安装 PingFederate
以下列表是对安装 PingFederate 时所需执行步骤的高级概述:每一节中包含完成任务需要遵循的步骤。
步骤 1:下载 PingFederate
根据系统要求下载产品所支持的 PingFederate 次要版本及修补程序的最新版次。
步骤 2:获取 PingFederate 许可证
 |
PTC 的 PTC 下载页面上不再提供 PingFederate 产品或许可证。从 2022 年 4 月 1 日开始,新的 PTC 产品授权默认不包括 PingFederate 许可证。选择使用 PingFederate 的新客户必须直接与 PingIdentity 签订合同才能购买 PingFederate 许可证。对于在 2022 年 4 月 1 日之前获得产品授权的 PTC 客户,他们仍可通过联系 PTC 技术支持来请求 PingFederate 许可证,其中包括许可证续订请求。
对于 PTC Cloud 客户,可根据需要获取 PTC 产品服务中提供的 PingFederate 许可证
|
步骤 3:安装 PingFederate
有关 PingFederate 11.0 安装说明,请参阅安装 PingFederate。
步骤 4:在 PingFederate 安装中应用修补程序
安装 PingFederate 后,需要在已安装的 PingFederate 安装中应用相应的 PingFederate 修补程序。应根据 PingFederate 所提供的说明应用修补程序。
步骤 5:配置 PingFederate 并部署 PingFederate 许可证文件
1. 在命令提示符窗口中,浏览至 PingFederate/bin,然后在 Windows 上执行 run.bat 或在 Linux 上执行 run.sh 以启动 PingFederate。
启动 PingFederate 可能需要一段时间。
2. 返回消息“PingFederate 正在运行”后,请在浏览器中以如下格式打开 PingFederate URL:https://<hostname.domain.com>:9999/pingfederate/。
3. 如果显示了证书错误提示,请接受提示以继续进行设置。
4. 按照 PingFederate 设置屏幕中的说明进行操作,直到设置完成。
5. 通过在新的浏览器会话中登录来确认是否已设置 PingFederate。导航至格式为 https://<hostname.domain.com>:9999/pingfederate/ 的 PingFederate URL,并使用新创建的管理员用户名和密码进行登录。
步骤 6:定义 SAML 2.0 实体 ID
|
|
在 PingFederate 11 中,未在先前步骤中完成的 PingFederate 初始设置中定义 entityID。请按下述步骤定义 entityID。
|
1. 导航至 PingFederate 管理控制台。
2. 搜索 Protocol Settings。打开搜索结果。
3. 在 Federation Info 选项卡下的 SAML 2.0 ENTITY ID 中输入您的 entityID。单击 Save。
步骤 7:完成 SameSite cookie 属性的跨域配置
|
|
如果使用 PingFederate 11,则 sameSite 属性已存在于 jetty-runtime.xml 文件中,且默认值为 "None"。在这种情况下,不需要执行步骤 1 和步骤 2。
<Call name="setAttribute">
<Arg>org.eclipse.jetty.cookie.sameSiteDefault</Arg> <Arg>None</Arg> </Call> |
如果 PingFederate 和/或 ThingWorx 和/或 IdP 位于不同的域中,则必须启用 SameSite cookie 属性。要执行此操作,请在 <PingFederate 安装文件夹>/etc/jetty-runtime.xml 文件中,将 baseHttpConfig 元素内 sameSiteSpecifier 属性的值设置为 None。
<New id="baseHttpConfig" class="org.eclipse.jetty.server.HttpConfiguration">
<!-- ... -->
<Set name="headerCacheSize">512</Set>
<Set name="sameSiteSpecifier">None</Set>
<!-- … -->
</New>
<!-- ... -->
<Set name="headerCacheSize">512</Set>
<Set name="sameSiteSpecifier">None</Set>
<!-- … -->
</New>
|
|
要实现跨域支持,必须对 Tomcat 应用类似的更改。有关详细信息,请参阅 PTC 技术支持文章。
|
步骤 8:将 PingFederate 配置为始终返回范围
按如下所示创建 oauth-scope-settings.xml 文件,或在 <PingFederate Installation Folder>/server/default/data/config-store 位置上编辑该文件:
<?xml version="1.0" encoding="UTF-8"?>
<z:config xmlns:z="http://www.sourceid.org/2004/05/config">
<z:item name="always-return-scope-for-authz-code">true</z:item>
</z:config>
<z:config xmlns:z="http://www.sourceid.org/2004/05/config">
<z:item name="always-return-scope-for-authz-code">true</z:item>
</z:config>
步骤 9:重新启动 PingFederate
重新启动 PingFederate 服务器。