ThingWorx Navigate für Single Sign-On einrichten
Auf den Bildschirmen für Single Sign-On (SSO) müssen die Informationen für den Windchill Server und für die Verbindung mit PingFederate eingegeben werden.
Vorbereitung
Stellen Sie sicher, dass Ihr System die folgenden Voraussetzungen erfüllt, bevor Sie die SSO-Authentifizierung einrichten:
• Sie haben ThingWorx Foundation für die Verwendung von SSL konfiguriert.
• Sie haben das Windchill SSL-Zertifikat (Zertifikatkette) und das PingFederate-SSL-Zertifikat in die Java-TrustStore-Datei (cacerts/jssecacerts) von Apache Tomcat importiert.
• Sie haben TrustStore- und KeyStore-Dateien erstellt. Das Thema KeyStore- und TrustStore-Dateien für ThingWorx Navigate erstellen enthält Anweisungen zum Generieren dieser Dateien.
Lassen Sie uns kurz einige Hintergrundinformationen zu PingFederate erläutern. Des Weiteren empfehlen wir, das englische PTC Identity and Access Management Help Center zu lesen, bevor Sie beginnen.
Windchill Server Informationen eingeben
Stellen wir zuerst eine Verbindung zu Windchill her. Wir empfehlen die Konfiguration von Windchill für SSL.
1. Geben Sie die Windchill Server-URL ein.
◦ Für eine Verbindung mit einem einzelnen Windchill Server: Die URL muss das Format [http oder https]://[windchill-host]:[windchill-port]/[windchill-web-app] aufweisen.
◦ Für Windchill Cluster-Umgebungen: Geben Sie die URL des Lastenausgleichs-Routers ein. Beispiel: [https]://[LB-host]:[port]/[windchill-web-app]
Lesen Sie in ThingWorx Navigate mit einer Windchill Cluster-Umgebung konfigurieren die Abschnitte zu Single Sign-On-Umgebungen.
◦ Für Verbindungen mit mehreren Windchill Systemen: Stellen Sie zunächst eine Verbindung mit einem einzelnen Server her. Nachdem Sie die Erstkonfiguration abgeschlossen haben, befolgen Sie die manuellen Schritte in ThingWorx Navigate für Verbindungen mit mehreren Windchill Systemen konfigurieren.
2. Geben Sie die Einstellungen für den Autorisierungsserver-Bereich an – Dies ist der Name des Bereichs, der in PingFederate registriert ist. Beispiel: SCOPE NAME = WINDCHILL.
3. Klicken Sie auf Weiter oder Vorwärts.
Wenn Sie eine http URL in das Feld Windchill Server-URL eingegeben haben, wechseln Sie zum Abschnitt "ThingWorx Foundation Informationen".
TrustStore-Anmeldeinformationen für ThingWorx angeben
Bevor Sie die Informationen in diesem Bildschirm angeben, erstellen Sie eine ThingWorx TrustStore-Datei mit dem Java-Dienstprogramm keytool, und importieren Sie das Windchill SSL-Zertifikat in die TrustStore-Datei.
Das Thema KeyStore- und TrustStore-Dateien für ThingWorx Navigate erstellen enthält Anweisungen zum Generieren von TrustStore-Dateien mit dem keytool.
Nachdem Sie die TrustStore-Datei vorbereitet haben, geben Sie die Informationen im Bildschirm SSO: TrustStore-Informationen für ThingWorx ein:
1. Klicken Sie neben TrustStore-Datei auf 
, und navigieren Sie anschließend zu Ihrer TrustStore-Datei. Die Datei muss im JKS-Format (*.jks) vorliegen.
, und navigieren Sie anschließend zu Ihrer TrustStore-Datei. Die Datei muss im JKS-Format (*.jks) vorliegen.2. Klicken Sie auf Öffnen.
3. Geben Sie neben Passwort das Passwort für die TrustStore-Datei ein.
4. Klicken Sie auf Weiter oder Vorwärts.
ThingWorx Foundation Informationen eingeben
 | Dieser Schritt ist nur erforderlich, wenn Sie ThingWorx Navigate 9.0.0 installieren. |
Geben Sie das ThingWorx Foundation Installationsverzeichnis ein und geben Sie dann die folgenden Anmeldeinformationen für den Administrator von ThingWorx Foundation ein:
• Benutzername
• Passwort
Zugriffs-Token für Datenbank angeben
Geben Sie auf diesem Bildschirm das Zugriffs-Token für Ihre Datenbank ein. Speicherort, Port, Benutzername und Datenbankname werden automatisch entsprechend Ihren Installationseinstellungen angezeigt.
• IP-Adresse oder Host-Name
• Port
• Datenbankname
• Benutzername
• Passwort
PingFederate Server-Informationen eingeben
1. Geben Sie diese Informationen für PingFederate ein:
◦ Host-Name– Geben Sie den vollständig qualifizierten Host-Namen für den PingFederate Server ein, z.B. <hostname.domain.com>.
◦ Laufzeit-Port – Geben Sie den PingFederate Laufzeit-Port an. Die Standardeinstellung ist 9031.
2. Klicken Sie auf Weiter oder Vorwärts.
Informationen für Identitätsanbieter (IdP) und Dienstanbieter (SP) angeben
Geben Sie auf diesem Bildschirm Informationen aus PingFederate an. Überprüfen Sie Ihre Eingabe sorgfältig. Diese Werte werden nicht überprüft, und Sie erhalten keine Fehlermeldung, wenn die Informationen nicht korrekt sind.
