Configuration du fichier sso-settings.json
Créez le fichier sso-settings.json dans le répertoire ssoSecurityConfig.
Si votre environnement nécessite un chemin d'accès différent, définissez la valeur de la variable d'environnement THINGWORX_SSO_SETTINGS pour enregistrer le fichier sso-settings.json à un autre emplacement.
Voici un exemple de structure du fichier sso-settings.json :
{
"BasicSettings": {
"clientBaseUrl": "Voir la table ci-dessous",
"idpMetadataFilePath": "Voir la table ci-dessous",
"metadataEntityId": "Voir la table ci-dessous",
"metadataEntityBaseUrl": "Voir la table ci-dessous",
"webSSOProfileConsumerResponseSkew": "Voir la table ci-dessous",
"webSSOProfileConsumerReleaseDOM": "Voir la table ci-dessous",
"webSSOProfileResponseSkew": "Voir la table ci-dessous",
"retriggerOnScopesRemoval": "Voir la table ci-dessous",
"samlAssertionUserNameAttributeName": "Voir la table ci-dessous",
"samlAssertionMaxAuthenticationAge": "Voir la table ci-dessous",
"ptcOperatorsGroupName": "Voir la table ci-dessous",
"samlGroupClaimName": "Voir la table ci-dessous",
"administratorAlias": "Voir la table ci-dessous",
“administratorInternalName": "Administrator",
"authnContextAsPassword": "Voir la table ci-dessous"
},
"AccessTokenPersistenceSettings": {
"dbType": "Voir la table ci-dessous",
"driverClassName": "Voir la table ci-dessous",
"url": "Voir la table ci-dessous",
"username": "Voir la table ci-dessous",
"password": "Voir la table ci-dessous",
"encryptTokenInDatabase": "Voir la table ci-dessous",
},
"KeyManagerSettings": {
"keyStoreFilePath": "Voir la table ci-dessous",
"keyStoreStorePass": "Voir la table ci-dessous",
"keyStoreKey": "Voir la table ci-dessous",
"keyStoreKeyPass": "Voir la table ci-dessous"
},
"AuthorizationServersSettings": {
"<AuthorizationServerId1>": {
"clientId": "Voir la table ci-dessous",
"clientSecret": "Voir la table ci-dessous",
"authorizeUri": "Voir la table ci-dessous",
"tokenUri": "Voir la table ci-dessous",
"clientAuthScheme": "Voir la table ci-dessous"
},
"<AuthorizationServerId2>": {
"clientId": "Voir la table ci-dessous",
"clientSecret": "Voir la table ci-dessous",
"authorizeUri": "Voir la table ci-dessous",
"tokenUri": "Voir la table ci-dessous",
"clientAuthScheme": "Voir la table ci-dessous"
"mandatoryScopes": "Voir la table ci-dessous"
}
}
}
}
"BasicSettings": {
"clientBaseUrl": "Voir la table ci-dessous",
"idpMetadataFilePath": "Voir la table ci-dessous",
"metadataEntityId": "Voir la table ci-dessous",
"metadataEntityBaseUrl": "Voir la table ci-dessous",
"webSSOProfileConsumerResponseSkew": "Voir la table ci-dessous",
"webSSOProfileConsumerReleaseDOM": "Voir la table ci-dessous",
"webSSOProfileResponseSkew": "Voir la table ci-dessous",
"retriggerOnScopesRemoval": "Voir la table ci-dessous",
"samlAssertionUserNameAttributeName": "Voir la table ci-dessous",
"samlAssertionMaxAuthenticationAge": "Voir la table ci-dessous",
"ptcOperatorsGroupName": "Voir la table ci-dessous",
"samlGroupClaimName": "Voir la table ci-dessous",
"administratorAlias": "Voir la table ci-dessous",
“administratorInternalName": "Administrator",
"authnContextAsPassword": "Voir la table ci-dessous"
},
"AccessTokenPersistenceSettings": {
"dbType": "Voir la table ci-dessous",
"driverClassName": "Voir la table ci-dessous",
"url": "Voir la table ci-dessous",
"username": "Voir la table ci-dessous",
"password": "Voir la table ci-dessous",
"encryptTokenInDatabase": "Voir la table ci-dessous",
