Single Sign-On und Hochverfügbarkeitskonfigurationen

Hochverfügbarkeit mit ThingWorx > Single Sign-On und Hochverfügbarkeitskonfigurationen

ThingWorx unterstützt Single Sign-On (SSO) in Hochverfügbarkeitskonfigurationen (HA). Allerdings müssen die folgenden zusätzlichen Konfigurationsüberlegungen berücksichtigt werden.

Lastenausgleich – Alle URLs, die für den Zugriff auf ThingWorx Inhalt verwendet werden, sollten über eine virtuelle IP (VIP) oder einen Proxy wie HAProxy geleitet werden. Bei einem HA-Failover greifen Anwendungen auf den Inhalt über den Proxyserver auf einem bestimmten Port zu. Der Proxy ist für das Umleiten an verfügbare Rechner oder Ports in der HA-Architektur verantwortlich.

Konfigurieren Sie den Proxyserver so, dass er Sticky Sessions unterstützt, damit sichergestellt ist, dass die Sitzung eines Benutzers während der Interaktion mit ThingWorx konsistent an denselben Serverknoten weitergeleitet wird.

PingFederate – Der OAuthClient-Parameter für das Umleiten von URIs muss den vollständig qualifizierten Domänennamen des Lastenausgleichs enthalten. Verwenden Sie nicht die tatsächlichen ThingWorx Server-URLs.

Wenn das ThingWorx Lastenausgleichsmodul ein selbstsigniertes Zertifikat verwendet und SCIM konfiguriert ist, importieren Sie das SSL-Zertifikat des Lastenausgleichs in die PingFederate JDK-Datei cacerts.

ThingWorx

• Verzeichnis "ssoSecurityConfig" – Sie haben zwei Möglichkeiten, um dieses Verzeichnis zu konfigurieren:

◦ Geteilter Ordner

▪ Muss für alle Knoten geteilt werden.

▪ Muss Schreibberechtigung für den Tomcat-Benutzer haben.

◦ Lokale Ordner auf jedem Knoten

▪ Konfigurieren Sie zuerst den Ordner auf Knoten 1.

▪ Starten Sie ThingWorx auf diesem Knoten, nachdem Sie die gesamte SSO-Konfiguration abgeschlossen haben.

▪ Kopieren Sie den Ordner in andere Knoten.

Wenn sich die Konfiguration auf einem Knoten ändert (z.B. durch eine Zertifikataktualisierung), wenden Sie die gleichen Änderungen auf alle anderen Knoten an.

• Datei "sso-settings.json"

◦ Stellen Sie sicher, dass auf alle in der Datei referenzierten Ressourcen (Pfade, URLs usw.) von jedem Knoten aus zugegriffen werden kann.

◦ Die Parameter clientBaseURL und metadataEntityBaseUrl müssen den vollständig qualifizierten Domänennamen des Lastenausgleichs enthalten.

◦ Konfigurieren Sie die Parameter in AccessTokenPersistenceSettings so, dass der für die HA-Umgebung angegebene PostgreSQL-Server verwendet wird. Alle ThingWorx Installationen müssen auf denselben PostgreSQL-Server verweisen.

War dies hilfreich?