シングルサインオンおよび高可用性の設定
ThingWorx では、高可用性 (HA) 構成でシングルサインオン (SSO) がサポートされています。ただし、コンフィギュレーションに関する次の事項を追加で考慮する必要があります。
ロードバランサー - ThingWorx コンテンツへのアクセスに使用する URL はすべて、仮想 IP (VIP) またはプロキシ (HAProxy など) を経由してルーティングする必要があります。HA フェイルオーバーが発生した場合、アプリケーションは特定のポートのプロキシサーバーを経由してコンテンツにアクセスします。プロキシは、HA アーキテクチャ内の使用可能なマシンまたはポートにリダイレクトします。
 |
スティッキーセッションをサポートするようにプロキシサーバーを設定します。これにより、ThingWorx とやり取りしているときに、ユーザーのセッションが一貫して同じサーバーノードにルーティングされます。
|
PingFederate - OAuthClient のリダイレクト URI パラメータには、ロードバランサーの完全修飾ドメイン名を含める必要があります。実際の ThingWorx サーバーの URL は使用しないでください。
|
|
ThingWorx ロードバランサーが自己署名証明書を使用しており、SCIM が設定されている場合は、ロードバランサーの SSL 証明書を PingFederate JDK cacerts ファイルにインポートします。
|
ThingWorx
• ssoSecurityConfig ディレクトリ - このディレクトリは、次の 2 つの方法のいずれかで設定できます。
◦ 共有フォルダ
▪ すべてのノードで共有する必要があります。
▪ Tomcat ユーザーに書き込みアクセス許可が必要です。
◦ 各ノード上のローカルフォルダ
▪ まずノード 1 のフォルダを設定します。
▪ SSO コンフィギュレーションがすべて完了した後、このノードで ThingWorx を起動します。
▪ フォルダを他のノードにコピーします。
|
|
1 つのノードでコンフィギュレーションが変更された場合 (証明書の更新など)、他のすべてのノードに同じ変更を適用します。
|
• sso-settings.json ファイル
◦ ファイルで参照されているすべてのリソース (パス、URL など) にすべてのノードからアクセスできることを確認します。
◦ clientBaseURL および metadataEntityBaseUrl パラメータには、ロードバランサーの完全修飾ドメイン名が含まれている必要があります。
◦ HA 環境に指定されている PostgreSQL サーバーを使用するよう AccessTokenPersistenceSettings のパラメータを設定します。すべての ThingWorx インストールが同じ PostgreSQL サーバーを指定する必要があります。