},
"KeyManagerSettings": {
"keyStoreFilePath": "Voir la table ci-dessous",
"keyStoreStorePass": "Voir la table ci-dessous",
"keyStoreKey": "Voir la table ci-dessous",
"keyStoreKeyPass": "Voir la table ci-dessous"
},
"AuthorizationServersSettings": {
"<AuthorizationServerId1>": {
"clientId": "Voir la table ci-dessous",
"clientSecret": "Voir la table ci-dessous",
"authorizeUri": "Voir la table ci-dessous",
"tokenUri": "Voir la table ci-dessous",
"clientAuthScheme": "Voir la table ci-dessous"
},
"<AuthorizationServerId2>": {
"clientId": "Voir la table ci-dessous",
"clientSecret": "Voir la table ci-dessous",
"authorizeUri": "Voir la table ci-dessous",
"tokenUri": "Voir la table ci-dessous",
"clientAuthScheme": "Voir la table ci-dessous"
"mandatoryScopes": "Voir la table ci-dessous"
}
}
}
}
 |
Assurez-vous de modifier la valeur de chaque paramètre par rapport à vos besoins. Votre implémentation peut varier en fonction de plusieurs facteurs, par exemple l'endroit où ThingWorx est hébergé, les politiques de sécurité de votre organisation ainsi que le serveur d'autorisation central (CAS) de votre fédération. Reportez-vous aux informations des tables suivantes pour vous aider à définir la valeur de chaque paramètre.
|
La table suivante décrit les paramètres et les valeurs par défaut de la section BasicSettings du fichier sso-settings.json :
|
Paramètre
|
Description
|
Valeur
|
||
|---|---|---|---|---|
|
clientBaseUrl
|
Spécifie l'URL de l'instance du serveur ThingWorx.
Fournissez le nom de domaine complet ThingWorx du serveur (FQDN).
Si vous avez configuré ThingWorx pour fonctionner dans un environnement haute disponibilité, spécifiez l'hôte et le port de l'équilibreur de charge.
|
http://<FQDN ThingWorx>:<port-number>/Thingworx
OU
Pour ThingWorx Flow, https://<nom-hôte Nginx ThingWorx Flow>:<numéro-port Nginx ThingWorx Flow>/Thingworx
OU
Dans un environnement haute disponibilité, https://<nom-hôte équilibreur de charge>:<numéro-port équilibreur de charge>/Thingworx
|
||
|
idpMetadataFilePath
|
Spécifie le chemin d'accès absolu au fichier de métadonnées IdP.
|
/ThingworxPlatform/ssoSecurityConfig/sso-idp-metadata.xml
|
||
|
metadataEntityId
|
Spécifie l'ID d'entité de connexion du fournisseur de services.
• PingFederate en tant que CAS : utilisez l'ID unique que vous avez choisi lors de la configuration de la connexion du fournisseur de services.
• Azure AD en tant que CAS : utilisez l'identificateur Identifier (Entitity ID) que vous avez défini lors de la configuration des paramètres SAML de base.
• AD FS en tant que CAS : utilisez l'identificateur Relying party trust identifier que vous avez défini lors de la configuration des paramètres d'approbation de partie de confiance.
|
—
|
||
|
metadataEntityBaseUrl
|
Spécifie le nom de domaine complet du serveur ThingWorx.
Si vous avez configuré ThingWorx pour fonctionner dans un environnement haute disponibilité, spécifiez l'hôte et le port de l'équilibreur de charge.
|
http://<FQDN ThingWorx>:<port-number>/Thingworx
OU
Pour ThingWorx Flow, https://<nom-hôte Nginx ThingWorx Flow>:<numéro-port Nginx ThingWorx Flow>/Thingworx
OU
Dans un environnement haute disponibilité, https://<nom-hôte équilibreur de charge>:<numéro-port équilibreur de charge>/Thingworx
|
||
|
webSSOProfileConsumerResponseSkew
|
Spécifie la tolérance de différence de la réponse du service consommateur d'assertions SSO Web SAML 2.0.
