安裝 PingFederate
下面列出您需要遵循以安裝 PingFederate 的進一步步驟概觀。每一部份都包含您完成任務需要遵循的步驟。
步驟 1:下載 PingFederate
下載您產品所支援 PingFederate 的次要版本與修補程式的最新版次,如其系統需求所指示。
步驟 2:取得 PingFederate 授權
 |
PTC 不再於 PTC 下載頁提供 PingFederate 產品或授權。從 2022 年 4 月 1 日起,依預設,新的 PTC 產品權利將不包括 PingFederate 授權。選擇使用 PingFederate 的新客戶必須直接與 PingIdentity 簽約,才能購買 PingFederate 授權。在 2022 年 4 月 1 日之前已獲得授權的 PTC 客戶仍可聯絡 PTC 技術支援來請求 PingFederate 授權,這包括授權續約請求。
作為所提供 PTC 產品的一部份,如有需要,將會為 PTC 雲端客戶提供 PingFederate 授權。
|
步驟 3:安裝 PingFederate
如需 PingFederate 11.0 安裝指示,請參閱安裝 PingFederate。
步驟 4:對 PingFederate 安裝套用修補程式
安裝 PingFederate 之後,您需要對已安裝的 PingFederate 安裝套用各自的 PingFederate 修補程式。應依照 PingFederate 所提供的指示套用修補程式。
步驟 5:配置 PingFederate 並部署 PingFederate 授權檔案
1. 從指令提示視窗,瀏覽至 PingFederate/bin,並在 Windows 中執行 run.bat 或在 Linux 中執行 run.sh 以啟動 PingFederate。
啟動 PingFederate 可能需要一些時間。
2. 當傳回 PingFederate running 訊息時,請在瀏覽器中開啟下列格式的 PingFederate URL:https://<hostname.domain.com>:9999/pingfederate/。
3. 如果顯示憑證錯誤提示,請接受它們以繼續進行設定。
4. 請遵循 PingFederate Setup 畫面中的指示,直到設定完成為止。
5. 透過在新瀏覽器工作階段登入來確認已設定 PingFederate。導覽至 https://<hostname.domain.com>:9999/pingfederate/ 格式的 PingFederate URL,並以您新建立的管理員使用者名稱與密碼登入。
步驟 6:定義 SAML 2.0 實體 ID
|
|
在 PingFederate 11 中,不會作為在之前步驟中完成之 PingFederate 初始設定的一部份定義 entityID。請遵循下述步驟來定義 entityID。
|
1. 導覽至 PingFederate 管理控制台。
2. 搜尋 Protocol Settings。開啟搜尋結果。
3. 在 Federation Info 標籤下的 SAML 2.0 ENTITY ID 中,輸入您的 entityID。按一下 Save。
步驟 7:完成 SameSite cookie 屬性的跨網域組態
|
|
如果您使用 PingFederate 11,則 sameSite 屬性已存在,且 jetty-runtime.xml 檔案中的預設值為 "None"。在此情況下,不需要執行步驟 1 與 2。
<Call name="setAttribute">
<Arg>org.eclipse.jetty.cookie.sameSiteDefault</Arg> <Arg>None</Arg> </Call> |
如果 PingFederate 與/或 ThingWorx 以及/或 IdP 位於不同網域,則您必須啟用 SameSite cookie 屬性。欲執行此操作,請在 <PingFederate 安裝資料夾>/etc/jetty-runtime.xml 檔案中,將 baseHttpConfig 元素內 sameSiteSpecifier 屬性的值設定為 None。
<New id="baseHttpConfig" class="org.eclipse.jetty.server.HttpConfiguration">
<!-- ... -->
<Set name="headerCacheSize">512</Set>
<Set name="sameSiteSpecifier">None</Set>
<!-- … -->
</New>
<!-- ... -->
<Set name="headerCacheSize">512</Set>
<Set name="sameSiteSpecifier">None</Set>
<!-- … -->
</New>
|
|
欲完成跨網域支援,您必須將類似變更套用至 Tomcat。如需詳細資訊,請參閱 PTC 技術支援文章。
|
步驟 8:將 PingFederate 配置為始終傳回範圍
建立或編輯 oauth-scope-settings.xml 檔案,該檔案位於 <PingFederate Installation Folder>/server/default/data/config-store 位置,如下所示:
<?xml version="1.0" encoding="UTF-8"?>
<z:config xmlns:z="http://www.sourceid.org/2004/05/config">
<z:item name="always-return-scope-for-authz-code">true</z:item>
</z:config>
<z:config xmlns:z="http://www.sourceid.org/2004/05/config">
<z:item name="always-return-scope-for-authz-code">true</z:item>
</z:config>
步驟 9:重新啟動 PingFederate
重新啟動 PingFederate 伺服器。