SSO(Single Sign-On) 및 고가용성 구성
ThingWorx는 고가용성(HA) 구성에서 Single Sign-On(SSO)을 지원합니다. 그러나 다음과 같은 추가 구성 고려 사항이 필요합니다.
부하 분산 장치 - ThingWorx 콘텐츠에 액세스하는 데 사용되는 모든 URL은 VIP(가상 IP) 또는 HAProxy와 같은 프록시를 통해 라우팅해야 합니다. HA 장애 조치가 발생하면 응용 프로그램에서는 특정 포트의 프록시 서버를 통해 콘텐츠에 액세스합니다. 프록시는 HA 아키텍처에서 사용 가능한 시스템 또는 포트로 리디렉션하는 역할을 합니다.
 |
ThingWorx와 상호 작용하는 동안 사용자 세션이 지속적으로 동일한 서버 노드로 라우팅되도록 보장하는 고정 세션을 지원하도록 프록시 서버를 구성합니다.
|
PingFederate - OAuthClient의 리디렉션 URI 매개 변수에는 부하 분산 장치의 전체 도메인 이름을 포함해야 합니다. 실제 ThingWorx 서버 URL은 사용하지 마십시오.
|
|
ThingWorx 부하 분산 장치가 자체 서명된 인증서를 사용하고 SCIM이 구성된 경우 부하 분산 장치의 SSL 인증서를 PingFederate JDK cacerts 파일로 가져옵니다.
|
ThingWorx
• ssoSecurityConfig 디렉터리 - 다음 두 가지 방법 중 하나로 이 디렉터리를 구성할 수 있습니다.
◦ 공유 폴더
▪ 모든 노드에서 공유되어야 합니다.
▪ Tomcat 사용자에 대한 쓰기 권한이 있어야 합니다.
◦ 각 노드의 로컬 폴더
▪ 먼저 노드 1에서 폴더를 구성합니다.
▪ 전체 SSO 구성을 완료한 후 이 노드에서 ThingWorx를 시작합니다.
▪ 폴더를 다른 노드로 복사합니다.
|
|
한 노드에서 구성이 변경되면(예: 인증서 업데이트) 다른 모든 노드에 동일한 변경 사항을 적용합니다.
|
• sso-settings.json 파일
◦ 파일에서 참조되는 모든 리소스(경로, URL 등)를 모든 노드에서 액세스할 수 있는지 확인합니다.
◦ clientBaseURL 및 metadataEntityBaseUrl 매개 변수에는 부하 분산 장치의 전체 도메인 이름이 포함되어야 합니다.
◦ HA 환경에 지정된 PostgreSQL 서버를 사용하도록 AccessTokenPersistenceSettings의 매개 변수를 구성합니다. 모든 ThingWorx 설치는 동일한 PostgreSQL 서버를 가리켜야 합니다.