Configuración de ThingWorx Navigate con inicio de sesión único
En las pantallas para el inicio de sesión único (SSO), introduciremos la información del servidor Windchill y la conexión con PingFederate o Azure Active Directory (Azure AD).
Antes de comenzar
Asegúrese de que el sistema cumpla los requisitos previos siguientes antes de configurar la autenticación de SSO:
• Se ha configurado ThingWorx Foundation con SSL.
• Se ha importado el certificado SSL de Windchill (cadena de certificado) y el certificado SSL de PingFederate en el fichero TrustStore de Java (cacerts/jssecacerts) de Apache Tomcat.
| PingFederate y Azure Active Directory (Azure AD) son los servidores de autenticación centrales (CAS) soportados para ThingWorx Navigate. Tómese un momento para repasar algunos datos de fondo sobre PingFederate y Azure AD. También se recomienda leer la información del Centro de ayuda de gestión de identidades y acceso de PTC antes de comenzar. |
Introducción de la información del servidor Windchill
En primer lugar, se debe conectar a Windchill. Se recomienda configurar Windchill para SSL.
1. Introduzca un valor en URL del servidor Windchill:
◦ Para conectarse a un solo servidor Windchill, asegúrese de que el URL siga el formato [http o https]://[windchill-host]:[windchill-port]/[windchill-web-app].
◦ Para entornos de clúster de Windchill: introduzca el URL del direccionador de equilibrio de la carga. Por ejemplo, [https]://[LB-host]:[port]/[windchill-web-app]
2. Proporcione la configuración del Ámbito del servidor de autorización: el nombre del ámbito que está registrado en PingFederate o Azure AD. Por ejemplo, SCOPE NAME = WINDCHILL.
3. Pulse en Siguiente o en Adelante.
Si se ha introducido un URL de http en URL del servidor Windchill, pase a la sección "Información de ThingWorx Foundation".
Facilitación de la información de TrustStore para ThingWorx
Antes de proporcionar la información de esta pantalla, es necesario crear un fichero TrustStore de ThingWorx mediante la utilidad keytool de Java y, a continuación, importar el certificado SSL de Windchill en el fichero TrustStore.
En el tema
Creación de ficheros KeyStore y TrustStore para ThingWorx Navigate se incluyen instrucciones para generar ficheros TrustStore mediante la utilidad
keytool.
Ahora que el fichero TrustStore está listo, se debe proporcionar la información en la pantalla SSO: información de TrustStore para ThingWorx:
1. Junto a
Fichero TrustStore, pulse en
![Extraer fichero Extraer fichero](../../ThingWorx_Navigate/images/fetch_file_icon.png)
y, a continuación, desplácese hasta el fichero TrustStore. Asegúrese de que el fichero se encuentre en formato JKS (
*.jks).
2. Pulse en Abrir.
3. Junto a Contraseña, introduzca la contraseña para el fichero TrustStore.
4. Pulse en Siguiente o en Adelante.
Facilitación de la información de la base de datos del token de acceso
En esta pantalla, introduzca la información de token de acceso para la base de datos. La ubicación, el puerto, el nombre de usuario y el nombre de la base de datos aparecen automáticamente según la configuración de la instalación.
• Dirección IP o nombre de host
• Puerto
• Nombre de usuario
• Contraseña
• Nombre de base de datos
Pulse en Siguiente o en Adelante.
Selección de un servidor de autenticación central
PingFederate y
Azure Active Directory (Azure AD) son los servidores de autenticación central (CAS) soportados para
ThingWorx Navigate. Dedique un momento a repasar la información básica sobre el CAS soportado. También se recomienda leer el
Centro de ayuda de gestión de identidades y acceso de PTC y la sección
Autenticación: inicio de sesión único del Centro de ayuda de ThingWorx Platform antes de comenzar.
1. En la lista CAS, seleccione una de las siguientes opciones:
| PingFederate está seleccionado por defecto. |
◦ PingFederate
◦ Azure Active Directory (Azure AD)
2. Pulse en Siguiente o en Adelante.
Introduzca la información del servidor para el CAS
1. Introduzca esta información para el CAS PingFederate o Azure AD seleccionado
PingFederate | Azure AD |
---|
• Nombre de host: introduzca el nombre de host completamente cualificado para PingFederate, por ejemplo <hostname.domain.com>. • Puerto de tiempo de ejecución: permite proporcionar el puerto de tiempo de ejecución. El puerto por defecto para el servidor PingFederate es 9031. | • Nombre de host: introduzca el nombre de host completamente cualificado para el servidor de Azure AD, por ejemplo <hostname.domain.com>. • Puerto de tiempo de ejecución: permite proporcionar el puerto de tiempo de ejecución. El puerto por defecto para el servidor de Azure AD es 443. • ID de inquilino: proporcione el ID de inquilino. |
2. Pulse en Siguiente o en Adelante.
Facilitación de la información del proveedor de identidad (IDP) y del proveedor de servicio (SP)
En esta pantalla, proporcione información del CAS PingFederate o Azure AD seleccionado. Verifique la entrada meticulosamente. Estos valores no se validan y no se recibe ningún error si la información es incorrecta.
