设置用户属性

PingFederate 作为中央身份验证服务器 > 配置中央身份验证服务器 – PingFederate > 自动将 PingFederate 配置为中央授权服务器 > 运行自动化脚本之前 > 设置用户属性

设置用户属性

您必须根据业务需求在 user.properties 文件中指定属性值。此文件位于 <PINGFEDERATE_SCRIPT_HOME> 目录下，即用于保存 PingFederate 配置的自动化脚本的目录。

用单引号将每个属性的值括起来。

user.properties 文件中包含以下属性的设置。单击链接可查看不同的属性、说明和示例值。

全局用户属性 - 适用于任何 IdP 配置

PingFederate 连接

下表介绍了配置 PingFederate 连接时必须指定的属性，以及每个属性的示例。

属性

说明

示例

global_pingFedHost

指定运行 PingFederate 管理控制台的完全限定域名。属性值的格式为 <服务器 fqdn >。

global_pingFedHost='pingfed.yourorg.com'

global_pingFedAdminPort

指定 PingFederate 管理控制台运行所在的端口。属性值的格式为 <服务器端口>。

global_pingFedAdminPort='9999'

global_pingFedIdpEntityId

指定表示 PingFederate 的安全断言标记语言 2.0 (SAML 2.0) 实体的唯一标识符。

global_pingFedIdpEntityId='ptc-pingfed'

global_pingFed_admin_certificate

指定在进行管理 API 调用时，受自动化脚本信任的安全套接字层证书 (SSL 证书) 文件的文件名。为此属性指定值为可选操作，但建议进行，因为使用证书可在 PingFederate 和脚本之间进行安全 SSL 通信。

如果使用由本地根证书颁发机构 (CA) 签名的证书 (而非自签名证书)，则必须将本地根 CA 证书置于 <PINGFEDERATE_SCRIPT_HOME>/input 目录下，并将本地根 CA 证书指定为此属性的值。

global_pingFed_admin_certificate='pingfed_admin_ssl.crt'

应用程序层的 SSL 证书 (SAML 加密和签名)

下表介绍了配置应用程序层的 SSL 证书 (SAML 加密和签名) 时必须指定的属性，以及每个属性的示例。有关详细信息，请参阅 PingFederate 文档中的“管理数字签名证书和解密密钥”。

属性	说明	示例
create_pingfed_signing_cert_organization	指定创建证书的组织或公司名称。	create_pingfed_signing_cert_organization='ptc'
create_pingfed_signing_cert_organizationUnit	指定组织内的特定单位。	create_pingfed_signing_cert_organizationUnit='ent-sso'
create_pingfed_signing_cert_city	指定公司运营所在的城市或其他主要位置。	create_pingfed_signing_cert_city='Blaine'
create_pingfed_signing_cert_state	指定包含该位置的省份或其他政治单位。	create_pingfed_signing_cert_state='MN'
create_pingfed_signing_cert_country	指定公司所在国家/地区的代码。国家/地区代码以两个字母的代码表示。	create_pingfed_signing_cert_country='US'
create_pingfed_signing_cert_validDays	指定证书的有效时间。	create_pingfed_signing_cert_validDays='36500'

服务提供者连接

下表介绍了配置服务提供者连接时必须指定的属性，以及每个属性的示例。有关详细信息，请参阅 PingFederate 文档中的“管理 SP 连接”。

属性	说明	示例
create_sp_connection_baseUrl	指定为服务提供者托管服务器的基本 URL。属性值的格式为：https://<服务器 fqdn>:<服务器端口>。	create_sp_connection_baseUrl='https://thingworx.yourorg.com:8443' 其中，<Service_provider> 可以是 ThingWorx、Windchill RV&S 或 Windchill。
create_sp_connection_input_sign_verif_cert	指定用于验证传入 SAML 令牌数字签名的证书的文件名。	create_sp_connection_input_sign_verif_cert='twx_sp_signing.crt' 其中，<特定于 sp 的名称> 可以是 twx、ilm 或 wnc。
create_sp_connection_entityId	指定服务提供者的唯一标识。服务提供者的属性值的格式为：https://<服务器 fqdn>:<服务器端口>/saml/元数据	此示例特定于 Windchill RV&S。 create_sp_connection_entityId='https://integrity.yourorg.com:8443/saml/metadata'

以 ThingWorx 作为服务提供者的 OAuth 客户端连接

下表介绍了在以 ThingWorx 作为服务提供者的情况下配置 OAuth 客户端连接时必须指定的属性，以及每个属性的示例。有关详细信息，请参阅 PingFederate 文档中的“配置 OAuth 客户端”。

属性	说明	示例
create_twx_sp_oauth_client_description	指定客户端应用程序用途的说明。此说明将在系统提示用户进行授权时出现。	create_twx_sp_oauth_client_description='Thingworx service provider OAuth client.'
create_twx_sp_oauth_client_auth_secret_value	指定 OAuth 客户端密码。	create_twx_sp_oauth_client_auth_secret_value='twx-sp-client_1234'
create_twx_sp_oauth_client_redirectURI	指定在获得授权后，OAuth 授权服务器可以将资源所有者的用户代理重定向到的 URI。属性值的格式为：https://<服务器 fqdn>:<服务器端口>/Thingworx/oauth2_ authorization_ code_redirect。	create_twx_sp_oauth_client_redirectURI='https://thingworx.yourorg.com:8443/ Thingworx/oauth2_ authorization_ code_redirect'

