Impostare ThingWorx Navigate con l'autenticazione Single Sign-On
Nelle schermate per l'autenticazione Single Sign-On (SSO) è necessario immettere le informazioni per il server Windchill e per la connessione a PingFederate.
Prima di iniziare
Prima di impostare l'autenticazione SSO, assicurarsi che il sistema soddisfi i prerequisiti riportati di seguito.
• ThingWorx Foundation è stato configurato tramite SSL.
• Il certificato SSL di Windchill (catena di certificati) e il certificato SSL di PingFederate sono stati importati nel file truststore Java (cacerts/jssecacerts) di Apache Tomcat.
Immettere le informazioni sul server Windchill
Connettersi innanzitutto a Windchill. Si consiglia di configurare Windchill per SSL.
1. Immettere l'URL server Windchill.
◦ Per connettersi a un unico server Windchill, assicurarsi che l'URL segua il formato [http o https]://[windchill-host]:[windchill-port]/[windchill-web-app].
◦ Per gli ambienti cluster Windchill, immettere l'URL del router di bilanciamento del carico. Ad esempio, [https]://[LB-host]:[port]/[windchill-web-app]
2. Definire le impostazioni per Ambito server di autorizzazione, ovvero il nome dell'ambito registrato in PingFederate. Ad esempio, SCOPE NAME = WINDCHILL.
3. Fare clic su Avanti.
Se si è immesso un URL http in URL server Windchill, passare alla sezione "Informazioni ThingWorx Foundation".
Fornire le informazioni truststore per ThingWorx
Prima di fornire le informazioni in questa schermata, creare un file truststore di ThingWorx utilizzando l'utilità keytool di Java, quindi importare il certificato SSL di Windchill nel file truststore.
L'argomento
Creare i file keystore e truststore per ThingWorx Navigate contiene istruzioni per la generazione di file truststore tramite l'utilità
keytool.
Ora che si dispone del file truststore, fornire le informazioni nella schermata SSO - Informazioni truststore di ThingWorx, attenendosi alla procedura riportata di seguito.
1. Accanto a
File truststore, fare clic su
, quindi passare al file truststore. Assicurarsi che il file sia in formato JKS (
*.jks).
2. Fare clic su Apri.
3. Accanto a Password, immettere la password per il file truststore.
4. Fare clic su Avanti.
Immettere le informazioni su ThingWorx Foundation
| Questo passo è applicabile solo se si sta installando ThingWorx Navigate 9.0.0. |
Immettere la posizione di installazione di ThingWorx Foundation, quindi fornire le seguenti credenziali dell'amministratore ThingWorx Foundation:
• Nome utente
• Password
Fare clic su Avanti.
Fornire le informazioni sul database dei token di accesso
In questa schermata immettere le informazioni del token di accesso per il database. La posizione, la porta, il nome utente e il nome del database vengono visualizzati automaticamente in base alle impostazioni di installazione.
• Indirizzo IP o nome host
• Porta
• Nome utente
• Password
• Nome database
Fare clic su Avanti.
Immettere le informazioni del server PingFederate
1. Immettere questa informazione per PingFederate:
◦ Nome host- Immettere il nome host completo per il server PingFederate, ad esempio <hostname.domain.com>.
◦ Porta di esecuzione - Fornire la porta di esecuzione di PingFederate. L'impostazione di default è 9031.
2. Fare clic su Avanti.
Fornire le informazioni sul provider di identificativi (IDP) e sul provider di servizi (SP)
In questa schermata fornire le informazioni da PingFederate. Verificare l'input attentamente. Questi valori non vengono convalidati e non viene visualizzato un errore se le informazioni non sono corrette.
1. Fornire le informazioni sui metadati IDP per PingFederate riportate di seguito.
◦ File di metadati IDP (file *.xml) - Fare clic su
, quindi passare al file di metadati IDP di
PingFederate. Ad esempio,
sso-idp-metadata.xml.
◦ Asserzione SAML - Nome utente - Nome attributo - Accettare l'impostazione di default uid o immettere un nuovo nome di attributo.
2. Immettere le informazioni per la connessione al provider di servizi ThingWorx:
◦ ID entità metadati - Immettere il valore per metadataEntityId. Si tratta dell'ID di connessione del provider di servizi ThingWorx fornito quando è stata configurata la connessione al provider di servizi nel server PingFederate.
3. Fare clic su Avanti.
Impostazioni gestione chiavi SSO
Prima di immettere le informazioni in questa schermata, preparare il file keystore e la coppia di chiavi corretti.
| Si tratta del certificato di firma ThingWorx, ovvero di un certificato a livello di applicazione che non deve essere identico al nome host ThingWorx. Ad esempio, ThingWorx. |
2. Importare il certificato di firma PingFederate nel file keystore SSO creato nel passo 1.
Le risorse indicate di seguito possono essere utili.
Ora che si dispone dei file e dei certificati corretti, è possibile immettere le informazioni nella schermata Impostazioni gestione chiavi SSO attenendosi alla procedura riportata di seguito.
1. Specificare le informazioni del keystore SSO riportate di seguito.
◦ File keystore SSO (file .jks) - Fare clic su
, quindi selezionare il file JKS (
*.jks).
◦ Password keystore SSO - Immettere la password definita al momento della creazione del file keystore.
2. Immettere le informazioni sulla coppia di chiavi ThingWorx definite in precedenza.
◦ Nome alias coppia chiavi SSO
◦ Password coppia chiavi SSO
3. Fare clic su Avanti.
Impostazioni del server di autorizzazione
PingFederate funge da server di autorizzazione.
1. Fornire le impostazioni per il server PingFederate:
◦ ID server di autorizzazione - Scegliere un valore da fornire per la variabile AuthorizationServerId1, ad esempio PingFed1. Questo valore viene utilizzato per configurare le impostazioni di connessione per un connettore di integrazione o un'entità multimediale.
◦ ID client OAuth ThingWorx - ID del client OAuth che permette di identificare l'applicazione ThingWorx per PingFederate.
◦ Segreto client OAuth ThingWorx - Segreto del client menzionato in PingFederate.
◦ Schema autenticazione client - L'impostazione di default è form.
2. Accettare il valore di default, ovvero Crittografare i token di aggiornamento OAuth prima che siano resi persistenti nel database, per proteggere i token prima che vengano resi persistenti nel database. Si consiglia di utilizzare questa impostazione.
3. Fare clic su Avanti.
Riepilogo - Impostazioni configurazione
Rivedere le impostazioni di configurazione. Quando si è pronti, fare clic su Configura.
Operazione completata!
ThingWorx Navigate è configurato con l'autenticazione Single Sign-On. Selezionare i programmi da aprire:
• Apri ThingWorx Navigate
• Apri ThingWorx Composer
Quindi, fare clic su Chiudi. Si viene reindirizzati alla pagina di accesso del provider di identità. Per eseguire l'accesso, utilizzare le credenziali IdP.
| Se la configurazione ha esito negativo, selezionare la casella di controllo Apri il file di log ed esaminare il file di log per i dettagli dell'errore. |
Passi successivi
ThingWorx Navigate è ora installato e concesso in licenza e la configurazione di base è completa.
Con il requisito aggiuntivo dell'installazione di
ThingWorx Flow, viene visualizzata un'ulteriore schermata per l'approvazione di concessioni. Per accedere a
ThingWorx Navigate, gli utenti devono inoltre concedere l'approvazione in questa schermata. Per ulteriori informazioni, vedere l'argomento
Configurazione del server di autenticazione centralizzata nell'Help Center per la gestione di identificativi e accessi PTC.
