配置 PingFederate 以將使用者登入請求重新導向至 IdP
在服務提供者組態中,針對 PingFederate 配置識別提供者 (IdP) 連線。針對協力廠商 IdP,PingFederate 可作為服務提供者使用。
在此流程中,您也必須執行下列操作:
• 針對服務提供者,配置應用程式層加密憑證。如需詳細資訊,請參閱針對應用程式層加密與簽署配置 SSL 憑證。
• 匯出服務提供者中繼資料檔案。
• 從 IdP 匯入中繼資料檔案。
在經過 PTC 測試且建議使用的 SSO 架構中,應將 PingFederate 配置為將使用者驗證請求重新導向至企業目錄服務 (協力廠商識別提供者 (IdP))。這樣會減少 SSO 架構內需要處理使用者登入認證的節點,因為會重新導向瀏覽器以向您的 IdP 驗證。欲將 PingFederate 配置為聯合中心,您必須在 PingFederate 中建立至少兩個連線:
• 在 PingFederate 中的服務提供者組態下建立 IdP 連線。PingFederate 可使用此連線與您的 IdP 連線。
• 在 PingFederate 中的 IdP 組態下建立服務提供者連線。PingFederate 可使用此連線與服務提供者連線。
如需詳細資訊,請參閱 PingFederate 文件集中的下列主題:
• 「服務提供者 SSO 組態」
• 「將 IdP 橋接至 SP」
• 「聯合中心與驗證原則契約」
 |
僅使用「瀏覽器 SSO 設定檔」連線範本配置 SSO 連線。您不得針對 SSO 連線建立 SP 轉接器。
|
使用者授權是在對 PingFederate 進行 SSO 設定時的進階組態。使用者授權取決於客戶選取的 IdP 選擇。它的工作方式與每個 IdP 都不同。如需有關使用者授權的詳細資訊,請參閱「ThingWorx 說明中心」的授權。
驗證原則契約
此外,您還需要在 PingFederate 中建立驗證原則契約,以在服務提供者連線與 IdP 連線之間建立橋樑。驗證原則契約用來指定應從您的 IdP 中擷取並傳遞至服務提供者應用程式的使用者屬性。如需任何需要的屬性,請參閱您的 IdP 文件集。
當針對 PTC 產品配置 SSO 時,必須具備下列屬性才能進行使用者驗證,且其必須顯示在 IdP 中並在您的驗證原則契約中對應:
• uid
• subject
• email
• group
例如,您可以針對 Active Directory Federation Services (ADFS) 輸入下列值。但是,根據 IdP 的選擇,對應可能有所不同。您必須根據需求來決定對應。
|
屬性
|
值
|
|---|---|
|
subject
|
SAML_SUBJECT (宣告)
|
|
uid
|
http://schemas.xmlsoap.org/ws/2005/05/Identity/claims/name (宣告)
|
|
email
|
http://schemas.xmlsoap.org/claims/EmailAddress (宣告)
|
|
group
|
http://schemas.xmlsoap.org/claims/Group (宣告)
|
欲實行驗證原則契約,請執行下列操作:
1. 以管理員身份登入 PingFederate 管理控制台。
2. 在 SP Configuration 選單的 AUTHENTICATION POLICIES 部份,按一下 Policy Contracts。
3. 在 Authentication Policy Contracts 頁中,按一下 Create New Contract。
4. 新增所需屬性 (根據 PTC 所需屬性 (如之前所列),以及您的 IdP 所需屬性),然後按一下 Done。
5. 在將 IdP 連線設定為企業目錄服務時,使用此原則契約。
 |
建立 IdP 連線之後,您可以透過審核 IdP 連線 Activation & Summary 標籤的 Contract Fulfillment 部份,確認交換的屬性。
|