審核預設內容
您可以審核在 default.properties 檔案中指定之內容的預設值,並僅在需要時對其進行編輯。此檔案位於 <PINGFEDERATE_SCRIPT_HOME>,且您已將適用於 PingFederate 組態的自動化指令集儲存在此目錄中。
 |
請將每個內容的值括在單引號中。
|
default.properties 檔案具有下列內容的設定。按一下連結可檢視不同的內容、描述與範例值。
全域預設內容 - 適用於任何 IdP 組態
PingFederate 連線能力
下表描述已經針對與 PingFederate 的連線進行配置的內容,以及每個內容的預設值。
內容 | 描述 | 預設值 |
|---|---|---|
global_pingFedProtocol | 指定要由 PingFederate 使用的通訊協定。 | global_pingFedProtocol='https' |
global_pingFedAdminUser | 指定 PingFederate 管理員帳戶的使用者名稱。 | global_pingFedAdminUser='Administrator' |
適用於應用程式層 (SAML 加密與簽署) 的 SSL 憑證
下表描述已經針對適用於應用程式層 (SAML 加密與簽署) 的 SSL 憑證進行配置的內容,以及每個內容的預設值。如需詳細資訊,請參閱 PingFederate 文件集中的「管理數位簽署憑證與解密金鑰」。
內容 | 描述 | 預設值 |
|---|---|---|
create_pingfed_signing_cert_keyAlgorithm | 指定用來產生金鑰的加密公式。 | create_pingfed_signing_cert_keyAlgorithm='RSA' |
create_pingfed_signing_cert_keySize | 指定金鑰中使用的位元數。 | create_pingfed_signing_cert_keySize='2048' |
create_pingfed_signing_cert_signatureAlgorithm | 指定憑證的簽署演算法。 | create_pingfed_signing_cert_signatureAlgorithm= 'SHA256withRSA' |
適用於 PingFederate 的 SSL 憑證
自動化指令集可讓您將 PingFederate 管理員 SSL 憑證安裝為 PingFederate 執行時間 SSL 憑證。
已引入新內容 activate_global_pingFed_admin_certificate_as_runtime 來管理此行為。
此內容的預設值設定為 true,進而將 PingFederate 管理員 SSL 憑證啟動為 PingFederate 執行時間 SSL 憑證。
如果您將此內容的值設定為 false,則指令集會建立新的執行時間 SSL 憑證。這個新的執行時間 SSL 憑證會使用定義為在 activate_global_pingFed_admin_certificate_as_runtime=false 時執行的內容建立。
下表描述為配置適用於 PingFederate 的 SSL 憑證所必須指定的內容,以及每個內容的範例。如需詳細資訊,請參閱 PingFederate 文件集中的「管理 SSL 伺服器憑證」。
內容 | 描述 | 預設值 |
|---|---|---|
PingFederate 執行時間 SSL 伺服器憑證: | ||
activate_global_pingFed_admin_ certificate_as_runtime | 允許將 PingFederate 管理員 SSL 憑證安裝為 PingFederate 執行時間 SSL 憑證。 | activate_global_pingFed_admin_ certificate_as_runtime='true' |
只有在 activate_global_pingFed_admin_certificate_as_runtime='false' 時才需要下列內容 | ||
create_pf_ssl_server_cert_organization | 指定建立憑證的組織或公司名稱。 | create_pf_ssl_server_cert_organization='ptc' |
create_pf_ssl_server_cert_organizationUnit | 指定組織內的特定單位。 | create_pf_ssl_server_cert_organizationUnit='ent-sso' |
create_pf_ssl_server_cert_city | 指定公司營運的城市或其他主要地點。 | create_pf_ssl_server_cert_city='Pune' |
create_pf_ssl_server_cert_state | 指定涵蓋該地點的州或其他政治單位。 | create_pf_ssl_server_cert_state='MAH' |
create_pf_ssl_server_cert_validDays | 指定憑證有效的時間。 | create_pf_ssl_server_cert_validDays='36500' |
create_pf_ssl_server_cert_country | 指定公司所在國家的代碼。國碼由兩個字母的代碼表示。 | create_pf_ssl_server_cert_country='IN' |
create_pf_ssl_server_cert_keyAlgorithm | 指定用來產生金鑰的加密公式。 | create_pf_ssl_server_cert_keyAlgorithm='RSA' |
create_pf_ssl_server_cert_keySize | 指定金鑰中使用的位元數。 | create_pf_ssl_server_cert_keySize='2048' |