1. Proporcione la información de metadatos del IDP información de metadatos:
◦ Fichero de metadatos de IDP (fichero *.xml): pulse en
![Extraer fichero Extraer fichero](../../ThingWorx_Navigate/images/fetch_file_icon.png)
y, a continuación, busque el fichero de metadatos de IDP del CAS. Por ejemplo,
sso-idp-metadata.xml.
◦ Nombre del atributo del nombre de usuario de la condición de SAML: acepte el valor por defecto, uid, o introduzca un nuevo nombre de atributo.
2. Introduzca la información para la conexión con el proveedor de servicios de ThingWorx:
◦ ID de entidad de metadatos: permite introducir el valor de metadataEntityId. Este es el ID de conexión del proveedor de servicio de ThingWorx que se ha proporcionado al configurar la conexión del proveedor de servicios en el CAS.
3. Pulse en Siguiente o en Adelante.
Configuración del administrador de claves SSO
Antes de introducir la información en esta pantalla, se deben preparar el fichero KeyStore y el par de claves correctos:
| Este es el certificado de firma de ThingWorx. Se trata de un certificado de nivel de aplicación y no tiene que ser lo mismo que el nombre de host de ThingWorx. Por ejemplo, ThingWorx. |
2. Importe el certificado de firma del CAS en el fichero Keystore de SSO que se ha creado en el paso 1.
Estos recursos pueden ser útiles:
Ahora que se cuenta con los ficheros y certificados correctos, se puede introducir la información en la pantalla Configuración del administrador de claves de SSO:
1. Proporcione la información de KeyStore de SSO:
◦ Fichero de keystore de SSO (fichero .jks): pulse en
![Extraer fichero Extraer fichero](../../ThingWorx_Navigate/images/fetch_file_icon.png)
y, a continuación, busque el fichero JKS (
*.jks).
◦ Contraseña de keystore de SSO: permite introducir la contraseña que se ha definido anteriormente al crear el fichero Keystore.
2. Introduzca la información del par de claves de ThingWorx que se ha definido anteriormente.
◦ Nombre de alias de par de claves de SSO
◦ Contraseña de par de claves de SSO
3. Pulse en Siguiente o en Adelante.
Configuración del servidor de autorización
1. Proporcione la configuración para el servidor de autorización.
◦ ID del servidor de autorización: permite elegir un valor que se va a proporcionar para la variable AuthorizationServerId1, como PingFed1 o AzureAD1. Este valor se utiliza para establecer la configuración de conexión para un conector de integración o una entidad multimedia.
◦ ID del cliente OAuth de ThingWorx: ID de cliente de ThingWorx OAuth para identificar la aplicación de ThingWorx en el CAS.
◦ Secreto del cliente OAuth de ThingWorx: clave de cliente citada en el CAS.
◦ Esquema de autenticación del cliente: el valor por defecto es form.
2. Acepte el valor por defecto, Cifrar los tokens de renovación de OAuth antes de que se persistan en la base de datos, para proteger los tokens antes de que se persistan en la base de datos. Se recomienda esta configuración.
3. Pulse en Siguiente o en Adelante.
Resumen: opciones de configuración
Revise los valores de configuración. Cuando esté listo, pulse en Configurar.
La operación se ha finalizado correctamente.
ThingWorx Navigate está configurado con inicio de sesión único. Seleccione los programas para abrir:
• Abrir ThingWorx Navigate
• Abrir ThingWorx Composer
A continuación, pulse en Cerrar. Se redirige al usuario a la página de conexión del proveedor de identidad. Utilice las credenciales correspondientes de IdP para iniciar sesión.
| Si la configuración falla, seleccione la casilla Abrir el fichero de registro y revise el fichero de registro para obtener información detallada sobre el problema. |
Pasos siguientes
1. Conceder aprobación en pantalla adicional
Se muestra una pantalla de aprobación de concesiones adicional. También es necesario que los usuarios concedan autorización en esta pantalla para acceder a ThingWorx Navigate.
Para obtener más información, consulte uno de los temas siguientes en función del CAS seleccionado:
2. Ejecutar el servicio BuildMetaDataCache
1. En ThingWorx Composer, busque la cosa PTC.WCAdapter y, a continuación, ábrala. Se abre la página Información general.
2. Pulse en Servicios.
3. Para
BuildMetaDataCache, pulse en
![icono Ejecutar servicio icono Ejecutar servicio](../../ThingWorx_Navigate/images/Navigate.1.018.5.jpg)
. Se abre la ventana
Ejecutar servicio: BuildMetaDataCache.
4. Para > , introduzca lo siguiente:
{
"data": [
{
"adapter": {
"instanceName": "windchill",
"thingName": "PTC.WCAdapter"
}
}
]
}
5. Pulse en Ejecutar.
La instancia de ThingWorx Navigate está instalada, tiene licencia y se ha completado la configuración básica.