シングルサインオンでの ThingWorx Navigate の設定
シングルサインオン (SSO) の画面では、Windchill サーバーの情報と PingFederate への接続に関する情報を入力します。
開始する前に
SSO 認証を設定する前に、システムが以下の必要条件を満たしていることを確認してください。
• SSL を使用するように ThingWorx Foundation が設定されている。
• Windchill の SSL 証明書 (証明書チェーン) と PingFederate の SSL 証明書が Apache Tomcat の Java TrustStore (cacerts/jssecacerts) ファイルにインポートされている。
• TrustStore および KeyStore ファイルが作成されている。これらのファイルを生成する手順はThingWorx Navigate の KeyStore および TrustStore ファイルの作成のトピックに記載されています。
PingFederate に関するバックグラウンド情報を確認してください。開始する前に PTC Identity and Access Management Help Center を読むこともお勧めします。
Windchill サーバー情報の入力
まず、Windchill に接続します。Windchill を SSL で設定することをお勧めします。
1. 「Windchill サーバーの URL」を入力します。
◦ 単一の Windchill サーバーへの接続 - URL がフォーマット [http または https]://[windchill-host]:[windchill-port]/[windchill-web-app] に従っていることを確認します。
◦ クラスタの Windchill 環境 - 負荷分散ルータの URL を入力します。たとえば、[https]://[LB-host]:[port]/[windchill-web-app] です。
クラスタ化された Windchill 環境での ThingWorx Navigate の設定の、シングルサインオン環境に関するセクションを参照してください。
◦ 複数の Windchill システムへの接続 - 今回は単一のサーバーに接続します。このため、最初の設定の完了後は、複数の Windchill システムに接続するための ThingWorx Navigate の設定に示されている手動の手順に従います。
2. 「認証サーバーの範囲」の設定 - PingFederate に登録されている範囲の名前。たとえば、SCOPE NAME = WINDCHILL です。
3. 「次へ」または「進む」をクリックします。
「Windchill サーバーの URL」に http URL を入力した場合は、「ThingWorx Foundation の情報」セクションに進んでください。
ThingWorx の TrustStore 情報の入力
この画面で情報を入力する前に、Java keytool ユーティリティを使用して ThingWorx TrustStore ファイルを作成し、Windchill SSL 証明書を TrustStore ファイルにインポートします。
keytool を使用した TrustStore ファイルの生成手順は、ThingWorx Navigate の KeyStore および TrustStore ファイルの作成で説明されています。
これで TrustStore ファイルが準備できたので、次は「SSO: ThingWorx の TrustStore 情報」画面に情報を入力します。
1. 「TrustStore ファイル」の横にある 
をクリックし、TrustStore ファイルをブラウズします。ファイルが JKS (*.jks) フォーマットであることを確認します。
をクリックし、TrustStore ファイルをブラウズします。ファイルが JKS (*.jks) フォーマットであることを確認します。2. 「開く」をクリックします。
3. 「パスワード」の横に、TrustStore ファイルのパスワードを入力します。
4. 「次へ」または「進む」をクリックします。
ThingWorx Foundation 情報の入力
 | この手順は、ThingWorx Navigate 9.0.0 をインストールする場合にのみ実行します。 |
ThingWorx Foundation のインストール場所を入力し、次の ThingWorx Foundation 管理者資格証明を指定します。
• ユーザー名
• パスワード
アクセストークンデータベース情報の指定
この画面では、データベースのアクセストークン情報を入力します。インストール設定に従って、場所、ポート、ユーザー名、データベース名が自動的に表示されます。
• IP アドレスまたはホスト名
• ポート
• データベース名
• ユーザー名
• パスワード
PingFederate サーバー情報の入力
1. PingFederate に関する次の情報を入力します。
◦ 「ホスト名」 - PingFederate サーバーの完全修飾ホスト名 (<hostname.domain.com> など) を入力します。
◦ 「ランタイムポート」 - PingFederate ランタイムポートを指定します。デフォルトは 9031 です。
2. 「次へ」または「進む」をクリックします。
