安装 PingFederate

CAS 配置示例 > PingFederate 作为中央身份验证服务器 > 配置中央身份验证服务器 – PingFederate > 安装 PingFederate

安装 PingFederate

以下列表是对安装 PingFederate 时所需执行步骤的高级概述：每一节中包含完成任务需要遵循的步骤。

步骤 1：下载 PingFederate

根据系统要求下载产品所支持的 PingFederate 次要版本及修补程序的最新版次。

步骤 2：获取 PingFederate 许可证

从 2025 年 4 月开始，PTC 将不再向本地客户提供任何启用了 SSO 的 PTC 应用程序的 PingFederate 许可证，无论是新许可证还是续订许可证。所有选择使用 PingFederate 的客户必须直接与 PingIdentity 签订合同才能购买 PingFederate 许可证。

对于 PTC Cloud 客户，可根据需要获取 PTC 产品服务中提供的 PingFederate 许可证

步骤 3：安装 PingFederate

有关 PingFederate 12.1 安装说明，请参阅安装和卸载 PingFederate。

步骤 4：在 PingFederate 安装中应用修补程序

安装 PingFederate 后，需要在已安装的 PingFederate 安装中应用相应的 PingFederate 修补程序。应根据 PingFederate 所提供的说明应用修补程序。

步骤 5：配置 PingFederate 并部署 PingFederate 许可证文件

1. 在命令提示符窗口中，浏览至 PingFederate/bin，然后在 Windows 上执行 run.bat 或在 Linux 上执行 run.sh 以启动 PingFederate。

启动 PingFederate 可能需要一段时间。

2. 返回消息“PingFederate 正在运行”后，请在浏览器中以如下格式打开 PingFederate URL：https://<hostname.domain.com>:9999/pingfederate/。

3. 如果显示了证书错误提示，请接受提示以继续进行设置。

4. 按照 PingFederate 设置屏幕中的说明进行操作，直到设置完成。

5. 通过在新的浏览器会话中登录来确认是否已设置 PingFederate。导航至格式为 https://<hostname.domain.com>:9999/pingfederate/ 的 PingFederate URL，并使用新创建的管理员用户名和密码进行登录。

步骤 6：定义 SAML 2.0 实体 ID

在 PingFederate 11 中，未在先前步骤中完成的 PingFederate 初始设置中定义 entityID。请按下述步骤定义 entityID。

1. 导航至 PingFederate 管理控制台。

2. 搜索 Protocol Settings。打开搜索结果。

3. 在 Federation Info 选项卡下的 SAML 2.0 ENTITY ID 中输入您的 entityID。单击 Save。

步骤 7：完成 SameSite cookie 属性的跨域配置

如果使用 PingFederate 11 及更高版本，则 sameSite 属性已存在于 jetty-runtime.xml 文件中，且默认值为 "None"。

<Call name="setAttribute">
	<Arg>org.eclipse.jetty.cookie.sameSiteDefault</Arg>
	<Arg>None</Arg>
</Call>

如果 PingFederate 和/或 ThingWorx 和/或 IdP 位于不同的域中，则必须启用 SameSite cookie 属性。要执行此操作，请在 <PingFederate 安装文件夹>/etc/jetty-runtime.xml 文件中，将 baseHttpConfig 元素内 sameSiteSpecifier 属性的值设置为 None。

<New id="baseHttpConfig" class="org.eclipse.jetty.server.HttpConfiguration">
       <!-- ... -->
       <Set name="headerCacheSize">512</Set>
       <Set name="sameSiteSpecifier">None</Set>
       <!-- … -->
</New>

要实现跨域支持，必须对 Tomcat 应用类似的更改。有关详细信息，请参阅 PTC 技术支持文章。

步骤 8：将 PingFederate 配置为始终返回范围

按如下所示创建 oauth-scope-settings.xml 文件，或在 <PingFederate Installation Folder>/server/default/data/config-store 位置上编辑该文件：

<?xml version="1.0" encoding="UTF-8"?>
<z:config xmlns:z="http://www.sourceid.org/2004/05/config">
    <z:item name="always-return-scope-for-authz-code">true</z:item>
</z:config>

步骤 9：重新启动 PingFederate

重新启动 PingFederate 服务器。

这对您有帮助吗?