針對 PTC 產品建立 OAuth 用戶端
您可以在 PingFederate 中建立 OAuth 用戶端,作為在取得或核對存取權杖時,PTC 產品連線的端點。建議您針對每個產品執行的每個角色建立單獨的 OAuth 用戶端。
先決條件 - 建立存取權杖管理實例
存取權杖管理實例可讓您針對不同的 OAuth 用戶端配置存取權杖原則與屬性契約。您在下列程序中建立的存取權杖管理實例將用於您針對 PTC 產品建立的 OAuth 用戶端。如需有關存取權杖管理實例以及如何對其進行配置的詳細資訊,請參閱 PingFederate 文件集中的「存取權杖管理」。
當針對 PTC 產品建立 Internally Managed Reference Tokens 的存取權杖管理實例時,建議使用下列設定。
 |
具有委派 OAuth 的 JWT 權杖僅適用於 PingFederate 11.x.x。Windchill 不支援 JWT 權杖加密。
|
1. 從 PingFederate 主導覽器選單的 Applications- OAuth 頁中,找到 Access Token Management 部份,然後按一下 Create New Instance。
2. 在 Type 標籤中:
a. 指定實例名稱與 ID。
b. Type 欄位中,選取 Internally Managed Reference Tokens。
c. Parent Instance 欄位中,選取 None。
d. 按一下「下一步」。
3. 按一下 Next,接受 Instance Configuration 標籤中的預設值。
4. 按一下 Next,接受 Session Validation 標籤中的預設值。
5. 在 Access Token Attribute Contract 標籤中,新增 Username。
6. 按一下 Resource URIs 與 Access Control 標籤中的 Next,接受預設設定。
當針對 PTC 產品建立 JSON WEB TOKENS 的存取權杖管理實例時,建議使用下列設定:
1. 從 PingFederate 主導覽器選單中,按一下 > > 。
2. 在 Type 標籤中:
a. 指定實例名稱與 ID。
b. 在 Type 欄位中,選取 JSON WEB TOKENS。
c. 在 Instance Configuration 標籤中,選取 Symmetric keys 或 Certificate,以簽署 JWT 權杖。
▪ 對稱金鑰的組態:
1. 在 Instance Configuration 標籤中,按一下 Add a new row to 'Symmetric Keys'。提供 Key ID、Key 與 Encoding 的詳細資訊。針對編碼,僅支援 Base64[url]。按一下「更新」。
2. 選取 JWS ALGORITHM。將值設定為 HMAC using SHA-XXX。
3. 選取您在之前步驟中提供的 ACTIVE SYMMETRIC KEY ID。
4. 按一下 Show Advanced Fields。
5. 指定 ISSUER CLAIM VALUE 與 AUDIENCE CLAIM VALUE 的值。應將 TYPE HEADER VALUE 設定為 JWT。
▪ 憑證的組態:
1. 在 Instance Configuration 標籤中,按一下 Add a new row to 'Certificates'。提供 Key ID、Certificate 的詳細資訊。按一下「更新」。
2. 選取 JWS ALGORITHM。將值設定為 RSA using SHA-XXX。
3. 選取您在之前步驟中提供的 ACTIVE SIGNING CERTIFICATE KEY ID。
4. 按一下 Show Advanced Fields。
5. 指定 ISSUER CLAIM VALUE 與 AUDIENCE CLAIM VALUE 的值。應將 TYPE HEADER VALUE 設定為 JWT。
6. 指定 JWKS ENDPOINT PATH 選用欄位的值。如果未在此處指定此值,您將需要在委派的 OAuth 設定期間提供簽署憑證。
d. 按一下「下一步」。
先決條件 - 配置存取權杖對應
必須有存取權杖對應才能識別將隨存取權杖一起提供的屬性。欲針對 PTC 產品配置此對應,必須將 Username 屬性對應至 USER_KEY。如需有關存取權杖對應的詳細資訊,請參閱 PingFederate 文件集中的 "Configuring access token mapping"。
當針對 PTC 產品配置存取權杖對應時,建議使用下列設定:
1. 在 PingFederate 主導覽器選單的 Applications - OAuth 頁中,找到 Access Token Mapping。
2. 在 Access Token Attribute Mapping 頁中:
a. 針對 Context,選取 Default。
b. 針對 Access Token Manager,選取您在上一個程序中建立的存取權杖管理實例。
c. 按一下 Add Mapping。
3. 在 Attribute Sources & User Lookup 標籤中,按一下 Next 接受預設設定。
4. 在 Contract Fulfillment 標籤中,針對 Username 合約項目,在 Source 欄中選取 Persistent Grant,在 Value 欄中選取 USER_KEY,然後按一下 Next。
5. 在 Issuance Criteria 標籤中,按一下 Next 接受預設設定。
6. 在 Summary 頁中,按一下 Save。
您可以繼續在 SSO 架構中針對 PTC 產品建立 OAuth 用戶端。