ID プロバイダ (IDP) およびサービスプロバイダ (SP) の情報の指定
この画面では、PingFederate からの情報を入力します。ここでは入力内容を慎重に確認します。これらの値が有効でないと、情報が正しくない場合にエラーメッセージが表示されません。
1. 指定するのは、 PingFederate の IDP メタデータ情報です。
◦ 「IDP メタデータファイル (*.xml ファイル)」 - をクリックして、PingFederate から IDP メタデータファイルをブラウズします。たとえば、sso-idp-metadata.xml です。
をクリックして、PingFederate から IDP メタデータファイルをブラウズします。たとえば、sso-idp-metadata.xml です。◦ 「SAML アサーション UserName AttributeName」 - デフォルトの uid をそのまま使用するか、新しい属性名を入力します。
2. ThingWorx サービスプロバイダ接続の情報を入力します:
◦ 「メタデータエンティティ ID」 - metadataEntityId の値を入力します。これは、PingFederate でサービスプロバイダ接続を設定したときに指定した、ThingWorx サービスプロバイダ接続 ID です。
3. 「次へ」または「進む」をクリックします。
SSO キーマネージャの設定
この画面に情報を入力する前に、正しい KeyStore ファイルとキーペアを準備します。
1. SSO キーストアの作成 Java keytool ユーティリティを使用して SSO Keystore ファイルを作成します。ThingWorx Navigate の KeyStore および TrustStore ファイルの作成に示されている keytool コマンドを使用して、キーペアを作成します。
| | これは、ThingWorx の署名証明書です。これはアプリケーション層の証明書で、ThingWorx ホスト名と同じである必要はありません。たとえば、「ThingWorx」と入力します。 |
2. PingFederate の署名証明書を、手順 1 で作成した SSO KeyStore ファイルにインポートします。
次のリソースが役に立つと思われます。
• ThingWorx ヘルプセンターのトピック「キーストアファイルへの証明書のインポート」
これで正しいファイルと証明書が準備できたので、次は「SSO キーマネージャの設定」画面に情報を入力できます。
1. SSO キーストアの情報を入力します。
◦ 「SSO キーストアファイル (.jks ファイル)」 - をクリックして、JKS (*.jks) ファイルをブラウズします。
をクリックして、JKS (*.jks) ファイルをブラウズします。◦ 「SSO キーストアのパスワード」 - 前述の KeyStore ファイルの作成時に定義したパスワードを入力します。
2. 上記で定義した ThingWorx キーペア情報を入力します。
◦ SSO キーペアのエイリアス名
◦ SSO キーペアのパスワード
3. 「次へ」または「進む」をクリックします。
認証サーバーの設定
PingFederate は、認証サーバーとして機能します。
1. PingFederate サーバーの設定を指定します。
◦ 「認証サーバー ID」 - AuthorizationServerId1 変数に指定する値を選択します (PingFed1 など)。この値は、統合コネクタまたはメディアエンティティの接続設定を構成するために使用されます。
◦ 「ThingWorx OAuth クライアント ID」 - PingFederate に対して ThingWorx アプリケーションを識別するための OAuth クライアント ID。
◦ 「ThingWorx OAuth クライアントシークレット」 - PingFederate に示されているクライアントシークレット。
◦ 「クライアント認証方式」 - デフォルトは form です。
2. データベースに永続的に保存される前にトークンを保護するには、デフォルトの「これらのトークンがデータベースに対して永続になる前に、OAuth 更新トークンを暗号化」を受け入れます。この設定をお勧めします。
3. 「次へ」または「進む」をクリックします。
サマリー: コンフィギュレーション設定
コンフィギュレーション設定を確認します。準備ができたら、「設定」をクリックします。
設定完了
ThingWorx Navigate がシングルサインオンで設定されました。開くプログラムを選択します。
• ThingWorx Navigate を開きます。
• ThingWorx Composer を開きます。
その後、「閉じる」をクリックします。ID プロバイダのログインページにリダイレクトされます。IdP 資格証明を使用してログインします。
| | 設定が失敗した場合は、「ログファイルを開く」チェックボックスをオンにして、発生した問題の詳細をログファイルで確認します。 |
次の手順
ThingWorx Navigate がインストールおよびライセンス付与され、基本設定が完了しました。次の必須手順では、管理者以外のユーザーにアクセス許可を付与します。ThingWorx アクセス許可の修正: ユーザーとグループの手順に従います。
次のようなオプションの設定に進むこともできます。
• SAP への接続