Configuration de ThingWorx Navigate avec l'authentification unique
Dans les écrans pour l'authentification unique (SSO), nous allons entrer les informations pour le serveur Windchill et pour la connexion à PingFederate.
Avant de commencer
Assurez-vous que votre système respecte les conditions préalables suivantes avant de configurer l'authentification unique :
• Vous avez configuré ThingWorx Foundation à l'aide de SSL.
• Veillez à importer le certificat SSL Windchill (chaîne de certificats) et le certificat SSL PingFederate dans le fichier Java TrustStore (cacerts/jssecacerts) du serveur Apache Tomcat.
• Vous avez créé des fichiers TrustStore et KeyStore. La rubrique Création de fichiers KeyStore et TrustStore pour ThingWorx Navigate contient des instructions relatives à la génération de ces fichiers.
Prenez un moment pour passer en revue quelques informations concernant PingFederate. Nous vous recommandons également de lire le PTC Identity and Access Management Help Center avant de commencer.
Spécification des informations du serveur Windchill
Tout d'abord, vous devez vous connecter à Windchill. Nous recommandons de configurer Windchill pour SSL.
1. Entrez l'URL du serveur Windchill :
◦ Pour vous connecter à un seul serveur Windchill : assurez-vous que l'URL respecte le format [http ou https]://[windchill-host]:[windchill-port]/[windchill-web-app].
◦ Pour un environnement Windchill en grappe : entrez l'URL du routeur d'équilibrage de charge. Par exemple : [https]://[LB-host]:[port]/[windchill-web-app].
Dans Configuration de ThingWorx Navigate avec un environnement Windchill en grappe, consultez les sections sur les environnements d'authentification unique.
◦ Pour une connexion à plusieurs systèmes Windchill : pour l'heure, établissez une connexion à un seul serveur. Ensuite, une fois que vous avez terminé la configuration initiale, suivez les étapes manuelles de la rubrique Configuration de ThingWorx Navigate pour la connexion à plusieurs systèmes Windchill.
2. Spécifiez les paramètres de votre Etendue du serveur d'autorisation : le nom de l'étendue qui est enregistré dans PingFederate. Par exemple, SCOPE NAME = WINDCHILL.
3. Cliquez sur Suivant ou Avancer.
Si vous avez fourni une URL http dans le champ URL du serveur Windchill, passez à la section "Informations de ThingWorx Foundation".
Spécification de vos informations TrustStore pour ThingWorx
Avant de fournir les informations sur cet écran, créez un fichier TrustStore ThingWorx à l'aide de l'utilitaire keytool Java, puis importez le certificat SSL Windchill dans le fichier TrustStore.
La rubrique Création de fichiers KeyStore et TrustStore pour ThingWorx Navigate contient des instructions sur la génération de fichiers TrustStore à l'aide de keytool.
Maintenant que vous avez préparé le fichier TrustStore, fournissez les informations dans l'écran Authentification unique (SSO) : Informations TrustStore pour ThingWorx :
1. En regard de Fichier TrustStore, cliquez sur 
, puis accédez à l'emplacement de votre fichier TrustStore. Assurez-vous que le fichier est au format JKS (*.jks).
, puis accédez à l'emplacement de votre fichier TrustStore. Assurez-vous que le fichier est au format JKS (*.jks).2. Cliquez sur Ouvrir.
3. En regard de Mot de passe, saisissez le mot de passe du fichier TrustStore.
4. Cliquez sur Suivant ou Avancer.
Spécification de vos informations ThingWorx Foundation
 | Cette étape ne s'applique que si vous installez ThingWorx Navigate 9.0.0. |
Spécifiez l'emplacement d'installation de ThingWorx Foundation, puis fournissez les informations d'identification suivantes de l'administrateur ThingWorx Foundation :
• Nom d'utilisateur
• Mot de passe
Spécification de vos informations de base de données de jeton d'accès
Dans cet écran, entrez les informations du jeton d'accès pour votre base de données. L'emplacement, le port, le nom d'utilisateur et le nom de base de données s'affichent automatiquement en fonction de vos paramètres d'installation.
• Adresse IP ou nom d'hôte
• Port
• Nom de base de données
• Nom d'utilisateur
• Mot de passe
Spécifier les informations du serveur PingFederate
1. Fournissez ces informations pour PingFederate :
◦ Nom d'hôte : entrez le nom d'hôte complet du serveur PingFederate, par exemple <hostname.domain.com>.
◦ Port d'exécution : indiquez le port d'exécution de PingFederate. La valeur par défaut est 9031.
2. Cliquez sur Suivant ou Avancer.
Spécification des paramètres de fournisseur d'identité (IDP) et de fournisseur de services
Dans cet écran, fournissez les informations de PingFederate. Vérifiez vos entrées avec soin. Ces valeurs ne sont pas validées et vous ne recevez pas d'erreur lorsque les informations sont incorrectes.