Lorsque vous définissez cette valeur, prenez en considération vos propres exigences de sécurité ainsi que la latence dans votre réseau d'entreprise.
Utilisez ce paramètre pour définir le délai autorisé (en secondes) pour que le CAS renvoie à ThingWorx une réponse à la requête de connexion. Si le délai de réponse à la requête de connexion est supérieur à la valeur définie, la tentative de connexion échouera.
La tolérance de différence désigne la déviation dans la validité de réponse que le destinataire autorise en raison de différences présumées entre les horloges système. Il est recommandé de limiter les effets liés à cette différence en s'assurant que les horloges de chaque système sont correctement synchronisées.
|
300
|
||
|
webSSOProfileConsumerReleaseDOM
|
Détermine si l'infrastructure de sécurité conserve l'assertion SAML une fois l'authentification effectuée.
Si ce paramètre est défini sur faux, l'assertion SAML est conservée une fois l'authentification effectuée.
|
vrai
|
||
|
webSSOProfileResponseSkew
|
Spécifie la tolérance de différence de la réponse du profil SSO Web SAML 2.0.
Lorsque vous définissez cette valeur, prenez en considération vos propres exigences de sécurité ainsi que la latence dans votre réseau d'entreprise.
La tolérance de différence désigne la déviation dans la validité de réponse que le destinataire autorise en raison de différences présumées entre les horloges système. Il est recommandé de limiter les effets liés à cette différence en s'assurant que les horloges de chaque système sont correctement synchronisées.
|
300
|
||
|
retriggerOnScopesRemoval
|
Spécifie si la liste des étendues requises a changé et doit être actualisée.
vrai indique qu'une étendue a été ajoutée ou supprimée de la liste des étendues requises.
faux signifie qu'une étendue a été ajoutée à la liste des étendues requises.
|
vrai
|
||
|
samlAssertionUserNameAttributeName
|
Spécifie l'attribut SAML pour lequel est définie la valeur qui stocke les noms des utilisateurs ThingWorx lorsqu'ils se connectent. Assurez-vous que la valeur de cet attribut dans le fournisseur d'identité correspond aux valeurs que vous prévoyez d'utiliser en tant que noms d'utilisateur ThingWorx.
|
• PingFederate ou Azure AD en tant que CAS :
uid
• AD FS en tant que CAS :
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
|
||
|
samlAssertionMaxAuthenticationAge
|
Spécifie la durée maximale (en secondes) de l'assertion SAML 2.0 avant son expiration. Ce paramètre spécifie également la durée de session maximale d'une assertion d'authentification.
Définissez la valeur afin qu'elle corresponde à la valeur d'expiration de session spécifiée dans le fournisseur d'identité. Cette valeur varie en fonction de l'IdP utilisé.
|
• PingFederate en tant que CAS avec IdP LDAP (Windchill) : 7200 (valeur par défaut)
• AD FS en tant qu'IdP (avec AD FS ou PingFederate en tant que CAS) : 28800
• Azure AD en tant qu'IdP (avec Azure AD ou PingFederate en tant que CAS) : 86400
|
||
|
ptcOperatorsGroupName
|
Facultatif.
Définissez ce paramètre pour configurer l'intégration automatique d'un groupe (tel que défini dans l'IdP) au groupe d'administrateurs ThingWorx.
|
|||
|
administratorAlias
|
Facultatif.
Nom d'utilisateur de l'administrateur tel qu'il est configuré dans le CAS[IDP].
|
|||
|
administratorInternalName
|
Obligatoire si administratorAlias est défini.
Nom d'utilisateur de l'administrateur tel qu'il est configuré dans ThingWorx.
|
Par exemple, Administrator.
|
||
|
samlGroupClaimName
|
Facultatif.