以 Windchill 作为资源服务器的 OAuth 客户端连接

下表介绍了在以 Windchill 作为资源服务器的情况下配置 OAuth 客户端连接时必须指定的属性，以及每个属性的示例。有关详细信息，请参阅 PingFederate 文档中的“配置 OAuth 客户端”。

属性	说明	示例
create_wnc_oauth_client_description	指定客户端应用程序用途的说明。此说明将在系统提示用户进行授权时出现。	create_wnc_rp_oauth_client_description='Windchill resource server OAuth client.'
create_wnc_oauth_client_auth_secret_value	指定 OAuth 客户端密码。	create_wnc_rp_oauth_client_auth_secret_value='wnc-rp-client_1234'

以 Windchill RV&S 作为资源服务器的 OAuth 客户端连接

下表介绍了在以 Windchill RV&S 作为资源服务器的情况下配置 OAuth 客户端连接时必须指定的属性，以及每个属性的示例。有关详细信息，请参阅 PingFederate 文档中的“配置 OAuth 客户端”。

属性	说明	示例
create_ilm_oauth_client_description	指定客户端应用程序用途的说明。此说明将在系统提示用户进行授权时出现。	create_ilm_rp_oauth_client_description='IntegrityLifecycle Manager resource server OAuth client.'
create_ilm_oauth_client_auth_secret_value	指定 OAuth 客户端密码。	create_ilm_rp_oauth_client_auth_secret_value='olm-rp-client_1234'

范围管理

下表介绍了在 PingFederate 中注册范围时必须指定的属性，以及每个属性的示例。有关详细信息，请参阅 PingFederate 文档中的“范围”。

属性	说明	示例
create_oauth_default_scope_description	指定在未指明任何范围值或任何值时隐含权限的说明。此说明将在系统提示用户进行授权时出现。	create_oauth_default_scope_description='Default Scope'
create_oauth_twx_scope	指定 ThingWorx 作为服务提供者的范围。	create_oauth_twx_scope='THINGWORX'
create_oauth_twx_read_scope_description	指定 ThingWorx 范围值的说明。此说明将在系统提示用户进行授权时出现。	create_oauth_twx_scope_description='Thingworx Scope'
create_oauth_wnc_read_scope	指定 Windchill 作为资源服务器的范围。	create_oauth_wnc_read_scope='WINDCHILL'
create_oauth_wnc_read_scope_description	指定 Windchill 范围值的说明。此说明将在系统提示用户进行授权时出现。	create_oauth_wnc_scope_description='Windchill Scope'
create_oauth_ilm_scope	指定 Windchill RV&S 作为服务提供者的范围。	create_oauth_ilm_ scope='INTEGRITY_ READ'
create_oauth_ilm_ read_scope_ description	指定 Windchill RV&S 范围值的说明。此说明将在系统提示用户进行授权时出现。	create_oauth_ilm_ scope_ description= 'Integrity LM Scope'

PingFederate 特定的用户属性 - 将 PindFederate 配置为 IdP 时适用

数据存储

仅当选择 PingFederate 作为 IdP 时，才需要配置数据存储。

下表介绍了将轻型目录访问协议目录服务器 (LDAP 目录服务器) 配置为数据存储时必须指定的属性，以及每个属性的示例。此数据存储与 LDAP 密码凭据验证器配合使用，以通过 PingFederate 验证用户凭据，进而完成用户身份验证。有关详细信息，请参阅 PingFederate 文档中的“管理数据存储”。

属性	说明	示例
create_ldap_datastore_hostname	指定可包括端口号的数据存储的域名系统名称 (DNS 名称) 或 Internet 协议地址 (IP 地址)。属性值的格式为：<ldap fqdn>:<ldap 端口>。	create_ldap_datastore_hostname='windchillDS.ptc.com:389' 或 create_ldap_ datastore_ hostname= 'integrityLDAP.ptc.com:389'
create_ldap_datastore_userDN	指定访问数据存储所需的用户名。	create_ldap_datastore_userDN='cn=Manager'
create_ldap_datastore_password	指定访问数据存储所需的密码。	create_ldap_datastore_password='password'

LDAP 密码凭据验证器

仅当选择 PingFederate 作为 IdP 时，才需要配置 LDAP 密码凭据验证器。

下表介绍了配置 LDAP 密码凭据验证器时必须指定的属性，以及每个属性的示例。有关详细信息，请参阅 PingFederate 文档中的“管理密码凭据验证器”。

属性	说明	示例
create_ldap_pcv_searchBase	指定 LDAP 目录服务器中的搜索起始位置。	create_ldap_pcv_searchBase='cn=Windchill_11.0,o=ptc' 或 create_ldap_pcv_searchBase='cn=IntegrityOU,o=ptc'
create_ldap_pcv_searchFilter	指定用于查找用户记录的 LDAP 查询。	create_ldap_pcv_searchFilter='uid=$<用户名>'
create_ldap_pcv_scopeOfSearch	指定要在搜索库中执行的搜索级别。	create_ldap_pcv_scopeOfSearch='Subtree'

