Métodos de abastecimiento
Abastecimiento de Active Directory
Si se utiliza la autenticación fija con Active Directory, configure el abastecimiento de usuario del servicio de directorios. Para obtener más información, consulte
Gestión de usuarios en Active Directory.
Abastecimiento del autenticador SSO de ThingWorx
Si se ha activado la autenticación de inicio de sesión único (SSO), mediante ThingworxSSOAuthenticator, el abastecimiento se activa automáticamente. Los atributos de usuario se recuperan a través del servidor de autorización, por ejemplo, PingFederate, que actúa como agente entre ThingWorx y el proveedor de identidad. Esto se considera como abastecimiento "justo a tiempo", porque se crean cuentas de usuario (si aún no existen en ThingWorx) que se actualizan cuando un usuario inicia sesión en ThingWorx. Los atributos de usuario se incluyen en la respuesta del proveedor de identidad que se utiliza para autenticarse. Trabaje con el administrador de IdP para comprender al usuario y para asegurarse de que la cuenta de usuario en ThingWorx se actualice en el momento del evento de conexión. De fábrica, ThingWorx solo consume el atributo de nombre de usuario para crear el usuario. Cualquier atributo adicional que se debe consumir debe configurarse en el servidor de autorización para que se pase en la respuesta del proveedor de identidad y se asigne a las propiedades de extensión del usuario.
Es necesario definir configuraciones adicionales para gestionar la configuración de abastecimiento que se utiliza con este método. Para obtener más información, consulte
Autenticación de inicio de sesión único.
En ThingWorx, el abastecimiento de ThingworxSSOAuthenticator solo se puede utilizar para crear y actualizar cuentas de usuario; no puede borrar.
Si se utiliza Microsoft Entra ID para implementar las funciones de SSO, consulte
Cuando Microsoft Entra ID es el CAS y el IdP en el centro de ayuda de PTC para administración de identidades y acceso.
Si se utiliza Azure AD para implementar las funciones de SSO, consulte
Azure AD B2C como el CAS en el centro de ayuda de administración de identidades y acceso de PTC.
Si se usa AD FS para implementar las funciones de SSO, consulte
AD FS como el CAS y el IDP en el centro de ayuda de administración de identidades y acceso de PTC.
Abastecimiento de SCIM
SCIM es un método automatizado que sincroniza los cambios realizados en las cuentas de usuario del proveedor de identidad para que se inserten en las cuentas de usuario de ThingWorx. El abastecimiento de SCIM se puede activar para complementar la configuración de abastecimiento de SAML/OIDC configurada con la autenticación SSO. También se puede activar el abastecimiento de SCIM, o bien se puede activar independientemente de la autenticación de SSO. En lugar de las actualizaciones de cuentas de usuario tipo Just In Time (JIT) que se producen con el abastecimiento de SAML/OIDC, la automatización de SCIM significa que los cambios realizados en las cuentas de usuario abastecidas automáticamente en ThingWorx se basan en los cambios realizados en las cuentas de usuario del proveedor de identidad.
Para configurar el abastecimiento de SCIM, consulte los siguientes temas.
Uso del abastecimiento de SCIM y SSO
Si se utiliza el abastecimiento de SSO (con SAML u OIDC) y SCIM, las configuraciones de ambos deben estar alineadas para que consuman atributos de usuario de manera lógica. Por ejemplo, confirme que los grupos de ThingWorx e IdP se asignan de la misma manera en ThingWorxSSOAuthenticator y en el subsistema de SCIM. Si un grupo al que pertenece un usuario del IdP se asigna a distintos grupos de ThingWorx en el subsistema de SCIM y ThingworxSSOAuthenticator, el usuario se puede añadir a grupos de ThingWorx diferentes cuando se actualiza la cuenta de usuario en función del abastecimiento de SCIM o SAML.
Consulte
Creación de un canal al almacén de datos para ver una lista de las propiedades de extensión de usuario de ThingWorx que se asignan a los tipos de recurso de esquema de SCIM 1.1. Al configurar el abastecimiento de SAML/OIDC en ThingworxSSOAuthenticator, en la tabla Extensión de usuario para nombres de abastecimiento se asignan valores de metadatos de usuario que se pasan de los atributos de SAML a las propiedades de extensión de usuario de ThingWorx. Al utilizar el abastecimiento de SCIM y SAML, debe asegurarse de que para todos los valores de metadatos de usuario que se recuperen del IdP haya una asignación de atributo de SAML correspondiente configurada en la tabla Extensión de usuario para nombres de abastecimiento de ThingworxSSOAuthenticator. Si los metadatos de extensión de usuario no se asignan en ThingworxSSOAuthenticator, cuando el usuario inicia sesión y se produce el abastecimiento de SAML, el valor de extensión de usuario se borra porque no se recupera ningún valor para dicha extensión de usuario de la aserción SAML.
Mediante las secciones adecuadas que se indican a continuación, configure el objeto UserExtension de ThingWorx para que coincida con los atributos configurados en el CAS para su aprovisionamiento:
Si PingFederate es el CAS
1. Colabore con el administrador de IdP para comprender qué metadatos de usuario se devuelven para cada tipo de recurso de esquema de SCIM 1.1 que se incluye en
Creación de un canal al almacén de datos.
2. Debe coordinarse con el administrador de PingFederate para asegurarse de que se asignen los mismos metadatos de usuario a los atributos de SAML que se incluyen en la aserción devuelta a ThingWorx cuando un usuario inicia sesión.
3. Configure la tabla Extensión de usuario para nombres de abastecimiento del objeto ThingWorxSSOAuthenticator para asignar el valor de aserción SAML adecuado a las propiedades de extensión de usuario correspondientes que se abastecen desde el tipo de recurso de esquema de SCIM correspondiente.
Cuando Microsoft Entra ID es tanto el CAS como el IdP
Para enumerar los atributos de usuario en Microsoft Entra ID, seleccione la aplicación empresarial y vaya a > > > . Para obtener más información, consulte la tabla de
asignaciones de ThingWorx a SCIM.
En ThingWorx
Asegúrese de que cada uno de los atributos de usuario almacenados en el IdP, que desea proporcionar a ThingWorx, se muestre en el CAS para su aprovisionamiento.