create_pf_ssl_server_cert_signatureAlgorithm | 指定憑證的簽署演算法。 | create_pf_ssl_server_cert_signatureAlgorithm='SHA256withRSA' |
服務提供者連線
下表描述已經針對與服務提供者的連線進行配置的內容,以及每個內容的預設值。如需詳細資訊,請參閱 PingFederate 文件集中的「管理 SP 連線」。
內容 | 描述 | 預設值 |
|---|---|---|
create_sp_connection_type | 指定作為服務提供者的 ThingWorx 需要的連線類型。 | create_sp_connection_type='SP' |
create_sp_connection_entityId | 指定作為服務提供者的 ThingWorx 需要的實體識別元。例如:ThingWorx 或 Windchill RV&S。 | create_sp_connection_entityId='TWX_SP' 其中 <SP_name> 為 TWX、ILM 或 WNC。 |
create_sp_connection_name | 指定用於與作為服務提供者之 ThingWorx 連線的明語識別元。 | create_sp_connection_name='TWX_SP' |
create_sp_connection_loggingMode | 指定服務提供者連線的記錄模式。 | create_sp_connection_loggingMode='STANDARD' |
create_sp_connection_browserSSO_protocol | 指定通訊協定來支援以瀏覽器為基礎的 SSO 連線類型。 | create_sp_connection_browserSSO_protocol='SAML20' |
create_sp_connection_browserSSO_assertion_ lifetime_valid_minutes_before | 指定在發出宣告之前,將其視為有效的時間量。 | create_sp_connection_browserSSO_assertion_ lifetime_valid_minutes_before='60' |
create_sp_connection_browserSSO_assertion_ lifetime_valid_minutes_after | 指定在發出宣告之後,將其視為有效的時間量。 | create_sp_connection_browserSSO_assertion_ lifetime_valid_minutes_after='480' |
create_sp_connection_browserSSO_ saml_identity_mapping | 指定 PingFederate 傳送安全權杖 (宣告) 的方式,且該權杖包含服務提供者 (ThingWorx、Windchill RV&S) 可轉換或對應至本機使用者存放區的使用者識別資訊。 | create_sp_connection_browserSSO_ saml_identity_mapping='STANDARD' |
create_sp_connection_browserSSO_ attribute_Contract_coreAttribute_name | 指定 PingFederate 作為 IdP 傳送至 ThingWorx 服務提供者 (ThingWorx、Windchill RV&S) 之 SAML 宣告中核心屬性的名稱。 | create_sp_connection_browserSSO_ attribute_Contract_coreAttribute_name='SAML_SUBJECT' |
create_sp_connection_browserSSO_ attribute_Contract_extendedAttribute_name | 指定屬性契約的名稱,即 PingFederate 作為 IdP 傳送至服務提供者 (ThingWorx、Windchill RV&S) 之 SAML 宣告中的延伸屬性。 | create_sp_connection_browserSSO_ attribute_Contract_extendedAttribute_name='uid' |
create_sp_connection_browserSSO_ attribute_Contract_extendedAttribute_group | 指定屬性契約的群組,即 PingFederate 作為 IdP 傳送至服務提供者 (ThingWorx、Windchill RV&S) 之 SAML 宣告中的延伸屬性。 | create_sp_connection_browserSSO_ attribute_Contract_extendedAttribute_group='group' |
create_sp_connection_browserSSO_ attribute_Contract_extendedAttribute_email | 指定屬性契約的電子郵件,即 PingFederate 作為 IdP 傳送至服務提供者 (ThingWorx、Windchill RV&S) 之 SAML 宣告中的延伸屬性。 | create_sp_connection_browserSSO_ attribute_Contract_extendedAttribute_email='email' |
create_sp_connection_browserSSO_ attribute_contract_1_key | 針對由 IdP 轉接器履行的第一個屬性契約,指定服務提供者連線的名稱。 | create_sp_connection_browserSSO_ attribute_contract_1_key='uid' |
