單一登入概觀
單一登入 (SSO) 是一種工作階段與使用者驗證機制,無論平台、技術或網域為何,都可讓您使用一組認證跨企業存取多個應用程式。一旦您登入啟用 SSO 的應用程式,就會自動登入您擁有適當權限的其他每個應用程式。PTC 建議使用 SSO 作為驗證方法。
 |
如果您的應用程式使用 SSO 配置,且識別提供者 (IdP) 支援多因素驗證 (MFA),則可透過 IdP 配置 MFA。PTC 應用程式不會管理 MFA;它會透過 IdP 進行配置。
|
SSO 資訊處理流程包括驗證與授權資料的交換。下表中所列的每個元件都會在其中一或兩個交換中扮演某個角色:
|
辭彙
|
定義
|
||
|---|---|---|---|
|
中央授權伺服器 (CAS)
|
一種可跨 SSO 聯合管理使用者驗證與授權的協力廠商工具。這可讓使用者透過委派授權存取多個資源伺服器的資料。
PTC 支援下列中央授權伺服器:
• PingFederate
• Microsoft Entra ID
◦ 適用於 ThingWorx 9.2.0 及更新版本、9.1.4 及更新版本,以及 9.0.9 及更新版本
◦ 適用於 ThingWorx Navigate 9.5.0 及更新版本
◦ 適用於 Windchill 12.0.2.2 及更新版本
• Azure AD B2C
◦ 適用於 ThingWorx 9.6.0 及更新版本。
• AD FS
◦ 適用於 ThingWorx 9.2.0 及更新版本、9.1.4 及更新版本,以及 9.0.9 及更新版本
|
||
|
開放授權 (OAuth)
|
OAuth 是一種業界標準,可使用存取權杖來讓應用程式代表使用者向其他應用程式進行驗證,並擷取使用者擁有的資料。
PTC SSO 架構使用 OAuth 2.0。
|
||
|
安全性聲明標記語言 (SAML)
|
SAML 是以 XML 為基礎的驗證業界標準,可消除對應用程式特定密碼的需求。SAML 可使用一次性、即將到期的數位權杖,在已建立信任關係的識別提供者與服務提供者之間交換驗證與授權資料。
PTC SSO 架構使用 SAML 2.0。
|
||
|
OpenID Connect (OIDC)
|
OpenID Connect (OIDC) 是以 OAuth 2.0 架構為基礎所建構的識別層。它可讓第三方應用程式核對一般使用者的識別身分並取得基本使用者設定檔資訊。OIDC 使用 JSON web 權杖 (JWT),您可以使用符合 OAuth 2.0 規格的流程來取得這些權杖。
|
||
|
存取權杖
|
從授權伺服器取得的不透明字串或 JWT 權杖,應用程式會將其提供給其他應用程式,以存取資源擁有者資料。
|
||
|
聯合
|
企業中已配置為使用 CAS 來啟用單一登入的軟體應用程式網路。
|
||
|
識別提供者 (IdP)
|
一種可管理使用者識別資料的協力廠商工具。使用者管理系統或 active directory 會儲存使用者名稱、密碼與其他認證。當驗證使用者時,CAS 會參考 IdP。
|
||
|
資源伺服器 (RS)
|
SSO 聯合中包含受保護資料的應用程式。
|
||
|
服務提供者 (SP)
|
使用者從中存取資訊的 web 伺服器。它會使用 SAML 通訊協定來驗證 SSO 聯合中的使用者登入。SP 也會請求代表已驗證的使用者從 RP 存取受保護的資料。
|
||
|
範圍
|
您在 CAS、SP 與 RP 中註冊的字串值。這會為在資源伺服器中可用的資源擁有者資料,提供額外的存取控制。當為 SP 授與針對與受保護資源相關聯之範圍的核准時,只有在同時提供有效存取權杖的情況下,資料才可供 SP 使用。
|
||
|
使用者代理
|
使用者 (資源擁有者) 用來存取資訊的 web 瀏覽器。使用者代理可代表使用者執行,以從 SP 與 CAS 發出請求。
|