单点登录和高可用性配置
ThingWorx 支持高可用性 (HA) 配置中的单点登录 (SSO)。但是,还需要考虑以下附加配置注意事项。
负载均衡器 - 用于访问 ThingWorx 内容的所有 URL 都应通过虚拟 IP (VIP) 或代理 (如 HAProxy) 进行路由。如果发生了 HA 故障转移,则应用程序会通过特定端口的代理服务器访问内容。代理负责重新定向到 HA 体系结构中的可用计算机或端口。
 |
将代理服务器配置为支持粘滞会话,从而确保用户会话在与 ThingWorx 交互期间始终被路由到同一服务器节点。
|
PingFederate - OAuthClient 的重定向 URI 参数必须包含负载均衡器的完全限定域名。不能使用实际 ThingWorx 服务器 URL。
|
|
如果 ThingWorx 负载均衡器使用自签名证书且已配置 SCIM,则将负载均衡器的 SSL 证书导入到 PingFederate JDK cacerts 文件中。
|
ThingWorx
• ssoSecurityConfig 目录 - 可通过下列两种方式之一配置此目录:
◦ 共享文件夹
▪ 必须在所有节点之间共享。
▪ 必须具有 Tomcat 用户的写入权限。
◦ 每个节点上的本地文件夹
▪ 首先在节点 1 上配置文件夹。
▪ 完成整个 SSO 配置后,在此节点上启动 ThingWorx。
▪ 将文件夹复制到其他节点。
|
|
如果一个节点上的配置发生更改 (例如,证书更新),请将该更改应用到所有其他节点。
|
• sso-settings.json 文件
◦ 确保文件中引用的所有资源 (路径、URL 等) 均可从每个节点进行访问。
◦ clientBaseURL 和 metadataEntityBaseUrl 参数必须包含负载均衡器的完全限定域名。
◦ 配置 AccessTokenPersistenceSettings 中的参数以使用为 HA 环境指定的 PostgreSQL 服务器。所有 ThingWorx 安装必须指向同一 PostgreSQL 服务器。