单一登录概述
单一登录 (SSO) 是一种会话和用户身份验证机制,该机制允许您使用一组凭据访问整个企业的多个应用程序,而无需考虑平台、技术或域。登录到启用了 SSO 的应用程序后,您将自动登录到您具有相应权限的所有其他应用程序。PTC 建议将 SSO 作为身份验证方法。
 |
如果您的应用程序配置了 SSO,且身份提供者 (IdP) 支持多重身份验证 (MFA),则可以通过 IdP 配置 MFA。PTC 应用程序不管理 MFA,MFA 应通过 IdP 进行配置。
|
SSO 信息处理流程包括身份验证和授权数据的交换。下表中列出的每个组件都在其中一种或全部两种交换中扮演了一定的角色:
|
术语
|
定义
|
||
|---|---|---|---|
|
中央授权服务器 (CAS)
|
一种第三方工具,用于管理跨 SSO 联合的用户身份验证和授权。这样,用户便可通过委派的授权从多个资源服务器访问数据。
PTC 支持以下中央身份验证服务器:
• PingFederate
• Microsoft Entra ID
◦ 适用于 ThingWorx 9.2.0 及更高版本、9.1.4 及更高版本、9.0.9 及更高版本
◦ 适用于 ThingWorx Navigate 9.5.0 及更高版本
◦ 适用于 Windchill 12.0.2.2 及更高版本
• Azure AD B2C
◦ 适用于 ThingWorx 9.6.0 及更高版本。
• AD FS
◦ 适用于 ThingWorx 9.2.0 及更高版本、9.1.4 及更高版本、9.0.9 及更高版本
|
||
|
开放授权 (OAuth)
|
OAuth 是一种行业标准,该标准通过访问令牌来允许应用程序代表用户对另一个应用程序进行身份验证,并检索用户所拥有的数据。
PTC SSO 框架使用 OAuth 2.0。
|
||
|
安全断言标记语言 (SAML)
|
SAML 是基于 XML 的身份验证行业标准,有了该标准后将不再需要应用程序特定密码。利用一次性、到期即失效的数字令牌,SAML 可在已建立信任关系的身份提供者和服务提供者之间交换身份验证和授权数据。
PTC SSO 框架使用 SAML 2.0。
|
||
|
OpenID Connect (OIDC)
|
OpenID Connect (OIDC) 是在 OAuth 2.0 框架之上构建的标识层。它允许第三方应用程序验证最终用户的身份并获取基本用户配置文件信息。OIDC 使用 JSON Web 令牌 (JWT),这将允许您使用符合 OAuth 2.0 规范的流来获取这些令牌。
|
||
|
访问令牌
|
从授权服务器获取的不透明字符串或 JWT,应用程序将其提供给其他应用程序以访问资源所有者数据。
|
||
|
联合
|
企业中已配置为使用 CAS 来启用单一登录的软件应用程序网络。
|
||
|
身份提供者 (IdP)
|
用于管理用户标识数据的第三方工具。用户管理系统或 Active Directory 存储用户名、密码和其他凭据。在对用户进行身份验证时,CAS 会参考 IdP。
|
||
|
资源服务器 (RS)
|
SSO 联合中包含受保护数据的应用程序。
|
||
|
服务提供者 (SP)
|
用户从中访问信息的 web 服务器。它使用 SAML 协议对 SSO 联合中的用户登录进行身份验证。此外,SP 还请求代表已验证身份的用户对 RP 中的受保护数据进行访问。
|
||
|
范围
|
在 CA+S、SP 和 RP 中注册的字符串值。这样可为资源服务器中的资源所有者数据提供额外的访问控制。当 SP 获得受保护资源相关范围的批准时,仅当该数据仍提供有效访问令牌时才可将其提供给 SP。
|
||
|
用户代理
|
用户 (资源所有者) 参与访问信息的 web 浏览器。用户代理可代表用户从 SP 和 CAS 中发出请求。
|