于处理 SAML 协议消息的超文本传输协议资源 (HTTP 资源) 的 URL。此 URL 将返回一个表示从消息中提取的信息的 Cookie。 | create_idp_adfs_connection_assertion_ consumer_service_url='/adfs/ls/' |
create_idp_adfs_connection_assertion_ consumer_service_binding | 指定返回响应消息时所使用的 SAML 协议绑定。 | create_idp_adfs_connection_assertion_ consumer_service_binding='POST' |
create_idp_adfs_connection_signing_algorithm | 指定标识提供者在签名过程中使用的算法。 | create_idp_adfs_connection_signing_algorithm= 'SHA256withRSA' |
create_idp_adfs_uid | 指定属性合同的名称,这是 ADFS 作为 IdP 发送到服务提供者 ThingWorx 的 SAML 断言中的扩展属性。 | create_idp_adfs_uid= 'http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name' |
create_idp_adfs_email | 指定属性合同的电子邮件地址,这是 ADFS 作为 IdP 发送到服务提供者 ThingWorx 的 SAML 断言中的扩展属性。 | create_idp_adfs_email= 'http://schemas.xmlsoap.org/claims/EmailAddress' |
create_idp_adfs_group | 指定属性合同的组,这是 ADFS 作为 IdP 发送到服务提供者 ThingWorx 的 SAML 断言中的扩展属性。 | create_idp_adfs_group= 'http://schemas.xmlsoap.org/claims/Group' |
通用 SAML 特定的默认属性 - 配置任何通用 SAML 2.0 IdP 时适用
通用 SAML 2.0 的 IdP 连接
下表介绍了已为通用 SAML 2.0 的 IdP 连接配置的属性,以及每个属性的默认值。
属性 | 说明 | 默认值 |
|---|---|---|
create_idp_saml2_connection_type | 指定将通用 SAML 2.0 配置为标识提供者所需的连接类型。 | create_idp_saml2_connection_type='IDP' |
create_idp_saml2_connection_name | 指定以通用 SAML 2.0 作为标识提供者的连接的纯语言标识符。 | create_idp_saml2_connection_name='SAML2_IDP' |
create_idp_saml2_connection_loggingMode | 指定标识提供者连接的日志记录模式。 | create_idp_saml2_connection_loggingMode='STANDARD' |
create_idp_saml2_connection_browserSSO_protocol | 指定用于支持基于浏览器的 SSO 连接类型的协议。 | create_idp_saml2_connection_browserSSO_protocol= 'SAML20' |
create_idp_saml2_connection_browserSSO_ saml_identity_mapping | 指定通用 SAML 2.0 发送包含用户标识信息的安全令牌 (断言) 的方式,服务提供者 ThingWorx 可将其转换或映射到本地用户存储。 | create_idp_saml2_connection_browserSSO_ saml_identity_mapping='ACCOUNT_MAPPING' |
create_idp_saml2_connection_assertion_ consumer_service_binding | 指定返回响应消息时所使用的 SAML 协议绑定。 | create_idp_saml2_connection_assertion_ consumer_service_binding='POST' |
create_idp_saml2_connection_signing_algorithm | 指定标识提供者在签名过程中使用的算法。 | create_idp_saml2_connection_signing_algorithm= 'SHA256withRSA' |