create_sp_connection_browserSSO_ attribute_contract_1_value | 指定用於履行第一個屬性契約之 IdP 轉接器值的名稱。 | create_sp_connection_browserSSO_ attribute_contract_1_value='username' |
create_sp_connection_browserSSO_ attribute_contract_2_key | 針對由 IdP 轉接器履行的第二個屬性契約,指定服務提供者連線的名稱。 | create_sp_connection_browserSSO_ attribute_contract_2_key='SAML_SUBJECT' |
create_sp_connection_browserSSO_ attribute_contract_2_value | 指定用於履行第二個屬性契約之 IdP 轉接器值的名稱。 | create_sp_connection_browserSSO_ attribute_contract_2_value='username' |
create_sp_connection_browserSSO_ attribute_contract_source | 指定資料存放區或目錄位置,其中包含 IdP 轉接器契約或權杖授權工作流程可能需要的資訊。 | create_sp_connection_browserSSO_ attribute_contract_source='ADAPTER' |
create_sp_connection_assertion_ consumer_service_url | 指定超文字傳輸通訊協定資源 (HTTP 資源) 的 URL,其可處理 SAML 通訊協定訊息並傳回代表從訊息擷取之資訊的 cookie。 | create_sp_connection_assertion_ consumer_service_url='/Thingworx/saml/SSO' |
create_sp_connection_assertion_ consumer_service_binding | 指定傳回回應訊息時使用的 SAML 通訊協定繫結。 | create_sp_connection_assertion_ consumer_service_binding='POST' |
create_sp_connection_sign_assertion | 指定由服務提供者接收的回應、登出請求與登出回應元素是否已簽署。 | create_sp_connection_sign_assertion='true' |
create_sp_connection_sign_auth_requests | 指定由服務提供者傳送的驗證請求訊息是否已簽署。服務提供者的中繼資料可提供此資訊。 | create_sp_connection_sign_auth_requests='true' |
create_sp_connection_encrypt_entire_assertion | 指定由服務提供者接收的整個宣告是否已加密。 | create_sp_connection_encrypt_entire_assertion='true' |
create_sp_connection_signing_algorithm | 指定服務提供者在簽署過程中使用的演算法。 | create_sp_connection_signing_algorithm='SHA256withRSA' |
create_sp_connection_block_encryption_algorithm | 指定區塊加密演算法的加密代碼。如果針對 PingFederate 以及 ThingWorx JRE 或 JDK 安裝 Unlimited Strength Java (TM) Cryptography Extension (JCE) Policy Files,則建議使用 'AES_ 256'。 | create_sp_connection_block_encryption_algorithm='AES_128' |
create_sp_connection_key_transport_algorithm | 指定金鑰傳輸演算法來加密憑證金鑰。 | create_sp_connection_key_transport_algorithm='RSA_OAEP' |
存取權杖管理
下表描述已經針對管理存取權杖進行配置的內容,以及每個內容的預設值。如需詳細資訊,請參閱 PingFederate 文件集中的「存取權杖管理」。
內容 | 描述 | 預設值 |
|---|---|---|
create_access_token_manager_id | 指定存取權杖管理員實例的唯一識別元。 | create_access_token_manager_id='default' |
create_access_token_manager_name | 指定存取權杖管理員實例的名稱。 | create_access_token_manager_name='default' |
create_access_token_manager_attribute_name_1 | 指定存取權杖管理實例所發出第一個存取權杖的屬性名稱。 | create_access_token_manager_attribute_name='Username' |
create_access_token_manager_attribute_name_2 | 指定存取權杖管理實例所發出第二個存取權杖的屬性名稱。 | create_access_token_manager_attribute_name='username' |
存取權杖對應
下表描述已經針對對應存取權杖進行配置的內容,以及每個內容的預設值。如需詳細資訊,請參閱 PingFederate 文件集中的「管理存取權杖對應」。
內容 | 描述 | 預設值 |
|---|---|---|
create_access_token_mapping_source | 指定從授權伺服器請求的屬性來源。 | create_access_token_mapping_source='OAUTH_PERSISTENT_GRANT' |
create_access_token_mapping_value | 指定從授權伺服器請求的屬性值。 | create_access_token_mapping_value='USER_KEY' |
與作為服務提供者之 ThingWorx 的 OAuth 用戶端連線
下表描述已經針對與作為服務提供者之 ThingWorx 的 OAuth 用戶端連線進行配置的內容,以及每個內容的預設值。如需詳細資訊,請參閱 PingFederate 文件集中的「配置 OAuth 用戶端」。
內容 | 描述 | 預設值 |
|---|---|---|
create_twx_sp_oauth_client_id | 指定 OAuth 用戶端 ID 以識別用戶端應用程式。 | create_twx_sp_oauth_client_id='twx-sp-client' |
create_twx_oauth_client_name | 指定用戶端應用程式的名稱。 | create_twx_oauth_client_name='twx-sp-client' |
create_twx_oauth_client_auth_type | 指定要向授權伺服器註冊之用戶端應用程式的授權類型。 | create_twx_oauth_client_auth_type='SECRET' |
create_twx_oauth_client_grantType1 | 指定 ThingWorx OAuth 用戶端需要的第一個授與類型。 | create_twx_oauth_client_grantType1= 'AUTHORIZATION_CODE' |
create_twx_oauth_client_grantType2 | 指定 ThingWorx OAuth 用戶端需要的第二個授與類型。 | create_twx_oauth_client_grantType2='REFRESH_TOKEN' |
create_twx_oauth_client_grantType3 | 指定 ThingWorx OAuth 用戶端需要的第三個授與類型。 | create_twx_oauth_client_grantType3= 'ACCESS_TOKEN_VALIDATION' |
create_twx_oauth_client_refreshRolling | 指定可決定在每次取得新存取權杖時是否發出新重新整理權杖的內容。 | create_twx_oauth_client_refreshRolling='ROLL' |
create_twx_oauth_client_expirationTime | 指定針對用戶端應用程式產生之存取權杖的有效期間。 | create_twx_oauth_client_expirationTime='30' |
create_twx_oauth_client_expirationTimeUnit | 指定量測單位,以指定針對用戶端應用程式產生之存取權杖的有效期間。 | create_twx_oauth_client_expirationTimeUnit='DAYS' |
create_twx_oauth_client_persistent_grant_ expiration_type | 指定用戶端應用程式的持續授與到期設定。 | create_twx_oauth_client_persistent_grant_ expiration_type='OVERRIDE_SERVER_DEFAULT' |
與作為資源伺服器之 Windchill 的 OAuth 用戶端連線
下表描述已經針對與作為資源伺服器之 Windchill 的 OAuth 用戶端連線進行配置的內容,以及每個內容的預設值。如需詳細資訊,請參閱 PingFederate 文件集中的「配置 OAuth 用戶端」。
內容 | 描述 | 預設值 |
|---|---|---|
create_wnc_rp_oauth_client_id | 指定 OAuth 用戶端 ID 以識別用戶端應用程式。 | create_wnc_rp_oauth_client_id='wnc-rp-client' |
create_wnc_oauth_client_name | 指定用戶端應用程式的名稱,以針對 OAuth 委派授權配置 Windchill。 | create_wnc_oauth_client_name='wnc-rp-client' |
create_wnc_oauth_client_auth_type | 指定要向授權伺服器註冊之用戶端應用程式的授權類型。 | create_wnc_oauth_client_auth_type='SECRET' |
create_wnc_oauth_client_grantType | 指定 Windchill OAuth 用戶端需要的授與類型。 | create_wnc_oauth_client_grantType='ACCESS_TOKEN_VALIDATION' |
與作為服務提供者之 Windchill RV&S 的 OAuth 用戶端連線
下表描述已經針對與作為服務提供者之 Windchill RV&S 的 OAuth 用戶端連線進行配置的內容,以及每個內容的預設值。如需詳細資訊,請參閱 PingFederate 文件集中的「配置 OAuth 用戶端」。
內容 | 描述 | 預設值 |
|---|---|---|
