範例:將 PingFederate 作為代理程式的 Windchill SSO 實行
此範例提供有關如何配置已針對單一登入配置 Windchill PDMLink 與 Shibboleth SP,且將 PingFederate 作為「中央驗證伺服器」(CAS)、將 Active Directory Federation Services (AD FS) 作為「識別提供者」(IdP) 之環境的詳細步驟。
下表顯示了在此範例中配置的應用程式及其角色:
|
角色
|
應用程式
|
|---|---|
|
服務提供者
|
Windchill PDMLink + Shibboleth SP
|
|
中央授權伺服器
|
PingFederate
|
|
識別提供者
|
AD FS
|
|
資源伺服器
|
Windchill
|
下圖顯示了本範例討論的組態。
A 部份:先決條件
1. 請確保已設定 Windchill。如需詳細資訊,請參閱適當的 Windchill 說明中心。
2. 設定並配置 AD FS,確保您已包括下列屬性值與檔案:
◦ uid
◦ email
◦ group
◦ 中繼資料檔案
3. 安裝 PingFederate。
B 部份:手動配置 AD FS 的驗證
步驟 1:建立 PingFederate 全域 SSL 憑證
1. 以管理員身分登入 PingFederate。搜尋 SSL Server Certificates 並開啟搜尋結果。
2. 按一下 Create New 以建立全域 SSL 憑證,並執行下列操作:
1. 在 Common Name 欄位中,提供 PingFederate 電腦的 FQDN。
2. 提供頁面的其他詳細資訊,然後按一下 Next。
3. 請確定已核取下列核取方塊,然後按一下 Save。
4. 按一下 SSL Server Certificates。
5. 針對您建立的 SSL 憑證,在 Select Action 清單中選取 Activate Default for Runtime Server,然後選取 Activate Default for Admin Console。按一下 Save。
此 SSL 憑證即會針對管理主控台與執行時間伺服器標記為 default。
3. 針對 localhost 憑證,執行下列操作:
1. 在 Select Action 清單中,選取 Deactivate for Runtime Server,然後選取 Deactivate for Admin Console。
2. 刪除 localhost 憑證,然後按一下 Save。
步驟 2:建立服務提供者契約
1. 在 PingFederate 中,搜尋 Policy Contract,並開啟搜尋結果。
2. 按一下 Create New Contracts,然後執行下列操作:
1. 在 Contract Info 欄位中,輸入契約名稱,例如 SPContract,然後按一下 Next。
2. 在 Contract Attributes 下,如需延伸下列屬性的契約,請針對每個屬性按一下 Add:
▪ uid
▪ email
▪ group
依預設,subject 屬性已存在。
3. 按一下 Next,然後在 Summary 頁按一下 Save。
4. 在 Authentication Policy Contracts 頁中,按一下 Save。
如需詳細資訊,請參閱配置 PingFederate 以將使用者登入請求重新導向至 IdP。
步驟 3:下載 AD FS FederationMetadata.xml 檔案
1. 在您的 AD FS 電腦瀏覽器中,輸入下列 URL 以下載同盟中繼資料檔案:
https://ADSF_Host.ADFS_Domain/FederationMetadata/2007-06/FederationMetadata.xml
2. 將下載的檔案複製到 PingFederate 電腦。
步驟 4:建立 PingFederate IdP 連線
A) 指定用來建立 IdP 連線的一般資訊
1. 在 PingFederate 中,搜尋 IdP Connections,並開啟搜尋結果。按一下 Create Connection。
2. 在 Connection Type 標籤中,選取 BROWSER SSO Profiles 核取方塊,然後按一下 Next。
3. 在 Connection Options 標籤中,選取 BROWSER SSO 核取方塊與 OAUTH ATTRIBUTE MAPPING 核取方塊,然後按一下 Next。
