Bereitstellungsmethoden
Active Directory-Bereitstellung
Wenn Sie feste Authentifizierung mit Active Directory verwenden, können Sie die Benutzerbereitstellung über den Verzeichnisdienst konfigurieren. Weitere Informationen finden Sie unter Benutzer in Active Directory verwalten.
ThingWorx SSO-Authentifikatorbereitstellung
Wenn Sie die SSO-Authentifizierung (Single Sign-On) via ThingworxSSOAuthenticator aktiviert haben, so ist die Bereitstellung automatisch aktiviert. Benutzerattribute werden vom Autorisierungsserver (z.B. PingFederate) abgerufen, der als Broker zwischen ThingWorx und dem Identitätsanbieter fungiert. Dies wird als "Just-in-Time"-Bereitstellung betrachtet, da Benutzerkonten erstellt werden (wenn sie nicht bereits in ThingWorx vorhanden sind) und aktualisiert werden, wenn ein Benutzer sich bei ThingWorx anmeldet. Benutzerattribute sind in der Identitätsanbieter-Antwort enthalten, die für die Authentifizierung verwendet wird. Arbeiten Sie mit dem IdP-Administrator zusammen, um mehr über den Benutzer zu erfahren und dafür zu sorgen, dass das Benutzerkonto in ThingWorx zum Zeitpunkt des Anmeldeereignisses aktualisiert wird. Standardmäßig verwendet ThingWorx zum Erstellen des Benutzers nur das Benutzernamenattribut. Alle zusätzlichen Attribute, die verwendet werden sollen, müssen auf dem Autorisierungsserver konfiguriert werden, sodass sie in der Identitätsanbieter-Antwort übergeben werden. Anschließend müssen sie den Benutzererweiterungseigenschaften zugeordnet werden.
Zum Verwalten der Bereitstellungseinstellungen, die mit dieser Methode verwendet werden, sind zusätzliche Konfigurationen erforderlich. Weitere Informationen finden Sie unter Single Sign-On-Authentifizierung.
In ThingWorx kann die Bereitstellung durch ThingworxSSOAuthenticator nur verwendet werden, um Benutzerkonten zu erstellen und zu aktualisieren. Löschen ist nicht möglich.
Wenn Sie Azure AD zum Implementieren von SSO-Funktionen verwenden, finden Sie weitere Informationen unter Azure AD als CAS und IdP im PTC Hilfe-Center für Identitäts- und Zugriffsverwaltung.
Wenn Sie Azure FS zum Implementieren von SSO-Funktionen verwenden, finden Sie weitere Informationen unter AD FS als CAS und IdP im PTC Hilfe-Center für Identitäts- und Zugriffsverwaltung.
SCIM-Bereitstellung
SCIM ist eine automatisierte Methode, die Änderungen an Benutzerkonten im Identitätsanbieter synchronisiert, die an die Benutzerkonten in ThingWorx übertragen werden sollen. SCIM-Bereitstellung kann aktiviert werden, um die mit der SSO-Authentifizierung konfigurierten SAML-Bereitstellungseinstellungen zu ergänzen. SCIM-Bereitstellung kann auch aktiviert werden, oder sie kann unabhängig von der SSO-Authentifizierung aktiviert werden. Anstelle der Just-in-Time-Aktualisierungen von Benutzerkonten, die bei der SAML-Bereitstellung stattfinden, bedeutet die SCIM-Automatisierung, dass Änderungen an Benutzerkonten automatisch für ThingWorx bereitgestellt werden, und zwar basierend auf Änderungen am Benutzerkonto im Identitätsanbieter.
Informationen zum Konfigurieren der SCIM-Bereitstellung finden Sie in den folgenden Themen.