1. Fournissez les informations de métadonnées IdP pour PingFederate :
◦ Fichier de métadonnées IDP (fichier *.xml) : cliquez sur , puis accédez au fichier de métadonnées IdP à partir de PingFederate. Par exemple, sso-idp-metadata.xml.
, puis accédez au fichier de métadonnées IdP à partir de PingFederate. Par exemple, sso-idp-metadata.xml.◦ Assertion SAML NomUtilisateur NomAttribut : acceptez la valeur par défaut, uid, ou entrez un nouveau nom d'attribut.
2. Entrez les informations pour la connexion au fournisseur de services ThingWorx :
◦ ID d'entité des métadonnées : spécifiez la valeur de metadataEntityId. Il s'agit de l'ID de connexion au fournisseur de services ThingWorx que vous avez spécifié lors de la configuration de la connexion au fournisseur de services dans PingFederate.
3. Cliquez sur Suivant ou Avancer.
Paramètres du gestionnaire de clés SSO
Avant d'entrer les informations dans cet écran, préparez le fichier KeyStore et la paire de clé corrects :
1. Créez un fichier SSO KeyStore à l'aide de l'utilitaire Java keytool. Créez une paire de clés à l'aide des commandes keytool mentionnées dans Création de fichiers KeyStore et TrustStore pour ThingWorx Navigate.
| | Il s'agit du certificat de signature ThingWorx. Il s'agit d'un certificat de couche d'application qui ne doit pas nécessairement correspondre à votre nom d'hôte ThingWorx. Par exemple, ThingWorx. |
2. Importez le certificat de signature PingFederate dans le fichier SSO KeyStore que vous avez créé à l'étape 1.
Les ressources suivantes peuvent être utiles :
• Rubrique Importation des certificats dans un fichier KeyStore dans le Centre d'aide de ThingWorx
Maintenant que vous disposez des fichiers et certificats corrects, vous pouvez entrer les informations dans l'écran Paramètres du gestionnaire de clés SSO :
1. Fournissez vos informations SSO KeyStore :
◦ Fichier Keystore SSO (fichier .jks) : cliquez sur , puis accédez au fichier JKS (*.jks).
, puis accédez au fichier JKS (*.jks).◦ Mot de passe Keystore SSO : entrez le mot de passe que vous avez défini ci-dessus, lorsque vous avez créé le fichier KeyStore.
2. Entrez les informations de paire de clés ThingWorx que vous avez définies ci-dessus.
◦ Nom d'alias de paire de clés SSO
◦ Mot de passe de paire de clés SSO
3. Cliquez sur Suivant ou Avancer.
Paramètres du serveur d'autorisation
PingFederate est votre serveur d'autorisation.
1. Spécifiez les paramètres de votre serveur PingFederate :
◦ ID du serveur d'autorisation : choisissez une valeur à fournir pour la variable AuthorizationServerId1, telle que PingFed1. Cette valeur sert à configurer les paramètres de connexion d'un connecteur d'intégration ou d'une entité de média.
◦ ID du client OAuth ThingWorx : ID du client OAuth pour identifier l'application ThingWorx pour PingFederate.
◦ Secret client OAuth ThingWorx : clé du client mentionnée dans PingFederate.
◦ Schéma d'authentification du client : la valeur par défaut est form.
2. Acceptez l'option par défaut Chiffrer les jetons d'actualisation OAuth avant leur persistance dans la base de données afin de sécuriser les jetons avant leur persistance dans la base de données. Ce paramètre est recommandé.
3. Cliquez sur Suivant ou Avancer.
Résumé : Paramètres de configuration
Passez en revue les paramètres de configuration. Lorsque vous avez terminé, cliquez sur Configurer.
Terminé !
ThingWorx Navigate est configuré avec l'authentification unique. Sélectionnez les programmes à ouvrir :
• Ouvrir ThingWorx Navigate
• Ouvrir ThingWorx Composer
Ensuite, cliquez sur Fermer. Vous êtes redirigé vers la page de connexion du fournisseur d'identité. Utilisez les informations d'identification du fournisseur d'identité pour vous connecter.
| | En cas d'échec de la configuration, activez la case à cocher Ouvrir le fichier journal et consultez le fichier journal pour plus de détails sur le problème. |
Etapes suivantes
ThingWorx Navigate est installé et sous licence, et la configuration de base est terminée. L'étape suivante requise consiste à accorder une permission aux utilisateurs non administrateurs. Suivez les étapes de la procédure Modification des permissions ThingWorx : utilisateurs et groupes.
Vous pouvez également procéder aux configurations facultatives, notamment la suivante :