create_twx_sp_oauth_client_id | 指定 OAuth 用戶端 ID 以識別用戶端應用程式。 | create_twx_sp_oauth_client_id= 'ilm-rp-client' |
create_twx_oauth_client_name | 指定用戶端應用程式的名稱。 | create_twx_oauth_client_name='ilm-rp- client' |
create_twx_oauth_client_auth_type | 指定要向授權伺服器註冊之用戶端應用程式的授權類型。 | create_ilm_oauth_client_auth_type='SECRET' |
create_twx_oauth_client_grantType3 | 指定 Windchill RV&S OAuth 用戶端需要的第三個授與類型。 | create_ilm_oauth_client_grantType='ACCESS_TOKEN_VALIDATION' |
服務提供者原則契約
下表描述為配置適用於 PingFederate 的服務提供者原則契約所必須指定的內容,以及內容的範例。如需詳細資訊,請參閱驗證原則契約。
內容 | 描述 | 預設值 |
|---|---|---|
create_auth_policy_contract_name | 將驗證原則契約指定為將使用者屬性從客戶 IdP 傳送至 PingFederate 以及服務提供者上的媒體。 | create_auth_policy_contract_name='sp-policy-contract' |
PingFederate 特定預設內容 - 當您將 PindFederate 配置為 IdP 時適用
資料存放區
下表描述已經針對使用 LDAP 目錄伺服器作為資料存放區進行配置的內容,以及每個內容的預設值。如需詳細資訊,請參閱 PingFederate 文件集中的「管理資料存放區」。
內容 | 描述 | 預設值 |
|---|---|---|
create_ldap_datastore_type | 指定資料存放區類型。 | create_ldap_datastore_type='LDAP' |
create_ldap_datastore_ldapType | 指定 LDAP 類型。 | create_ldap_datastore_ldapType='GENERIC' |
LDAP 密碼認證驗證器
下表描述已經針對 LDAP 密碼認證驗證器進行配置的內容,以及每個內容的預設值。如需詳細資訊,請參閱 PingFederate 文件集中的「管理密碼認證驗證器」。
內容 | 描述 | 預設值 |
|---|---|---|
create_ldap_pcv_id | 指定 LDAP 密碼認證驗證器的唯一識別元。 | create_ldap_pcv_id='LdapPcv' |
create_ldap_pcv_name | 指定 LDAP 密碼認證驗證器的名稱。 | create_ldap_pcv_name='LdapPcv' |
create_ldap_pcv_pluginDescriptorRef_id | 指定 LDAP 密碼認證驗證器之可描述外掛程式的唯一識別元。 | create_ldap_pcv_pluginDescriptorRef_id= 'org.sourceid.saml20.domain.LDAPUsernamePasswordCredentialValidator' |
IdP 轉接器
下表描述已經針對適用於 PingFederate 的 IdP 轉接器進行配置的內容,以及每個內容的預設值。如需詳細資訊,請參閱 PingFederate 文件集中的「管理 IdP 轉接器」。
內容 | 描述 | 預設值 |
|---|---|---|
create_idp_adapter_id | 指定 IdP 轉接器的唯一識別元。 | create_idp_adapter_id='IdpAdapter' |
create_idp_adapter_name | 指定 IdP 轉接器的名稱。 | create_idp_adapter_name='IdpAdapter' |
create_idp_adapter_pluginDescriptorRef_id | 指定可執行向作為 IdP 的 PingFederate 實際驗證的驗證外掛程式。建議使用 HtmlFormAuthnAdapter 外掛程式。 | create_idp_adapter_pluginDescriptorRef_id= 'com.pingidentity.adapters.htmlform.idp.HtmlFormIdpAuthnAdapter' |
create_idp_adapter_isPseudonym | 指定 IdP 轉接器是否使用假名進行帳戶連結。 | create_idp_adapter_isPseudonym='true' |
ADFS 特定預設內容 - 當您將 ADFS 配置為 IdP 時適用
適用於 ADFS 的 IdP 連線
下表描述已經針對適用於 ADFS 的 IdP 連線進行配置的內容,以及每個內容的預設值。
內容 | 描述 | 預設值 |
|---|---|---|
create_idp_adfs_connection_type | 指定將 ADFS 配置為識別提供者需要的連線類型。 | create_idp_adfs_connection_type='IDP' |
create_idp_adfs_connection_name | 指定用於與作為識別提供者之 ADFS 連線的明語識別元。 | create_idp_adfs_connection_name='ADFS_IDP' |
create_idp_adfs_connection_loggingMode | 指定識別提供者連線的記錄模式。 | create_idp_adfs_connection_loggingMode='STANDARD' |