IdP 适配器

仅当选择 PingFederate 作为 IdP 时，才需要配置 IdP 适配器。

下表介绍了为 PingFederate 配置 IdP 适配器时必须指定的属性，以及每个属性的示例。有关详细信息，请参阅 PingFederate 文档中的“管理 IdP 适配器”。

属性	说明	示例
create_idp_adapter_attributeSource_id	指定属性源的唯一标识符，以及包含 IdP 适配器合同或令牌授权工作流可能需要的信息的特定数据存储或目录位置。	create_idp_adapter_attributeSource_id='uid'
create_idp_adapter_attributeSource_description	指定属性源的说明。	create_idp_adapter_attributeSource_description='uid'
create_idp_adapter_attributeSource_baseDn	指定属性源的基础域名。	create_idp_adapter_attributeSource_baseDn='cn=Windchill_11.0,o=ptc' 其中，<名称> 可以是 Windchill、IntegrityOU 等。
create_idp_adapter_attributeSource_SearchScope	指定搜索范围。有效值为 Subtree、One level 和 Base。	create_idp_adapter_attributeSource_SearchScope='SUBTREE'
create_idp_adapter_attributeSource_SearchFilter	指定用于搜索的搜索筛选器。	create_idp_adapter_attributeSource_SearchFilter='uid=$<用户名>'

ADFS 特定的用户属性 - 将 ADFS 配置为 IdP 时适用

ADFS 的 IdP 连接

下表介绍了为 ADFS 配置 IdP 连接时必须指定的属性，以及每个属性的示例。

属性	说明	示例
create_idp_adfs_connection_entityId	指定将 ADFS 配置为标识提供者时所需的实体标识符。	create_idp_adfs_connection_entityId=‘http://adfs.org.io/adfs/services/trust’
create_idp_adfs_connection_baseUrl	指定为标识提供者托管服务器的基本 URL。属性值的格式为：https://<服务器 fqdn>:<服务器端口>	create_idp_adfs_connection_baseUrl =‘https://adfs.org.io’ (无需指定默认端口。)
create_idp_adfs_connection_input_sign_verif_cert	指定用于验证传入 SAML 令牌数字签名的证书的文件名。	create_idp_adfs_connection_input_sign_verif_cert =’adfs_idp_signing.crt’

通用 SAML 特定的用户属性 - 配置任何通用 SAML 2.0 IdP 时适用

通用 SAML 2.0 的 IdP 连接

下表介绍了为通用 SAML 2.0 IdP 配置 IdP 连接时必须指定的属性，以及每个属性的示例。

属性	说明	示例
create_idp_saml2_connection_entityId	指定配置标识提供者时所需的实体标识符。	create_idp_saml2_connection_entityId= 'http://www.okta.com/exk15nb0a9fkh36Aq2p7'
create_idp_saml2_connection_baseUrl	指定为标识提供者托管服务器的基本 URL。属性值的格式为：https://<服务器 fqdn>:<服务器端口>	create_idp_saml2_connection_baseUrl='https://org.okta.com' (无需指定默认端口。)
create_idp_saml2_connection_input_sign_ verif_cert	指定用于验证传入 SAML 令牌数字签名的证书的文件名。	create_idp_saml2_connection_input_sign_verif_cert= 'saml2_idp_signing.crt'
create_idp_saml2_connection_assertion_ consumer_service_url	指定用于处理 SAML 协议消息的超文本传输协议资源 (HTTP 资源) 的 URL。此 URL 将返回一个表示从消息中提取的信息的 Cookie。	create_idp_saml2_connection_assertion_consumer_service_url= '/app/org399352_pingfed_1/exk15nb0a9fkh36Aq2p7/sso/saml'
create_idp_saml2_attr_uid	指定属性合同的名称，这是作为 IdP 发送到服务提供者的 SAML 断言中的扩展属性，其中服务提供者可以是 ThingWorx、Windchill 或 PingFederate。	create_idp_saml2_attr_uid='uid'
create_idp_saml2_attr_group	指定属性合同的组，这是作为 IdP 发送到服务提供者的 SAML 断言中的扩展属性，其中服务提供者可以是 ThingWorx、Windchill 或 PingFederate。如果 IdP 未提供组属性，或者您不想对其进行映射，则可以从 user.properties 文件中移除该属性。	create_idp_saml2_attr_group='group'
create_idp_saml2_attr_email	指定属性合同的电子邮件地址，这是作为 IdP 发送到服务提供者的 SAML 断言中的扩展属性，其中服务提供者可以是 ThingWorx、Windchill 或 PingFederate。如果 IdP 未提供电子邮件属性，或者您不想对其进行映射，则可以从 user.properties 文件中移除该属性。	create_idp_saml2_attr_email='emailaddress'

这对您有帮助吗?