シングルサインオンでの ThingWorx Navigate の設定
シングルサインオン (SSO) の画面では、Windchill サーバーの情報と、PingFederate または Azure Active Directory (Azure AD) に接続するための情報を入力します。
開始する前に
SSO 認証を設定する前に、システムが以下の必要条件を満たしていることを確認してください。
• SSL を使用するように ThingWorx Foundation が設定されている。
• Windchill の SSL 証明書 (証明書チェーン) と PingFederate の SSL 証明書が Apache Tomcat の Java TrustStore (cacerts/jssecacerts) ファイルにインポートされている。
• TrustStore および KeyStore ファイルが作成されている。これらのファイルを生成する手順はThingWorx Navigate の KeyStore および TrustStore ファイルの作成のトピックに記載されています。
 | PingFederate および Azure Active Directory (Azure AD) は、ThingWorx Navigate でサポートされている中央認証サーバー (CAS) です。PingFederate および Azure AD に関する背景情報を確認してください。開始する前に PTC の ID とアクセスの管理のヘルプセンターを読むこともお勧めします。 |
Windchill サーバー情報の入力
まず、Windchill に接続します。Windchill を SSL で設定することをお勧めします。
1. 「Windchill サーバーの URL」を入力します。
◦ 単一の Windchill サーバーへの接続 - URL がフォーマット [http または https]://[windchill-host]:[windchill-port]/[windchill-web-app] に従っていることを確認します。
◦ クラスタの Windchill 環境 - 負荷分散ルータの URL を入力します。たとえば、[https]://[LB-host]:[port]/[windchill-web-app] です。
クラスタ化された Windchill 環境での ThingWorx Navigate の設定の、シングルサインオン環境に関するセクションを参照してください。
◦ 複数の Windchill システムへの接続 - 今回は単一のサーバーに接続します。このため、最初の設定の完了後は、複数の Windchill システムに接続するための ThingWorx Navigate の設定に示されている手動の手順に従います。
2. 「認証サーバーの範囲」の設定の指定 - PingFederate または Azure AD に登録されている範囲の名前。たとえば、SCOPE NAME = WINDCHILL です。
3. 「次へ」または「進む」をクリックします。
「Windchill サーバーの URL」に http URL を入力した場合は、「ThingWorx Foundation の情報」セクションに進んでください。
ThingWorx の TrustStore 情報の入力
この画面で情報を入力する前に、Java keytool ユーティリティを使用して ThingWorx TrustStore ファイルを作成し、Windchill SSL 証明書を TrustStore ファイルにインポートします。
keytool を使用した TrustStore ファイルの生成手順は、ThingWorx Navigate の KeyStore および TrustStore ファイルの作成で説明されています。
これで TrustStore ファイルが準備できたので、次は「SSO: ThingWorx の TrustStore 情報」画面に情報を入力します。
1. 「TrustStore ファイル」の横にある 
をクリックし、TrustStore ファイルをブラウズします。ファイルが JKS (*.jks) フォーマットであることを確認します。
をクリックし、TrustStore ファイルをブラウズします。ファイルが JKS (*.jks) フォーマットであることを確認します。2. 「開く」をクリックします。
3. 「パスワード」の横に、TrustStore ファイルのパスワードを入力します。
4. 「次へ」または「進む」をクリックします。
アクセストークンデータベース情報の指定
この画面では、データベースのアクセストークン情報を入力します。インストール設定に従って、場所、ポート、ユーザー名、データベース名が自動的に表示されます。
• IP アドレスまたはホスト名
• ポート
• ユーザー名
• パスワード
• データベース名
「次へ」または「進む」をクリックします。
中央認証サーバーの選択
PingFederate および Azure Active Directory (Azure AD) は、ThingWorx Navigate でサポートされている中央認証サーバー (CAS) です。サポートされている CAS に関するバックグラウンド情報を確認してください。また、開始する前に「PTC の ID とアクセスの管理のヘルプセンター」および ThingWorx Platform ヘルプセンターの「シングルサインオン認証」のセクションを参照することをお勧めします。
1. 「CAS」リストで、次のいずれかを選択します。
| | PingFederate がデフォルトで選択されています。 |
◦ PingFederate
◦ Azure Active Directory (Azure AD)
2. 「次へ」または「進む」をクリックします。
CAS のサーバー情報の入力
1. 選択した CAS (PingFederate または Azure AD) のこの情報を入力します。
PingFederate | Azure AD |
|---|---|
• 「ホスト名」 - PingFederate の完全修飾ホスト名を入力します (<hostname.domain.com> など)。 • 「ランタイムポート」 - ランタイムポートを指定します。PingFederate サーバーのデフォルトのポートは 9031 です。 | • 「ホスト名」 - Azure AD サーバーの完全修飾ホスト名を入力します (<hostname.domain.com> など)。 • 「ランタイムポート」 - ランタイムポートを指定します。Azure AD サーバーのデフォルトのポートは 443 です。 • 「テナント ID」 - テナント ID を指定します。 |