4. 在 Import Metadata 標籤中,選取 File,按一下 Choose File 以瀏覽至 FederationMetadata.xml 檔案,然後按一下 Next。
5. 在 Metadata Summary 標籤中,按一下 Next。
6. General Info 標籤即會填入資料。如有需要,您可以變更 CONNECTION NAME。核對其餘資訊,然後按一下 Next。
7. 在 Browser SSO 標籤中,按一下 Configure Browser SSO。Browser SSO 頁即會開啟,您需要在其中為您的瀏覽器指定單一登入的設定。
B) 配置瀏覽器 SSO 設定
1. 在 Browser SSO 頁的 SAML Profiles 標籤中,選取下列選項,然後按一下 Next:
▪ IDP-INITIATED SSO
▪ SP-INITIATED SSO
2. 在 User-Session Creation 標籤中,按一下 Configure User-Session Creation。User-Session Creation 頁即會開啟,您需要在其中指定用來配置使用者建立的設定。
C) 配置使用者工作階段建立設定
1. 在 Identity Mapping 標籤中,接受預設設定,然後按一下 Next。
2. 在 Attribute Contract 標籤中,核對自動填入的屬性,然後按一下 Next。
3. 在 Target Session Mapping 標籤中,按一下 Map New Authentication Policy。Authentication Policy Mapping 頁即會開啟,您需要在其中指定驗證原則對應的設定。
D) 配置驗證原則對應設定
2. 在 Attribute Retrieval 標籤中,接受預設設定,然後按一下 Next。
3. 在 Contract Fulfillment 標籤中,針對 email、group、subject 與 uid 驗證原則契約選取下列值:
▪ 在 Source 清單中,選取 Assertion。
▪ 在 Value 清單中,從清單中選取對應的項目。
按一下 Next。
4. 在 Issuance Criteria 標籤中,按一下 Next。
5. 審核 Summary 標籤中的資訊。如果資訊正確,請按一下 Done。User-Session Creation 頁即會開啟,您需要在其中審核使用者工作階段建立的組態設定。
E) 審核使用者工作階段建立組態設定
1. User-Session Creation 頁中的 Target Session Mapping 標籤會顯示您在對應新驗證原則時選取的資訊。按一下 Next。
2. 審核 Summary 標籤中的資訊。如果資訊正確,請按一下 Done。Browser SSO 頁即會開啟。
3. Browser SSO 頁中的 User-Session Creation 標籤會顯示您在配置使用者工作階段建立時輸入的資訊。按一下 Next。
4. 在 OAuth Attribute Mapping 標籤中,選取 Map Directly Into Persistent Grant 與 Configure OAuth Attribute Mapping,然後執行下列操作:
1. 在 Data Store 標籤中,按一下 Next。
2. 在 Contract Fulfilment 標籤中,針對 USER_KEY 與 USER_NAME,將 Source 設定為 Assertion,將 Value 設定為來自 ADFS 的名稱屬性,然後按一下 Next。
3. 在 Issuance Criteria 標籤中,按一下 Next。
5. 審核 Summary 標籤中的資訊。如果資訊正確,請按一下 Done。在 OAuth Attribute Mapping Configuration 頁中按一下 Next。
6. 在 Protocol Settings 標籤中,按一下 Configure Protocol Settings。Protocol Settings 頁即會開啟,您需要在其中指定通訊協定設定。
F) 配置及審核通訊協定設定
1. 在 SSO Service URLs 標籤中,按一下 Next。
2. 在 Allowable SAML Bindings 標籤中,執行下列操作,然後按一下 Next:
1. 選取下列核取方塊:
▪ POST
▪ REDIRECT
2. 清除下列核取方塊:
▪ ARTIFACT
▪ POST
3. 跳過 Overrides 標籤中的設定,然後按一下 Next。
