設定使用者內容
您必須根據企業需求來在 user.properties 檔案中指定內容值。此檔案位於 <PINGFEDERATE_SCRIPT_HOME>,且您已將適用於 PingFederate 組態的自動化指令集儲存在此目錄中。
 |
請將每個內容的值括在單引號中。
|
user.properties 檔案包含下列內容的設定。按一下連結可檢視不同的內容、描述與範例值。
全域使用者內容 - 適用於任何 IdP 組態
PingFederate 連線能力
下表描述為配置與 PingFederate 的連線所必須指定的內容,以及每個內容的範例。
內容 | 描述 | 範例 | ||
|---|---|---|---|---|
global_pingFedHost | 指定執行 PingFederate 管理控制台之完全合格的網域名稱。內容值的格式為 <伺服器 fqdn>。 | global_pingFedHost='pingfed.yourorg.com' | ||
global_pingFedAdminPort | 指定執行 PingFederate 管理控制台的埠。內容值的格式為 <伺服器埠>。 | global_pingFedAdminPort='9999' | ||
global_pingFedIdpEntityId | 指定可表示 PingFederate 之安全性聲明標記語言 2.0 (SAML 2.0) 實體的唯一識別元。 | global_pingFedIdpEntityId='ptc-pingfed' | ||
global_pingFed_admin_certificate | 指定在進行管理員 API 呼叫時,自動化指令集所信任安全通訊端層憑證 (SSL 憑證) 檔案的檔案名稱。為此內容指定值是可選操作,但建議執行此操作,因為使用憑證可啟用 PingFederate 與指令集之間的安全 SSL 通訊。
| global_pingFed_admin_certificate='pingfed_admin_ssl.crt' |
適用於應用程式層 (SAML 加密與簽署) 的 SSL 憑證
下表描述為配置適用於應用程式層 (SAML 加密與簽署) 的 SSL 憑證所必須指定的內容,以及每個內容的範例。如需詳細資訊,請參閱 PingFederate 文件集中的「管理數位簽署憑證與解密金鑰」。
內容 | 描述 | 範例 |
|---|---|---|
create_pingfed_signing_cert_organization | 指定建立憑證的組織或公司名稱。 | create_pingfed_signing_cert_organization='ptc' |
create_pingfed_signing_cert_organizationUnit | 指定組織內的特定單位。 | create_pingfed_signing_cert_organizationUnit='ent-sso' |
create_pingfed_signing_cert_city | 指定公司營運的城市或其他主要地點。 | create_pingfed_signing_cert_city='Blaine' |
create_pingfed_signing_cert_state | 指定涵蓋該地點的州或其他政治單位。 | create_pingfed_signing_cert_state='MN' |
create_pingfed_signing_cert_country | 指定公司所在國家的代碼。國碼由兩個字母的代碼表示。 | create_pingfed_signing_cert_country='US' |
create_pingfed_signing_cert_validDays | 指定憑證有效的時間。 | create_pingfed_signing_cert_validDays='36500' |
服務提供者連線
下表描述為配置與服務提供者的連線所必須指定的內容,以及每個內容的範例。如需詳細資訊,請參閱 PingFederate 文件集中的「管理 SP 連線」。
內容 | 描述 | 範例 |
|---|---|---|
create_sp_connection_baseUrl | 指定可為您的服務提供者主控伺服器的基礎 URL。內容值的格式為:https://<伺服器 fqdn>:<伺服器埠>。 | create_sp_connection_baseUrl='https://thingworx.yourorg.com:8443' 其中 <Service_provider> 可以是 ThingWorx、Windchill RV&S 或 Windchill |
create_sp_connection_input_sign_verif_cert | 指定用於核對傳入 SAML 權杖數位簽章之憑證的檔案名稱。 | create_sp_connection_input_sign_verif_cert='twx_sp_signing.crt' 其中 <sp 的特定名稱> 可以是 twx、ilm 或 wnc。 |
create_sp_connection_entityId | 指定您服務提供者的唯一識別。您服務提供者的內容值應為 https://<伺服器 fqdn>:<伺服器埠>/saml/metadata | 此範例是 Windchill RV&S 的特定範例。 create_sp_connection_entityId='https://integrity.yourorg.com:8443/saml/metadata' |