create_idp_adfs_connection_browserSSO_protocol | 指定通訊協定來支援以瀏覽器為基礎的 SSO 連線類型。 | create_idp_adfs_connection_browserSSO_protocol='SAML20' |
create_idp_adfs_connection_browserSSO _saml_identity_mapping | 指定 ADFS 傳送安全權杖 (宣告) 的方式,且該權杖包含 ThingWorx 服務提供者可轉換或對應至本機使用者存放區的使用者識別資訊。 | create_idp_adfs_connection_browserSSO_ saml_identity_mapping='ACCOUNT_MAPPING' |
create_idp_adfs_connection_assertion_ consumer_service_url | 指定超文字傳輸通訊協定資源 (HTTP 資源) 的 URL,其可處理 SAML 通訊協定訊息。此 URL 可傳回代表從訊息擷取之資訊的 cookie。 | create_idp_adfs_connection_assertion_ consumer_service_url='/adfs/ls/' |
create_idp_adfs_connection_assertion_ consumer_service_binding | 指定傳回回應訊息時使用的 SAML 通訊協定繫結。 | create_idp_adfs_connection_assertion_ consumer_service_binding='POST' |
create_idp_adfs_connection_signing_algorithm | 指定識別提供者在簽署過程中使用的演算法。 | create_idp_adfs_connection_signing_algorithm= 'SHA256withRSA' |
create_idp_adfs_uid | 指定屬性契約的名稱,即 ADFS 作為 IdP 傳送至 ThingWorx 服務提供者之 SAML 宣告中的延伸屬性。 | create_idp_adfs_uid= 'http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name' |
create_idp_adfs_email | 指定屬性契約的電子郵件地址,即 ADFS 作為 IdP 傳送至 ThingWorx 服務提供者之 SAML 宣告中的延伸屬性。 | create_idp_adfs_email= 'http://schemas.xmlsoap.org/claims/EmailAddress' |
create_idp_adfs_group | 指定屬性契約的群組,即 ADFS 作為 IdP 傳送至 ThingWorx 服務提供者之 SAML 宣告中的延伸屬性。 | create_idp_adfs_group= 'http://schemas.xmlsoap.org/claims/Group' |
泛用 SAML 特定預設內容 - 當您配置任何泛用 SAML 2.0 IdP 時適用
適用於泛用 SAML 2.0 的 IdP 連線
下表描述已經針對適用於泛用 SAML 2.0 IdP 的 IdP 連線進行配置的內容,以及每個內容的預設值。
內容 | 描述 | 預設值 |
|---|---|---|
create_idp_saml2_connection_type | 指定將泛用 SAML2.0 配置為識別提供者需要的連線類型 | create_idp_saml2_connection_type='IDP' |
create_idp_saml2_connection_name | 指定用於與作為識別提供者之泛用 SAML2.0 連線的明語識別元。 | create_idp_saml2_connection_name='SAML2_IDP' |
create_idp_saml2_connection_loggingMode | 指定識別提供者連線的記錄模式。 | create_idp_saml2_connection_loggingMode='STANDARD' |
create_idp_saml2_connection_browserSSO_protocol | 指定通訊協定來支援以瀏覽器為基礎的 SSO 連線類型。 | create_idp_saml2_connection_browserSSO_protocol= 'SAML20' |
create_idp_saml2_connection_browserSSO_ saml_identity_mapping | 指定泛用 SAML2.0 傳送安全權杖 (宣告) 的方式,且該權杖包含 ThingWorx 服務提供者可轉換或對應至本機使用者存放區的使用者識別資訊。 | create_idp_saml2_connection_browserSSO_ saml_identity_mapping='ACCOUNT_MAPPING' |
create_idp_saml2_connection_assertion_ consumer_service_binding | 指定傳回回應訊息時使用的 SAML 通訊協定繫結。 | create_idp_saml2_connection_assertion_ consumer_service_binding='POST' |
create_idp_saml2_connection_signing_algorithm | 指定識別提供者在簽署過程中使用的演算法。 | create_idp_saml2_connection_signing_algorithm= 'SHA256withRSA' |