4. 在 Signature Policy 標籤中,按一下 SPECIFY ADDITIONAL SIGNATURE REQUIREMENTS,選取其下的兩個核取方塊,然後按一下 Next。
5. 在 Encryption Policy 標籤中,按一下 ALLOW ENCRYPTED SAML ASSERTIONS AND SLO MESSAGES,選取 THE ENTIRE ASSERTION 核取方塊,然後按一下 Next。
6. 審核 Summary 標籤中的資訊。如果資訊正確,請按一下 Done。Browser SSO 頁即會開啟。
7. Browser SSO 頁中的 Protocol Settings 標籤會顯示您在配置通訊協定設定時選取的資訊。按一下 Next。
8. 審核 Summary 標籤中的資訊。如果資訊正確,請按一下 Done。IdP Connection 頁即會開啟。
9. 在 IdP Connection 頁的 Browser SSO 標籤中,按一下 Next。
10. 在 Credentials 標籤中,按一下 Configure Credentials。Credentials 頁即會開啟,您需要在其中指定用來配置認證的設定。
G) 配置認證
1. 在 Digital Signature Settings 標籤中,按一下 Manage Certificates。
2. 欲建立簽署憑證,請按一下 Create New,提供下列值,然後按一下 Next:
▪ COMMON NAME
▪ ORGANIZATION
▪ COUNTRY
▪ VALIDITY (DAYS)—365
▪ KEY ALGORITHM—RSA
▪ KEY SIZE (BITS)—2048
▪ SIGNATURE ALGORITHM—RSA SHA256
3. 審核 Summary 標籤中的資訊。如果資訊正確,請按一下 Save,然後按一下 Done。
4. 在 Digital Signature Settings 標籤中,針對您建立的 SIGNING CERTIFICATE,選取 INCLUDE THE CERTIFICATE IN THE SIGNATURE <KEYINFO> ELEMENT 核取方塊,然後按一下 Next。
這是用來以數位方式簽署從 PingFederate 到 IdP 之請求的應用程式層憑證。
5. 在 Signature Verification Settings 標籤中,按一下 Manage Signature Verification Settings。
a. 在 Trust Model 標籤中,選取 UNANCHORED,然後按一下 Next。
b. 在 Signature Verification Certificate 中,確認已顯示 IdP 簽署憑證,然後按一下 Next。
這是用來針對從 IdP 到 PingFederate 的請求進行「簽章驗證」的應用程式層憑證。當您從 IdP 匯入 metadata.xml 檔案時,會自動將此憑證匯入至 PingFederate。
c. 審核 Summary 標籤中的資訊。如果資訊正確,請按一下 Done。
d. 在 Signature Verification Settings 標籤中,按一下 Next。
e. 在 Select Decryption Keys 中,選取 PingFederate 憑證,然後按一下 Next。
f. 審核 Summary 標籤中的資訊。如果資訊正確,請按一下 Done。
g. 在 Credentials 頁中,按一下 Next。
H) 啟動 IdP 連線
在 Activation & Summary 頁中,確保已啟動 SSO Application Endpoint,然後按一下 Save。
現在,即已建立並啟動 IdP 連線。
I) 確認 IdP 連線
按一下您建立的 IdP 連線,複製 SSO Application Endpoint URL,將其貼上到瀏覽器中,並確認它會重新導向至 IdP。這樣一來,PingFederate 中的此 URL 就必須重新導向至 AD FS。您會看到一個類似於如下所示的頁面,且其中包含錯誤訊息。
C 部份:配置 AD FS 信賴憑證者
步驟 1:從 PingFederate 匯出中繼資料 XML 檔案
1. 在 PingFederate 中,轉至 Service Provider,然後在 IDP Connections 下,按一下 Manage All。
2. 針對您的 IdP 連線,在 Select Action 清單中,按一下 Export Metadata。
3. 在 Metadata Signing 頁中,按一下 Next。