Ce paramètre n'est pertinent que si ptcOperatorsGroupName est défini.
Entrez le IDP SAML Group Claim Name configuré dans le CAS pour terminer l'automatisation de ce groupe dans l'authentificateur SSO ThingWorx. Pour plus d'informations, consultez la rubrique ThingworxSSOAuthenticator.
|
Exemples :
Pour le CAS PingFederate : groupe
Pour le CAS ADFS : http://schemas.xmlsoap.org/claims/Group
Pour le CAS AzureAD : http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
|
||
|
authnContextAsPassword
|
Facultatif. Dans quelques rares cas, l'IdP vous demande d'introduire l'assertion suivante dans la requête SAML.
<saml2p:RequestedAuthnContext Comparison="exact">
<saml2:AuthnContextClassRef xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"> urn:oasis:names:tc:SAML:2.0:ac:classes:Password </saml2:AuthnContextClassRef> </saml2p:RequestedAuthnContext> Dans ce cas, vous devez définir cette propriété.
|
faux
|
|
|
Si vous souhaitez activer l'authentificateur de clé d'application lorsque l'authentification SSO est activée, vous devez ajouter la section de configuration ApplicationKeySettings aux paramètres sso-settings.json dans BasicSettings. Cela n'est nécessaire que si vous souhaitez utiliser des clés d'application pour l'authentification au moyen de requêtes API REST. Que ce paramètre soit ou non activé, les clés d'application demeurent utilisables par les périphériques Edge via des WebSockets.
{
"BasicSettings": { ... }, "ApplicationKeySettings": { "enabled": true }, ... } |
Les tables suivantes décrivent les paramètres et les valeurs par défaut de la section AccessTokenPersistenceSettings du fichier sso-settings.json :
|
Paramètre
|
Description
|
Valeur
|
|---|---|---|
|
dbType
|
Spécifie le type de la base de données configurée et utilisée pour l'installation d'ThingWorx.
• Pour utiliser la même base de données que celle définie dans le fichier platform-settings.json, spécifiez la même information de type de base de données et les mêmes informations d'identification que celles figurant dans platform-settings.json.
|
postgres
|
|
mssql
|
||
|
driverClassName
|
Spécifie le nom de classe de pilote utilisé dans le fichier platform-settings.json.
|
Lorsque dbType est défini sur postgres, définissez ce paramètre sur org.postgresql.Driver.
|
|
Lorsque dbType est défini sur mssql, définissez ce paramètre sur com.microsoft.sqlserver.jdbc.SQLServerDriver.
|
||
|
url
|
Spécifie l'URL vers l'emplacement de la base de données pour votre installation d'ThingWorx.
|
Lorsque dbType est défini sur postgres, définissez ce paramètre sur jdbc:postgresql://<nom d'hôte>:<port>/thingworx.
|
|
Lorsque dbType est défini sur mssql, définissez ce paramètre sur jdbc:sqlserver://<nom d'hôte>:<port>;databaseName=thingworx;applicationName=Thingworx.
|
||
|
username
|
Spécifie le nom d'utilisateur de la base de données que votre système utilise pour stocker les jetons d'accès. Il doit correspondre au nom d'utilisateur spécifié dans le fichier platform-settings.json.
|
—
|
|
password
|
Spécifie le mot de passe de la base de données que votre système utilise pour stocker les jetons d'accès. Il doit correspondre au mot de passe spécifié dans le fichier platform-settings.json.
|
—
|
|
encryptTokenInDatabase
|
Définissez ce paramètre sur vrai pour chiffrer le jeton d'accès avant de le rendre persistant dans la base de données.
