使用 Azure AD 作為中央授權伺服器與識別提供者
 |
如果您升級 ThingWorx,而且要將 CAS 作為 AzureAD 使用,並使用 ThingWorx 連接器式 SSO 連線類型連線至資源伺服器,您必須將 sso-settings.json 檔案內 AuthorizationServersSettings 中的內容 mandatoryScopes 設定為包括 offline_access 。
由於 AzureAD 行為的變更,取得新權杖的流程不提供重新整理權杖。因此,在存取權杖到期之後,我們無法在工作階段期間予以重新整理。為了解決此問題,使用者必須再次登入,使新權杖恢復正常狀態。
|
ThingWorx 支援作為中央授權伺服器 (CAS) 與識別提供者 (IdP) 使用的 Azure AD,來管理啟用 SSO 的產品。使用者可以從其應用程式存取資料,並將其用於 ThingWorx 工作階段。
在此 SSO 架構中,ThingWorx 會將使用者驗證的 SAML 請求傳送至 Azure AD。Azure AD 會核對使用者認證的真實性,然後將宣告傳送至 ThingWorx 來授權使用者登入。
Azure AD 也會管理 ThingWorx 和 ThingWorx 從中擷取資料的資源伺服器之間的信任關係。Azure AD 會產生存取權杖,ThingWorx 會將其包括在來自資源提供者的資料請求中。資源伺服器會依賴 Azure AD 來核對存取權杖的真實性。此情境稱為委派授權,因為使用者授權 ThingWorx 從資源伺服器取得其資料。在 ThingWorx、Azure AD 和其他 PTC 產品之間交換的存取權杖會使用 OAuth 通訊協定。
繼續之前,請務必先仔細閱讀 PTC Identity and Access Management 說明中心的內容。此說明中心提供單一登入與相關術語的概觀,以及有關配置 Azure AD 的詳細資訊。此外,此說明中心也提供了單一登入組態的下列範例:
• 使用 Azure AD 配置驗證
• 使用 Azure AD 配置授權