與作為服務提供者之 ThingWorx 的 OAuth 用戶端連線
下表描述為配置與作為服務提供者之 ThingWorx 的 OAuth 用戶端連線所必須指定的內容,以及每個內容的範例。如需詳細資訊,請參閱 PingFederate 文件集中的「配置 OAuth 用戶端」。
內容 | 描述 | 範例 |
|---|---|---|
create_twx_sp_oauth_client_description | 指定用戶端應用程式的功能描述。當提示使用者授權時,會顯示此描述。 | create_twx_sp_oauth_client_description='Thingworx service provider OAuth client.' |
create_twx_sp_oauth_client_auth_secret_value | 指定 OAuth 用戶端密碼。 | create_twx_sp_oauth_client_auth_secret_value='twx-sp-client_1234' |
create_twx_sp_oauth_client_redirectURI | 指定在取得授權之後,OAuth 授權伺服器可將資源擁有者使用者代理重新導向至的 URI。內容值的格式為:https://<伺服器 fqdn>:<伺服器埠>/Thingworx/oauth2_ authorization_ code_redirect。 | create_twx_sp_oauth_client_redirectURI='https://thingworx.yourorg.com:8443/ Thingworx/oauth2_ authorization_ code_redirect' |
與作為資源伺服器之 Windchill 的 OAuth 用戶端連線
下表描述為配置與作為資源伺服器之 Windchill 的 OAuth 用戶端連線所必須指定的內容,以及每個內容的範例。如需詳細資訊,請參閱 PingFederate 文件集中的「配置 OAuth 用戶端」。
內容 | 描述 | 範例 |
|---|---|---|
create_wnc_oauth_client_description | 指定用戶端應用程式的功能描述。當提示使用者授權時,會顯示此描述。 | create_wnc_rp_oauth_client_description='Windchill resource server OAuth client.' |
create_wnc_oauth_client_auth_secret_value | 指定 OAuth 用戶端密碼。 | create_wnc_rp_oauth_client_auth_secret_value='wnc-rp-client_1234' |
與作為資源伺服器之 Windchill RV&S 的 OAuth 用戶端連線
下表描述為配置與作為資源伺服器之 Windchill RV&S 的 OAuth 用戶端連線所必須指定的內容,以及每個內容的範例。如需詳細資訊,請參閱 PingFederate 文件集中的「配置 OAuth 用戶端」。
內容 | 描述 | 範例 |
|---|---|---|
create_ilm_oauth_client_description | 指定用戶端應用程式的功能描述。當提示使用者授權時,會顯示此描述。 | create_ilm_rp_oauth_client_description='IntegrityLifecycle Manager resource server OAuth client.' |
create_ilm_oauth_client_auth_secret_value | 指定 OAuth 用戶端密碼。 | create_ilm_rp_oauth_client_auth_secret_value='olm-rp-client_1234' |
範圍管理
下表描述為在 PingFederate 中註冊範圍所必須指定的內容,以及每個內容的範例。如需詳細資訊,請參閱 PingFederate 文件集中的「範圍」。
內容 | 描述 | 範例 |
|---|---|---|
create_oauth_default_scope_description | 指定當未指示任何範圍值或不包含任何值時,所暗示權限的描述。當提示使用者授權時,會顯示此描述。 | create_oauth_default_scope_description='Default Scope' |
create_oauth_twx_scope | 指定作為服務提供者之 ThingWorx 的範圍。 | create_oauth_twx_scope='THINGWORX' |
create_oauth_twx_read_scope_description | 指定 ThingWorx 之範圍值的描述。當提示使用者授權時,會顯示此描述。 | create_oauth_twx_scope_description='Thingworx Scope' |
create_oauth_wnc_read_scope | 指定作為資源伺服器之 Windchill 的範圍。 | create_oauth_wnc_read_scope='WINDCHILL' |
