透過單一登入設定 ThingWorx Navigate
在單一登入 (SSO) 畫面上,我們將輸入適用於 Windchill 伺服器以及連線至 PingFederate 或 Azure Active Directory (Azure AD) 的資訊。
事前準備
在設定 SSO 驗證之前,請確保您的系統符合下列先決條件:
• 您已使用 SSL 配置 ThingWorx Foundation。
• 您已將 Windchill SSL 憑證 (憑證鏈) 及 PingFederate SSL 憑證匯入 Apache Tomcat 的 Java TrustStore (cacerts/jssecacerts) 檔案。
• 您已建立 TrustStore 與 KeyStore 檔案。針對 ThingWorx Navigate 建立 KeyStore 與 TrustStore 檔案主題提供有關產生這些檔案的指示。
 | PingFederate 和 Azure Active Directory (Azure AD) 是 ThingWorx Navigate 之受支援的中央驗證伺服器 (CAS)。請花一些時間瞭解 PingFederate 與 Azure AD 的一些背景。我們也建議您在開始之前,先閱讀PTC 身分識別與存取管理說明中心。 |
輸入 Windchill 伺服器資訊
首先,我們連線至 Windchill。我們建議針對 SSL 配置 Windchill。
1. 輸入您的「Windchill 伺服器 URL」:
◦ 欲連接至單一 Windchill 伺服器,請確保 URL 遵循格式 [http 或 https]://[windchill-host]:[windchill-port]/[windchill-web-app]
◦ 針對叢集 Windchill 環境,請輸入負載平衡路由器的 URL。例如,[https]://[LB-host]:[port]/[windchill-web-app]
在 透過叢集 Windchill 環境配置 ThingWorx Navigate,請參閱有關單一登入環境的部份。
◦ 欲連接至多個 Windchill 系統 - 首先,請連接至單一伺服器。然後,在完成初始組態後,請遵循 配置 ThingWorx Navigate 來連線至多個 Windchill 系統 中的手動步驟。
2. 提供「授權伺服器範圍」設定 - 在 PingFederate 或 Azure AD 中註冊的範圍的名稱。例如,SCOPE NAME = WINDCHILL。
3. 按一下「下一步」或「向前」。
如果您在「Windchill 伺服器 URL」中輸入 http URL,請跳至「ThingWorx Foundation 資訊」部份。
向 ThingWorx 提供您的 TrustStore 資訊
在您提供此螢幕上的資訊之前,請先使用 JAVA keytool 公用程式建立 ThingWorx TrustStore 檔案,然後再將 Windchill SSL 憑證匯入 TrustStore 檔案。
針對 ThingWorx Navigate 建立 KeyStore 與 TrustStore 檔案主題提供透過 keytool 產生 TrustStore 檔案的指示。
現在,TrustStore 檔案已準備就緒,請提供「SSO: ThingWorx 的 TrustStore 資訊」螢幕上的資訊:
1. 按一下「TrustStore 檔案」旁邊的 
,然後瀏覽至您的 TrustStore 檔案。請確定此檔案採用的是 JKS (*.jks) 格式。
,然後瀏覽至您的 TrustStore 檔案。請確定此檔案採用的是 JKS (*.jks) 格式。2. 按一下「開啟」。
3. 在「密碼」旁邊輸入 TrustStore 檔案的密碼。
4. 按一下「下一步」或「向前」。
提供您的存取權杖資料庫資訊
在此畫面中,輸入您的資料庫存取權杖資訊。位置、埠、使用者名稱和資料庫名稱會依據您的安裝設定自動顯示。
• IP 位址或主機名稱
• 埠
• 「使用者名稱」
• 密碼
• 資料庫名稱
按一下「下一步」或「向前」。
選取中央驗證伺服器
PingFederate和 Azure Active Directory (Azure AD) 是 ThingWorx Navigate 之受支援的中央驗證伺服器 (CAS)。請花一些時間瞭解受支援之 CAS 的一些背景。此外,我們建議您在開始之前先行閱讀 《PTC Identity and Access Management 說明中心》與 ThingWorx Platform 說明中心的〈單一登入驗證〉一節。
1. 從 CAS 清單中,選取下列其中一項:
| | PingFederate 預設處於選取狀態。 |
◦ PingFederate
◦ Azure Active Directory (Azure AD)
2. 按一下「下一步」或「向前」。
輸入 CAS 的伺服器資訊
1. 針對所選 CAS 輸入此資訊 - PingFederate 或 Azure AD:
PingFederate | Azure AD |
|---|---|
• 「主機名稱」- 針對 PingFederate 輸入完全合格的主機名稱,例如 <hostname.domain.com>。 • 「執行時間連接埠」- 提供執行時間連接埠。PingFederate 伺服器的預設連接埠為 9031。 | • 「主機名稱」- 針對 Azure AD 伺服器輸入完全合格的主機名稱,例如 <hostname.domain.com>。 • 「執行時間連接埠」- 提供執行時間連接埠。Azure AD 伺服器的預設連接埠為 443。 • 「用戶 ID」- 提供用戶 ID。 |