SCIM
SCIM- und SAML-Bereitstellung verwenden
Wenn Sie SAML- und SCIM-Bereitstellung verwenden, stellen Sie sicher, dass die Konfigurationen für beide Varianten aufeinander abgestimmt sind, sodass sie Benutzerattribute auf logische Weise verwenden. Vergewissern Sie sich z.B., dass ThingWorx und IdP-Gruppen in ThingworxSSOAuthenticator und im Untersystem für SCIM auf die gleiche Weise zugeordnet sind. Wenn eine Gruppe, zu der ein Benutzer im IdP gehört, im Untersystem für SCIM und in ThingworxSSOAuthenticator verschiedenen ThingWorx Gruppen zugeordnet ist, kann der Benutzer verschiedenen ThingWorx Gruppen hinzugefügt werden, wenn das Benutzerkonto auf Grundlage der SCIM- oder SAML-Bereitstellung aktualisiert wird.
Unter Kanal zum Datenspeicher erstellen finden Sie eine Liste von ThingWorx Benutzererweiterungseigenschaften, die Ressourcentypen des SCIM-Schemas 1.1 zugeordnet sind. Wenn Sie die SAML-Bereitstellung in ThingworxSSOAuthenticator konfigurieren, können Sie mithilfe der Tabelle "Benutzererweiterung für Bereitstellungsnamen" Benutzer-Metadatenwerte, die von SAML-Attributen übergeben werden, ThingWorx Benutzererweiterungseigenschaften zuordnen. Wenn Sie die SCIM- und die SAML-Bereitstellung verwenden, müssen Sie für jeden der vom IdP abgerufenen Benutzer-Metadatenwerte sicherstellen, dass eine entsprechende SAML-Attributzuordnung in der Tabelle "Benutzererweiterung für Bereitstellungsnamen" von ThingworxSSOAuthenticator konfiguriert ist. Wenn die Metadaten der Benutzererweiterung nicht in ThingworxSSOAuthenticator zugeordnet sind, wird dieser Benutzererweiterungswert beim Anmelden des Benutzers und Durchführen der SAML-Bereitstellung gelöscht, da kein Wert für diese Benutzererweiterung aus der SAML-Bestätigung abgerufen wird.
Konfigurieren Sie mithilfe der entsprechenden Abschnitte unten das ThingWorx UserExtension-Objekt so, dass es mit den Attributen übereinstimmt, die Sie im CAS für die Bereitstellung konfiguriert haben:
Wenn PingFederate der CAS ist
1. Erkundigen Sie sich bei Ihrem IdP-Administrator, welche Benutzermetadaten für die einzelnen Ressourcentypen des SCIM 1.1-Schemas zurückgegeben werden, die im Abschnitt Kanal zum Datenspeicher erstellen aufgeführt sind.
2. Stellen Sie in Koordination mit Ihrem PingFederate-Administrator Folgendes sicher: Die Benutzermetadaten werden SAML-Attributen zugeordnet, die in der Bestätigung enthalten sind, die bei der Benutzeranmeldung an ThingWorx zurückgegeben wird.
3. Konfigurieren Sie die Tabelle "Benutzererweiterung für Bereitstellungsnamen" von ThingworxSSOAuthenticator so, dass der richtige SAML-Bestätigungswert den entsprechenden Benutzererweiterungseigenschaften zugeordnet wird, die vom entsprechenden Ressourcentyp des SCIM-Schemas bereitgestellt werden.
Wenn Azure AD der CAS und IdP ist
Wählen Sie zum Ausführen der Benutzerattribute in Azure AD Ihre Unternehmensanwendung aus, und navigieren Sie zu Bereitstellung > Zuordnungen > Azure Active Directory-Benutzer bereitstellen > Attributzuordnungen. Weitere Informationen finden Sie in der Tabelle Zuordnungen zwischen ThingWorx und SCIM.
In ThingWorx
Stellen Sie sicher, dass alle im IdP gespeicherten Benutzerattribute, die Sie für ThingWorx bereitstellen möchten, im CAS zur Bereitstellung aufgeführt sind.
War dies hilfreich?