1. Geben Sie die IDP- Metadateninformationen für PingFederate an:
◦ IDP-Metadatendatei (*.xml-Datei): Klicken Sie auf , und navigieren Sie dann zur IDP-Metadatendatei aus PingFederate. Beispiel: sso-idp-metadata.xml.
, und navigieren Sie dann zur IDP-Metadatendatei aus PingFederate. Beispiel: sso-idp-metadata.xml.◦ SAML-Assertion - Benutzername - Attributname: Übernehmen Sie den Standardwert uid, oder geben Sie einen neuen Attributnamen ein.
2. Geben Sie die Informationen für die ThingWorx Dienstanbieter-Verbindung ein:
◦ Metadaten-Entitäts-ID – Geben Sie den Wert für metadataEntityId ein. Hierbei handelt es sich um die ThingWorx Dienstanbieter-Verbindungs-ID, welche Sie bei der Konfiguration der Dienstanbieter-Verbindung in PingFederate angegeben haben.
3. Klicken Sie auf Weiter oder Vorwärts.
Einstellungen für SSO Key Manager
Bevor Sie die Informationen in diesem Bildschirm eingeben, bereiten Sie die richtige Keystore-Datei und das richtige Schlüsselpaar vor:
1. Erstellen Sie eine SSO-Keystore- Datei mit dem Java-Dienstprogramm keytool. Erstellen Sie ein Schlüsselpaar mit den keytool Befehlen aus KeyStore- und TrustStore-Dateien für ThingWorx Navigate erstellen.
| | Dies ist das ThingWorx Unterzeichnungszertifikat. Dies ist ein Zertifikat der Anwendungsschicht und muss nicht Ihrem ThingWorx Hostnamen entsprechen. Beispiel: ThingWorx. |
2. Importieren Sie das PingFederate Unterzeichnungszertifikat in die SSO-Keystore-Datei, die Sie in Schritt 1 erstellt haben.
Diese Ressourcen können nützlich sein:
• Das Thema Zertifikate in die KeyStore-Datei importieren im ThingWorx Hilfe-Center
Nachdem Sie nun die richtigen Dateien und Zertifikate haben, können Sie die Informationen auf dem Bildschirm SSO Key Manager Settings eingeben:
1. Geben Sie Ihre Informationen für den SSO-Keystore an:
◦ SSO-Keystore-Datei (.jks-Datei): Klicken Sie auf , und navigieren Sie dann zur JKS-Datei (*.jks).
, und navigieren Sie dann zur JKS-Datei (*.jks).◦ SSO-Keystore-Passwort: Geben Sie das Passwort ein, das Sie oben beim Erstellen der Keystore-Datei festgelegt haben.
2. Geben Sie die ThingWorx Schlüsselpaarinformationen ein, die Sie oben festgelegt haben.
◦ SSO-Schlüsselpaar-Aliasname
◦ SSO-Schlüsselpaar-Passwort
3. Klicken Sie auf Weiter oder Vorwärts.
Einstellungen für den Autorisierungsserver
PingFederate wird als Autorisierungsserver verwendet.
1. Geben Sie die Einstellungen für Ihren PingFederate Server an:
◦ Autorisierungsserver-ID – Wählen Sie einen Wert für die Variable AuthorizationServerId1, z.B. PingFed1. Dieser Wert wird verwendet, um die Verbindungseinstellungen für einen Integrations-Konnektor oder eine Media-Entität zu konfigurieren.
◦ ThingWorx OAuth-Client-ID: Die OAuth-Client-ID zur Identifizierung der ThingWorx Anwendung gegenüber PingFederate.
◦ ThingWorx OAuth-Clientgeheimnis: Das Clientgeheimnis in PingFederate.
◦ Client Authentication Scheme: Die Standardeinstellung ist form.
2. Übernehmen Sie die Standardeinstellung Verschlüsseln Sie OAuth-Aktualisierungstoken, bevor Sie in der Datenbank gespeichert werden, um die Token zu sichern, bevor sie in der Datenbank persistent gemacht werden. Wir empfehlen diese Einstellung.
3. Klicken Sie auf Weiter oder Vorwärts.
Zusammenfassung: Konfigurationseinstellungen
Überprüfen Sie die Konfigurationseinstellungen. Wenn Sie bereit sind, klicken Sie auf Konfigurieren.
Erfolg!
ThingWorx Navigate ist mit Single Sign-On konfiguriert. Wählen Sie die Programme aus, die geöffnet werden sollen:
• ThingWorx Navigate öffnen
• ThingWorx Composer öffnen
Klicken Sie anschließend auf Schließen. Sie werden auf die Anmeldeseite des Identitätsanbieters umgeleitet. Verwenden Sie Ihre IdP-Anmeldeinformationen, um sich anzumelden.
| | Wenn die Konfiguration fehlschlägt, aktivieren Sie das Kontrollkästchen Öffnen Sie die Protokolldatei, und überprüfen Sie die Protokolldatei auf Fehlerangaben. |
Nächste Schritte
ThingWorx Navigate ist jetzt installiert und lizenziert, und die grundlegende Konfiguration ist abgeschlossen. Im nächsten Schritt müssen nicht als Administratoren eingerichteten Benutzern Berechtigungen gewährt werden. Führen Sie die Schritte in ThingWorx Berechtigungen ändern: Benutzer und Gruppen aus.
Sie können auch mit optionalen Konfigurationen wie den folgenden weitermachen: