Authentification unique et configurations haute disponibilité

Haute disponibilité ThingWorx > Authentification unique et configurations haute disponibilité

ThingWorx prend en charge l'authentification unique (SSO) dans les configurations haute disponibilité (HA). Toutefois, il existe des exigences de configuration supplémentaires.

Equilibreur de charge : toutes les URL utilisées pour accéder au contenu ThingWorx doivent être routées via une adresse IP virtuelle (VIP) ou un proxy, tel que HAProxy. Ainsi, en cas de basculement HA, les applications accèdent au contenu via le serveur proxy sur un port spécifique. Le proxy assure la redirection vers les machines ou ports disponibles dans l'architecture HA.

Configurez le serveur proxy pour prendre en charge les sessions permanentes, ce qui garantit que la session d'un utilisateur sera systématiquement routée vers le même noeud de serveur lors de son interaction avec ThingWorx.

PingFederate : le paramètre des URI de redirection de OAuthClient doit inclure le nom de domaine complet de l'équilibreur de charge. N'utilisez pas les URL réelles du serveur ThingWorx.

Si l'équilibreur de charge ThingWorx utilise un certificat auto-signé et que SCIM est configuré, importez le certificat SSL de l'équilibreur de charge dans le fichier cacerts du JDK PingFederate.

ThingWorx

• Répertoire ssoSecurityConfig : vous pouvez configurer ce répertoire de l'une des deux manières suivantes :

◦ Dossier partagé

▪ Doit être partagé sur tous les noeuds.

▪ Doit disposer d'une permission d'écriture pour l'utilisateur Tomcat.

◦ Dossiers locaux sur chaque noeud

▪ Le dossier doit être configuré sur le noeud 1 d'abord.

▪ Une fois la configuration SSO complète terminée, démarrez ThingWorx sur ce noeud.

▪ Copiez le dossier sur les autres noeuds.

Si la configuration change sur un noeud (par exemple, si le certificat est mis à jour), appliquez les mêmes modifications à tous les autres noeuds.

• Fichier sso-settings.json

◦ Assurez-vous que toutes les ressources référencées dans le fichier (chemins, URL, etc.) sont accessibles depuis chaque noeud.

◦ Les paramètres clientBaseURL et metadataEntityBaseUrl doivent contenir le nom de domaine complet de l'équilibreur de charge.

◦ Configurez les paramètres dans les AccessTokenPersistenceSettings pour utiliser le serveur PostgreSQL désigné pour l'environnement HA. Toutes les installations de ThingWorx doivent pointer vers le même serveur PostgreSQL.

Est-ce que cela a été utile ?