2. 按一下「下一步」或「向前」。
提供識別提供者 (IDP) 以及服務提供者 (SP) 設定
在此畫面中,從所選 CAS 提供資訊 - PingFederate 或 Azure AD。請仔細檢查您的輸入。這些值未經驗證,如果資訊不正確,就會發生錯誤。
1. 提供 IDP 中繼資料資訊:
◦ 「IDP 中繼資料檔案 (*.xml 檔案)」- 按一下 ,然後從 CAS 瀏覽至 IDP 中繼資料檔案。例如,sso-idp-metadata.xml。
,然後從 CAS 瀏覽至 IDP 中繼資料檔案。例如,sso-idp-metadata.xml。◦ SAML 宣告使用者名稱屬性名稱 - 接受預設值,uid,或輸入新的屬性名稱。
2. 輸入 ThingWorx 服務提供者連接對的資訊:
◦ 「中繼資料實體 ID」- 輸入 metadataEntityId 的值。這是 ThingWorx 服務提供者連線 ID,需要在 CAS 中配置服務提供者連線時提供。
3. 按一下「下一步」或「向前」。
SSO 金鑰管理員設定
在此畫面上輸入資訊之前,請準備正確的 Keystore 檔案和金鑰對:
1. 建立 SSO Keystore 檔案,方法是使用 JAVA keytool 公用程式。使用針對 ThingWorx Navigate 建立 KeyStore 與 TrustStore 檔案中所述的 keytool 指令建立金鑰對。
| | 這是 ThingWorx 簽署憑證。這是應用程式階層憑證,並不一定與您的 ThingWorx 主機名稱相同。例如,ThingWorx。 |
2. 將 CAS 簽署憑證匯入至您在步驟 1 中建立的 SSO Keystore 檔案。
這些資源可能會很有幫助:
• ThingWorx 說明中心中的匯入憑證至 Keystore 檔案主題
您已經有正確的檔案及憑證,您可以在「SSO 金鑰管理員設定」螢幕上輸入資訊:
1. 提供您 SSO Keystore 的資訊:
◦ SSO Keystore 檔案 (.jks 檔案) - 按一下 ,然後瀏覽至 JKS (*.jks) 檔案。
,然後瀏覽至 JKS (*.jks) 檔案。◦ 「SSO Keystore 密碼」- 輸入建立 Keystore 檔案時依上述方法定義的密碼。
2. 輸入依上述方法定義的 ThingWorx 金鑰對資訊。
◦ 「SSO 金鑰對別名名稱」
◦ 「SSO 金鑰對密碼」
3. 按一下「下一步」或「向前」。
授權伺服器設定
1. 提供您的授權伺服器的設定。
| | 如需其他詳細資訊,請參閱 ThingWorx 說明中心的配置 sso-settings.json 檔案主題。 |
◦ 「授權伺服器 ID」- 選擇要為 AuthorizationServerId1 變數提供的值,例如 PingFed1 或 AzureAD1。此值用來為「整合連接器」或「媒體實體」配置連線設定。
◦ 「ThingWorx OAuth 用戶端 ID」- 識別 CAS 之 ThingWorx 應用程式的 OAuth 用戶端 ID。
◦ 「ThingWorx OAuth 用戶端密碼」- CAS 中所述用戶端密碼。
◦ 「用戶端驗證配置」- 預設為 form。
2. 接受預設值「在使 OAuth 重新整理權杖持續存在於資料庫之前對其進行加密」,在將權杖保留至資料庫之前對其進行保護。我們建議採用此設定。
3. 按一下「下一步」或「向前」。
摘要: 組態設定
檢查組態設定。當您就緒時,請按一下「配置」。
成功!
ThingWorx Navigate 已配置為使用單一登入。選取要開啟的程式:
• 「開啟 ThingWorx Navigate」
• 「開啟 ThingWorx Composer」
然後按一下「關閉」。您會被重新導向至識別提供者登入頁。使用您的 IdP 認證登入。
| | 如果組態失敗,請選取「開啟記錄檔」核取方塊,並審核記錄檔以瞭解所發生錯誤的詳細資訊。 |
後續步驟
1. 授權其他畫面的核准
即會顯示其他授權核准畫面。使用者也需要在此畫面上授與核准才能存取 ThingWorx Navigate。
如需詳細資訊,請參閱以您所選 CAS 為基礎的下列其中一個主題:
2. 執行 BuildMetaDataCache 服務
1. 在 ThingWorx Composer 中搜尋 PTC.WCAdapter 物件,然後開啟它。「一般資訊」頁即會開啟。
2. 按一下「服務」。
3. 針對 BuildMetaDataCache,按一下 
。「執行服務: BuildMetaDataCache」視窗即會開啟。
。「執行服務: BuildMetaDataCache」視窗即會開啟。4. 針對 > ,輸入下列內容:
{
"data": [
{
"adapter": {
"instanceName": "windchill",
"thingName": "PTC.WCAdapter"
}
}
]
}
"data": [
{
"adapter": {
"instanceName": "windchill",
"thingName": "PTC.WCAdapter"
}
}
]
}
5. 按一下「執行」。
您的 ThingWorx Navigate 已安裝並獲得了授權,且基本組態已完成。