Lorsque cette valeur est définie sur true, un fichier private-keyset.cfg est automatiquement créé au démarrage de ThingWorx et stocké dans le dossier ssoSecurityConfig. Ce jeu de clés n'est créé qu'une seule fois.
|
vrai
|
Selon la valeur de dbType, les jetons d'accès OAuth 2.0 (autorisations d'accès) sont stockés à des emplacements différents. La table suivante fournit des informations sur l'emplacement de stockage des autorisations d'accès dans la base de données :
|
dbType
|
Emplacement de stockage des autorisations d'accès dans la base de données
|
|---|---|
|
postgres
|
Dans la table oauth_client_token de la base de données PostgreSQL ThingWorx
|
|
mssql
|
Dans la table oauth_client_token de la base de données MS SQL ThingWorx
|
La table suivante décrit les paramètres et les valeurs par défaut de la section KeyManagerSettings du fichier sso-settings.json :
|
Paramètre
|
Description
|
Valeur
|
||
|---|---|---|---|---|
|
keyStoreFilePath
|
Spécifie le chemin d'accès absolu au KeyStore. En fonction de votre environnement, modifiez le chemin d'accès de façon à utiliser le répertoire d'enregistrement de votre fichier KeyStore.
|
Sous Windows : <lecteur>:\\ThingworxPlatform\\ssoSecurityConfig\\sso-keystore.jks
où <lecteur> spécifie le lecteur d'installation d'ThingWorx.
Pour Linux : <chemin complet>/ThingworxPlatform/ssoSecurityConfig/sso-keystore.jks
|
||
|
keyStoreStorePass
|
Spécifie le mot de passe du KeyStore.
|
—
|
||
|
keyStoreKey
|
Spécifie la clé par défaut.
|
—
|
||
|
keyStoreKeyPass
|
Spécifie le mot de passe utilisé pour accéder aux clés privées.
|
—
|
La table suivante décrit les paramètres et les valeurs par défaut de la section AuthorizationServersSettings du fichier sso-settings.json :
|
|
Les paramètres AuthorizationServersSettings peuvent contenir les informations de plusieurs serveurs d'autorisation. Chaque serveur est identifié par un identificateur unique dans le fichier sso-settings.json.
|
|
Paramètre
|
Description
|
Valeur
|
||
|---|---|---|---|---|
|
<IDServeurAutorisation1>.clientId
|
Spécifie l'identificateur client à utiliser lors de l'obtention de jetons d'accès auprès du serveur d'autorisation.
|
—
|
||
|
<IDServeurAutorisation1>.clientSecret
|
Spécifie les informations d'identification client utilisées pour l'authentification auprès du serveur d'autorisation.
Définissez l'URL complète du serveur DNS sur le réseau.
|
—
|
||
|
<IDServeurAutorisation1>.authorizeUri
|
Spécifie l'URI vers lequel l'utilisateur doit être redirigé pour autoriser un jeton d'accès.
|
• PingFederate en tant que CAS :
https://<nom-hôte-PingFederate>:<Numéro-Port-PingFederate>/as/authorization.oauth2
• Azure AD en tant que CAS : consultez Update the ThingWorx Configuration Files (en anglais) dans la documentation Azure AD sur les autorisations.
• AD FS en tant que CAS : consultez Update the ThingWorx Configuration Files dans la documentation AD FS sur les autorisations.
|
||
|
<IDServeurAutorisation1>.tokenUri
|
Spécifie l'URI à utiliser pour obtenir un jeton d'accès OAuth2.
Définissez l'URL complète du serveur DNS sur le réseau.
|
https://<nom-hôte-PingFederate>:<Numéro-Port-PingFederate>/as/token.oauth2
|
||
|
<IDServeurAutorisation1>.clientAuthScheme
|
Spécifie le schéma à utiliser pour authentifier le client. Les valeurs autorisées sont les suivantes :
• form
• header
• query
• Aucune
|
form
|
||
|
<IDServeurAutorisation1>.mandatoryScopes
|
Facultatif pour les CAS autres qu'AzureAD et ADFS. Cette étendue est automatiquement ajoutée à tout jeton d'accès demandé lorsque ce paramètre est défini.
|
Obligatoire si le CAS est AzureAD. La valeur requise est "offline_access".
Obligatoire pour ADFS : n'importe quelle valeur, sauf celles qui sont définies dans la liste des étendues du serveur ADFS.
|