设置 ThingWorx Navigate 使用单一登录
在单一登录 (SSO) 屏幕上,我们需要输入有关 Windchill 服务器以及连接到 PingFederate 的信息。
事前准备
在设置 SSO 身份验证之前,请确保您的系统满足以下先决条件:
• 您已使用 SSL 对 ThingWorx Foundation 进行了配置。
• 您已将 Windchill SSL 证书 (证书链) 和 PingFederate SSL 证书导入 Apache Tomcat 的 Java TrustStore (cacerts/jssecacerts) 文件。
• 您已创建 TrustStore 和 KeyStore 文件。为 ThingWorx Navigate 创建 KeyStore 和 TrustStore 文件主题提供了有关生成这些文件的操作说明。
请先简要了解 PingFederate 背景知识。我们还建议您在开始之前先阅读 PTC Identity and Access Management Help Center。
输入 Windchill 服务器信息
首先,让我们连接到 Windchill。我们建议您配置 Windchill 使用 SSL。
1. 输入“Windchill 服务器 URL”。
◦ 要连接到单个 Windchill 服务器 - 请确保 URL 遵循格式 [http 或 https]://[windchill-host]:[windchill-port]/[windchill-web-app]
◦ 对于 Windchill 群集环境 - 输入负载均衡路由器 URL。例如,[https]://[LB-host]:[port]/[windchill-web-app]
在 在 Windchill 群集环境中配置 ThingWorx Navigate 中,请参阅关于“单一登录环境”的章节。
2. 提供“授权服务器范围”的设置 - 在 PingFederate 中注册的范围的名称。例如,SCOPE NAME = WINDCHILL。
3. 单击“下一步”或“向前”。
如果在“Windchill 服务器 URL”中输入了 http URL,请跳转至“ThingWorx Foundation 信息”部分。
提供 ThingWorx 的 TrustStore 信息
在此屏幕上提供信息之前,请使用 Java keytool 实用工具创建 ThingWorx TrustStore 文件,然后将 Windchill SSL 证书导入 TrustStore 文件。
主题为 ThingWorx Navigate 创建 KeyStore 和 TrustStore 文件包含使用 keytool 生成 TrustStore 文件的指令。
现在,您已经准备好 TrustStore 文件,请在“SSO: ThingWorx 的 TrustStore 信息”屏幕上提供信息:
1. 单击“TrustStore 文件”旁边的 
,然后浏览到 TrustStore 文件。请确保该文件为 JKS (*.jks) 格式。
,然后浏览到 TrustStore 文件。请确保该文件为 JKS (*.jks) 格式。2. 单击“打开”。
3. 在“密码”旁边,输入 TrustStore 文件的密码。
4. 单击“下一步”或“向前”。
输入 ThingWorx Foundation 信息
 | 此步骤仅适用于安装 ThingWorx Navigate 9.0.0 的情形。 |
输入 ThingWorx Foundation 安装位置,然后提供以下 ThingWorx Foundation 管理员登录凭据:
• “用户名”
• “密码”
提供访问令牌数据库信息
在此屏幕上,输入数据库的访问令牌信息。位置、端口、用户名和数据库名称根据安装设置自动显示。
• “IP 地址或主机名”
• “端口”
• “数据库名称”
• “用户名”
• “密码”
输入 PingFederate 服务器信息
1. 为 PingFederate 输入以下信息:
◦ “主机名”- 输入完全限定的 PingFederate 服务器主机名称,例如 <hostname.domain.com>。
◦ “运行时端口”- 提供 PingFederate 运行时端口。默认值为 9031。
2. 单击“下一步”或“向前”。
指定身份提供者 (IDP) 和服务提供者 (SP) 信息
在此屏幕上,提供源自 PingFederate 的信息。请仔细检查您输入的内容。这些值未经过验证,如果信息不正确也不会出现错误。
1. 提供 PingFederate 的 IDP 元数据信息:
◦ “IDP 元数据文件 (*.xml 文件)”- 单击 ,然后浏览到来自 PingFederate 的 IDP 元数据文件。例如,sso-idp-metadata.xml。
,然后浏览到来自 PingFederate 的 IDP 元数据文件。例如,sso-idp-metadata.xml。◦ “SAML 声明用户名属性名称”- 接受默认值 uid,或输入新的属性名称。
2. 输入 ThingWorx 服务提供者连接的信息:
◦ “元数据实体 ID”- 输入 metadataEntityId 的值。这是在 PingFederate 中配置服务提供者连接时指定的 ThingWorx 服务提供者连接 ID。
3. 单击“下一步”或“向前”。
SSO 密钥管理器设置
在此屏幕上输入信息之前,请准备正确的 Keystore 文件和密钥对:
1. 创建 SSO Keystore 文件 (方法为使用 Java keytool 实用工具)。使用 为 ThingWorx Navigate 创建 KeyStore 和 TrustStore 文件 中提到的 keytool 命令创建密钥对。
| | 这是 ThingWorx 签名证书。这是一个应用程序层证书,并且可以不和 ThingWorx 主机名称相同。例如,ThingWorx。 |
2. 将 PingFederate 签名证书导入您在步骤 1 中创建的 SSO Keystore 文件。
这些资源可能会有所帮助:
• ThingWorx 帮助中心中的向 KeyStore 文件导入证书主题
现在,您已具备正确的文件和证书,可以在“SSO 密钥管理器设置”屏幕上输入信息:
1. 提供 SSO Keystore 信息:
◦ “SSO Keystore 文件 (.jks 文件)”- 单击 ,然后浏览至 JKS (*.jks) 文件。
,然后浏览至 JKS (*.jks) 文件。◦ “SSO Keystore 密码”- 输入您在创建 Keystore 文件时定义的密码。
2. 输入以上定义的 ThingWorx 密钥对信息。
◦ “SSO 密钥对别名”
◦ “SSO 密钥对密码”
3. 单击“下一步”或“向前”。
授权服务器设置
PingFederate 用作您的授权服务器。
1. 提供 PingFederate 服务器的设置:
◦ “授权服务器 ID”- 选取要为 AuthorizationServerId1 变量提供的值,例如 PingFed1。此值可用于配置集成连接器或媒体实体的连接设置。
◦ “ThingWorx OAuth 客户端 ID”- 用于向 PingFederate 标识 ThingWorx 应用程序的 OAuth 客户端 ID。
◦ “ThingWorx OAuth 客户端密码”- PingFederate 一侧的客户端密码。
◦ “客户端身份验证模式”- 默认值为 form。
2. 接受“在将 OAuth 刷新令牌持久存储到数据库之前,请对其加密”默认值,以确保这些令牌在持久存储到数据库之前的安全。我们推荐此设置。
3. 单击“下一步”或“向前”。
汇总:配置设置
查看配置设置。当您准备就绪时,请单击“配置”。
成功!
ThingWorx Navigate 已配置为使用单一登录。选择要打开的程序:
• “打开 ThingWorx Navigate”
• “打开 ThingWorx Composer”
然后,单击“关闭”。已重定向至身份提供者登录页面。使用 IdP 登录凭据进行登录。
| | 如果配置失败,请选中“打开日志文件”复选框并查看日志文件,以获取有关出错情况的详细信息。 |
后续步骤
您的 ThingWorx Navigate 已安装并获得许可,并已完成基本配置。所需的下一步是向非管理用户授予权限。请按照“修改 ThingWorx 权限:用户和组”中的步骤进行操作。
您还可以转到可选配置,例如:
• 连接到 SAP