2. 「次へ」または「進む」をクリックします。
ID プロバイダ (IDP) およびサービスプロバイダ (SP) の情報の指定
この画面で、選択した CAS (PingFederate または Azure AD) の情報を入力します。ここでは入力内容を慎重に確認します。これらの値が有効でないと、情報が正しくない場合にエラーメッセージが表示されません。
1. 指定するのは、 メタデータ情報:
◦ 「IDP メタデータファイル (*.xml ファイル)」 - をクリックし、CAS から IDP メタデータファイルをブラウズします。たとえば、sso-idp-metadata.xml です。
をクリックし、CAS から IDP メタデータファイルをブラウズします。たとえば、sso-idp-metadata.xml です。◦ 「SAML アサーション UserName AttributeName」 - デフォルトの uid をそのまま使用するか、新しい属性名を入力します。
2. ThingWorx サービスプロバイダ接続の情報を入力します:
◦ 「メタデータエンティティ ID」 - metadataEntityId の値を入力します。これは、CAS でサービスプロバイダ接続を設定したときに指定した ThingWorx サービスプロバイダ接続 ID です。
3. 「次へ」または「進む」をクリックします。
SSO キーマネージャの設定
この画面に情報を入力する前に、正しい KeyStore ファイルとキーペアを準備します。
1. SSO キーストアの作成 Java keytool ユーティリティを使用して SSO Keystore ファイルを作成します。ThingWorx Navigate の KeyStore および TrustStore ファイルの作成に示されている keytool コマンドを使用して、キーペアを作成します。
| | これは、ThingWorx の署名証明書です。これはアプリケーション層の証明書で、ThingWorx ホスト名と同じである必要はありません。たとえば、「ThingWorx」と入力します。 |
2. CAS の署名証明書を、手順 1 で作成した SSO KeyStore ファイルにインポートします。
次のリソースが役に立つと思われます。
• ThingWorx ヘルプセンターのトピック「キーストアファイルへの証明書のインポート」
これで正しいファイルと証明書が準備できたので、次は「SSO キーマネージャの設定」画面に情報を入力できます。
1. SSO キーストアの情報を入力します。
◦ 「SSO キーストアファイル (.jks ファイル)」 - をクリックして、JKS (*.jks) ファイルをブラウズします。
をクリックして、JKS (*.jks) ファイルをブラウズします。◦ 「SSO キーストアのパスワード」 - 前述の KeyStore ファイルの作成時に定義したパスワードを入力します。
2. 上記で定義した ThingWorx キーペア情報を入力します。
◦ SSO キーペアのエイリアス名
◦ SSO キーペアのパスワード
3. 「次へ」または「進む」をクリックします。
認証サーバーの設定
1. 認証サーバーの設定を指定します。
| | 詳細については、ThingWorx ヘルプセンターの「sso-settings.json ファイルの設定」のトピックを参照してください。 |
◦ 「認証サーバー ID」 - AuthorizationServerId1 変数に指定する値 (PingFed1 や AzureAD1 など) を選択します。この値は、統合コネクタまたはメディアエンティティの接続設定を構成するために使用されます。
◦ 「ThingWorx OAuth クライアント ID」 - CAS に対して ThingWorx アプリケーションを識別するための OAuth クライアント ID。
◦ 「ThingWorx OAuth クライアントシークレット」 - CAS に示されているクライアントシークレット。
◦ 「クライアント認証方式」 - デフォルトは form です。
2. データベースに永続的に保存される前にトークンを保護するには、デフォルトの「これらのトークンがデータベースに対して永続になる前に、OAuth 更新トークンを暗号化」を受け入れます。この設定をお勧めします。
3. 「次へ」または「進む」をクリックします。
サマリー: コンフィギュレーション設定
コンフィギュレーション設定を確認します。準備ができたら、「設定」をクリックします。
設定完了
ThingWorx Navigate がシングルサインオンで設定されました。開くプログラムを選択します。
• ThingWorx Navigate を開きます。
• ThingWorx Composer を開きます。
その後、「閉じる」をクリックします。ID プロバイダのログインページにリダイレクトされます。IdP 資格証明を使用してログインします。
| | 設定が失敗した場合は、「ログファイルを開く」チェックボックスをオンにして、発生した問題の詳細をログファイルで確認します。 |
次の手順
1.追加の画面で承認を付与する
追加の権限承認画面が表示されます。ThingWorx Navigate にアクセスするためには、この画面でも承認を与える必要があります。
詳細については、選択した CAS に基づいて次のいずれかのトピックを参照してください。
2.BuildMetaDataCache サービスを実行する
1. ThingWorx Composer で、PTC.WCAdapter Thing をサーチして開きます。「一般情報」ページが開きます。
2. 「サービス」をクリックします。
3. BuildMetaDataCache の 
をクリックします。「サービスを実行: BuildMetaDataCache」ウィンドウが開きます。
をクリックします。「サービスを実行: BuildMetaDataCache」ウィンドウが開きます。4. > で、以下を入力します。
{
"data": [
{
"adapter": {
"instanceName": "windchill",
"thingName": "PTC.WCAdapter"
}
}
]
}
"data": [
{
"adapter": {
"instanceName": "windchill",
"thingName": "PTC.WCAdapter"
}
}
]
}
5. 「実行」をクリックします。
ThingWorx Navigate がインストールおよびライセンス付与され、基本設定が完了しました。