create_oauth_wnc_read_scope_description | 指定 Windchill 之範圍值的描述。當提示使用者授權時,會顯示此描述。 | create_oauth_wnc_scope_description='Windchill Scope' |
create_oauth_ilm_scope | 指定作為服務提供者之 Windchill RV&S 的範圍。 | create_oauth_ilm_ scope='INTEGRITY_ READ' |
create_oauth_ilm_ read_scope_ description | 指定 Windchill RV&S 之範圍值的描述。當提示使用者授權時,會顯示此描述。 | create_oauth_ilm_ scope_ description= 'Integrity LM Scope' |
PingFederate 特定使用者內容 - 當您將 PindFederate 配置為 IdP 時適用
資料存放區
只有在您選取 PingFederate 作為 IdP 時,才需要配置資料存放區。
下表描述為將輕量型目錄存取通訊協定目錄伺服器 (LDAP 目錄伺服器) 配置為資料存放區所必須指定的內容,以及每個內容的範例。此資料存放區會與 LDAP 密碼認證驗證器搭配使用,以透過 PingFederate 驗證使用者認證,進而對使用者進行驗證。如需詳細資訊,請參閱 PingFederate 文件集中的「管理資料存放區」。
內容 | 描述 | 範例 |
|---|---|---|
create_ldap_datastore_hostname | 指定可包含埠號之資料存放區的網域名稱系統名稱 (DNS 名稱) 或網際網路通訊協定位址 (IP 位址)。內容值的格式為:<ldap fqdn>:<ldap 埠>。 | create_ldap_datastore_hostname='windchillDS.ptc.com:389' 或者 create_ldap_ datastore_ hostname= 'integrityLDAP.ptc.com:389' |
create_ldap_datastore_userDN | 指定存取資料存放區需要的使用者名稱。 | create_ldap_datastore_userDN='cn=Manager' |
create_ldap_datastore_password | 指定存取資料存放區需要的密碼。 | create_ldap_datastore_password='password' |
LDAP 密碼認證驗證器
只有在您選取 PingFederate 作為 IdP 時,才需要配置 LDAP 密碼認證驗證器。
下表描述為配置 LDAP 密碼認證驗證器所必須指定的內容,以及每個內容的範例。如需詳細資訊,請參閱 PingFederate 文件集中的「管理密碼認證驗證器」。
內容 | 描述 | 範例 |
|---|---|---|
create_ldap_pcv_searchBase | 指定搜尋開始之 LDAP 目錄伺服器中的位置。 | create_ldap_pcv_searchBase='cn=Windchill_11.0,o=ptc' 或者 create_ldap_pcv_searchBase='cn=IntegrityOU,o=ptc' |
create_ldap_pcv_searchFilter | 指定 LDAP 查詢以尋找使用者記錄。 | create_ldap_pcv_searchFilter='uid=$<使用者名稱>' |
create_ldap_pcv_scopeOfSearch | 指定要在搜尋庫中執行的搜尋層級。 | create_ldap_pcv_scopeOfSearch='Subtree' |
IdP 轉接器
只有在您選取 PingFederate 作為 IdP 時,才需要配置 IdP 轉接器。
下表描述為配置適用於 PingFederate 的 IdP 轉接器所必須指定的內容,以及每個內容的範例。如需詳細資訊,請參閱 PingFederate 文件集中的「管理 IdP 轉接器」。
內容 | 描述 | 範例 |
|---|---|---|
create_idp_adapter_attributeSource_id | 指定屬性來源的唯一識別元、特定資料存放區或目錄位置,其中包含 IdP 轉接器契約或權杖授權工作流程可能需要的資訊。 | create_idp_adapter_attributeSource_id='uid' |
create_idp_adapter_attributeSource_description | 指定屬性來源的描述。 | create_idp_adapter_attributeSource_description='uid' |
create_idp_adapter_attributeSource_baseDn | 指定屬性來源的基礎網域名稱。 | create_idp_adapter_attributeSource_baseDn='cn=Windchill_11.0,o=ptc' 其中 <名稱> 可以是 Windchill、IntegrityOU 等。 |