4. 在 Export & Summary 頁中,按一下 Export 以將中繼資料檔案下載至您電腦中的 Downloads 資料夾,然後按一下 Done。
5. 將中繼資料 XML 檔案複製到 AD FS 電腦。
步驟 2:在 AD FS 中新增信賴憑證者
1. 登入至 AD FS 伺服器,然後開啟 Server Manager。
2. 轉至 > 。
3. 在 AD FS 下的 Relying Party Trusts 上按一下滑鼠右鍵,然後選取 Add Relying Party Trust。這是為了確保 AD FS 信任連線來自 PingFederate。
4. 在 Add Relying Party Trust Wizard 視窗中,執行下列操作:
1. 按一下 Start。
2. 在下一個畫面中,按一下 Import data about the relying party from a file。
3. 按一下 Browse,導覽至您從 PingFederate 複製之 Metadata.xml 的位置,以在 AD FS 中建立「信賴憑證者」,然後按一下 Next。
4. 提供 Display name,然後按一下 Next。
請記下此名稱,因為稍後會需要用到它。
5. 在接下來的視窗中按一下 Next,直到您到達 Finish 畫面為止。然後,按一下 Close。
您目前的項目即會新增至 Relying Part Trusts 清單。
您應該也會看到下列視窗 (它可能會隱藏在目前視窗之後):
5. 欲將 AD FS 屬性對應至 Active Directory,請執行下列操作:
1. 在 Edit Claim Issuance Policy for <信賴憑證者信任名稱> 視窗中,按一下 Add Rule,然後按一下 Next。
2. 提供 Claim rule name,並將 Attribute store 設定為 Active Directory。
3. 在 Mapping of LDAP attributes to outgoing claim types 表中,從清單中選取值,以將 AD FS 屬性對應至 Active Directory 屬性:
 | 如果您沒有正確對應這些屬性,將無法進行單一登入。 |
Display-Name | 名稱 |
SAM-Account-Name | 名稱 ID |
E-Mail-Addresses | 電子郵件地址 |
Is-Member-Of-DL | 群組 |
4. 按一下 Finish,然後按一下 OK。
步驟 3:設定 AD FS 以加密完整訊息與宣告
1. 在 AD FS 電腦中,以管理員身分開啟 Windows PowerShell。
2. 在 AD FS 電腦中執行下列指令,以進行通訊:
Set-ADFSRelyingPartyTrust -TargetName <信賴憑證者信任名稱> -SamlResponseSignature "MessageAndAssertion"
其中,<信賴憑證者信任名稱> 是您在上述「步驟 2」中建立並記下的信賴憑證者信任名稱。
此指令會透過 Windows PowerShell 配置 SAML 回應簽章。
D 部份:確認 IdP 連線端點 URL
1. 從 PingFederate 中,複製 SSO Application Endpoint URL,並將其貼上到無痕視窗中。
2. 使用您為 AD FS 建立的網域名稱與管理員使用者登入。
您應該會收到下列訊息:
部份 E:設定 Shibboleth SP 和 PingFederate
欲使用 Shibboleth Service Provider 2.6.0 為 Windchill 啟用 SAML 功能,請完成 Windchill 說明中心下一部份的程序:安全性宣告標記語言 (SAML) 驗證。遵循相同 Windchill 說明中心頁中以下各部份的指示:
• 疑難排解與偵錯 Shibboleth 服務提供者
• 重新啟動 Shibboleth 服務提供者與 PTC HTTP 伺服器
部份 F:設定 JNDI LDAP 項目
欲配置 JNDI 轉接器,請完成「Windchill 說明中心」下列部份的程序:JNDI 轉接器組態項目。
部份 G:其他組態
如果您的 Windchill 工作流程需要使用 eSignature,則需要其他一些額外的組態才能部署 SSO。如需詳細資訊,請參閱 Windchill 說明中心的下列部份:
• 電子簽名設定
如需其他考量事項,請參閱「Windchill 說明中心」安全性宣告標記語言 (SAML) 驗證的「用戶端相容性」部份。