create_idp_adapter_attributeSource_SearchScope | 指定搜尋的範圍。有效值為 Subtree、One level 與 Base。 | create_idp_adapter_attributeSource_SearchScope='SUBTREE' |
create_idp_adapter_attributeSource_SearchFilter | 指定要用於搜尋的搜尋篩選器。 | create_idp_adapter_attributeSource_SearchFilter='uid=$<使用者名稱>' |
ADFS 特定使用者內容 - 當您將 ADFS 配置為 IdP 時適用
適用於 ADFS 的 IdP 連線
下表描述為配置適用於 ADFS 的 IdP 連線所必須指定的內容,以及每個內容的範例。
內容 | 描述 | 範例 |
|---|---|---|
create_idp_adfs_connection_entityId | 指定將 ADFS 配置為識別提供者需要的實體識別元。 | create_idp_adfs_connection_entityId=‘http://adfs.org.io/adfs/services/trust’ |
create_idp_adfs_connection_baseUrl | 指定可為您的識別提供者主控伺服器的基礎 URL。內容值的格式為:https://<伺服器 fqdn>:<伺服器埠> | create_idp_adfs_connection_baseUrl =‘https://adfs.org.io’ (不需要指定預設埠)。 |
create_idp_adfs_connection_input_sign_verif_cert | 指定用來核對傳入 SAML 權杖數位簽章之憑證的檔案名稱。 | create_idp_adfs_connection_input_sign_verif_cert =’adfs_idp_signing.crt’ |
泛用 SAML 特定使用者內容 - 當您配置任何泛用 SAML 2.0 IdP 時適用
適用於泛用 SAML 2.0 的 IdP 連線
下表描述為配置適用於泛用 SAML 2.0 IdP 的 IdP 連線所必須指定的內容,以及每個內容的範例。
內容 | 描述 | 範例 |
|---|---|---|
create_idp_saml2_connection_entityId | 指定配置識別提供者需要的實體識別元。 | create_idp_saml2_connection_entityId= 'http://www.okta.com/exk15nb0a9fkh36Aq2p7' |
create_idp_saml2_connection_baseUrl | 指定可為您的識別提供者主控伺服器的基礎 URL。內容值的格式為:https://<伺服器 fqdn>:<伺服器埠> | create_idp_saml2_connection_baseUrl='https://org.okta.com' (不需要指定預設埠)。 |
create_idp_saml2_connection_input_sign_ verif_cert | 指定用來核對傳入 SAML 權杖數位簽章之憑證的檔案名稱。 | create_idp_saml2_connection_input_sign_verif_cert= 'saml2_idp_signing.crt' |
create_idp_saml2_connection_assertion_ consumer_service_url | 指定超文字傳輸通訊協定資源 (HTTP 資源) 的 URL,其可處理 SAML 通訊協定訊息。此 URL 可傳回代表從訊息擷取之資訊的 cookie。 | create_idp_saml2_connection_assertion_consumer_service_url= '/app/org399352_pingfed_1/exk15nb0a9fkh36Aq2p7/sso/saml' |
create_idp_saml2_attr_uid | 指定屬性契約的名稱,即作為 IdP 傳送至服務提供者之 SAML 宣告中的延伸屬性,其中服務提供者可以是 ThingWorx、Windchill 或 PingFederate。 | create_idp_saml2_attr_uid='uid' |
create_idp_saml2_attr_group | 指定屬性契約的群組,即作為 IdP 傳送至服務提供者之 SAML 宣告中的延伸屬性,其中服務提供者可以是 ThingWorx、Windchill 或 PingFederate。 如果無法從 IdP 中取得群組屬性,或者您不想對其進行對應,可從 user.properties 檔案中移除此內容。 | create_idp_saml2_attr_group='group' |
create_idp_saml2_attr_email | 指定屬性契約的電子郵件地址,即作為 IdP 傳送至服務提供者之 SAML 宣告中的延伸屬性,其中服務提供者可以是 ThingWorx、Windchill 或 PingFederate。 如果無法從 IdP 中取得電子郵件屬性,或者您不想對其進行對應,可從 user.properties 檔案中移除此內容。 | create_idp_saml2_attr_email='emailaddress' |