Méthodes de provisionnement
Provisionnement Active Directory
Si vous utilisez une authentification fixe avec Active Directory, configurez l'approvisionnement utilisateur à partir du service d'annuaire. Pour en savoir plus, consultez la rubrique Gestion des utilisateurs dans l'Active Directory.
Provisionnement de l'authentificateur SSO ThingWorx
Si vous avez activé l'authentification unique (SSO) avec ThingworxSSOAuthenticator, le provisionnement est automatiquement activé. Les attributs utilisateur sont récupérés sur le serveur d'autorisation, par exemple PingFederate, qui sert de courtier entre ThingWorx et le fournisseur d'identité. Il s'agit d'un provisionnement de type "juste à temps", car les comptes utilisateurs sont créés (s'ils n'existent pas déjà dans ThingWorx) et mis à jour lorsqu'un utilisateur se connecte à ThingWorx. Les attributs d'utilisateur sont inclus dans la réponse du fournisseur d'identité utilisée pour l'authentification. Rapprochez-vous de l'administrateur IdP pour comprendre l'utilisateur et pour vous assurer que le compte utilisateur dans ThingWorx est mis à jour au moment de la connexion. Par défaut, ThingWorx utilise uniquement l'attribut nom d'utilisateur pour créer l'utilisateur. Tous les attributs supplémentaires que vous souhaitez utiliser doivent être configurés sur le serveur d'autorisation de sorte qu'ils soient transmis dans la réponse du fournisseur d'identité, puis mappés aux propriétés d'extension utilisateur.
Une configuration supplémentaire est requise pour gérer les paramètres de provisionnement utilisés avec cette méthode. Pour en savoir plus, consultez la rubrique Authentification unique.
Dans ThingWorx, le provisionnement ThingworxSSOAuthenticator ne peut être utilisé que pour créer et mettre à jour des comptes utilisateur ; il ne peut pas être supprimé.
Si vous utilisez Microsoft Entra ID pour implémenter des fonctionnalités d'authentification SSO, consultez la rubrique Microsoft Entra ID en tant que CAS et IdP dans le Centre d'aide Gestion des identités et des accès PTC.
Si vous utilisez Azure AD B2C pour implémenter des fonctionnalités d'authentification SSO, consultez la rubrique Azure AD B2C en tant que CAS dans le Centre d'aide Gestion des identités et des accès PTC.
Si vous utilisez AD FS pour implémenter des fonctionnalités d'authentification SSO, consultez la rubrique AD FS en tant que CAS et IdP dans le Centre d'aide Gestion des identités et des accès PTC.
Provisionnement SCIM
SCIM est une méthode automatisée qui synchronise les modifications apportées aux comptes utilisateurs chez le fournisseur d'identité afin de les mettre à jour dans les comptes utilisateurs de ThingWorx. Le provisionnement SCIM peut être activé en complément des paramètres de provisionnement SAML/OIDC configurés avec l'authentification SSO. Il peut également l'être indépendamment de l'authentification SSO. Au lieu des mises à jour "juste à temps" des comptes utilisateurs qui se produisent en cas de provisionnement SAML/OIDC, l'automatisation SCIM signifie que les modifications apportées aux comptes utilisateurs sont auto-provisionnés dans ThingWorx en fonction des modifications apportées au compte utilisateur chez le fournisseur d'identité.
Pour configurer le provisionnement SCIM, consultez les rubriques suivantes.
SCIM
Utilisation des provisionnements SCIM et SSO
Si vous utilisez à la fois les provisionnements SSO (avec SAML ou OIDC) et SCIM, les configurations pour l'une et l'autre méthodes doivent être en phase afin qu'elles utilisent les attributs utilisateur de manière logique. Par exemple, confirmez que les groupes ThingWorx et IdP (fournisseur d'identité) sont mappés de la même façon dans le ThingworxSSOAuthenticator et le sous-système SCIM. Si un groupe auquel appartient un utilisateur dans le fournisseur d'identité est mappé avec différents groupes ThingWorx dans le sous-système SCIM et ThingworxSSOAuthenticator, l'utilisateur peut être ajouté à divers groupes ThingWorx lorsque le compte utilisateur est mis à jour en fonction du provisionnement de SCIM ou SAML.
Consultez la rubrique Création d'un canal vers le magasin de données pour obtenir une liste des propriétés d'extension utilisateur ThingWorx qui sont mappées vers les types de ressources de SCIM 1.1 Schema. Lors de la configuration du provisionnement SAML/OIDC dans ThingworxSSOAuthenticator, la table Extension utilisateur pour noms de fournisseurs mappe les valeurs des métadonnées utilisateur qui sont transmises à partir des attributs SAML vers les propriétés d'extension utilisateur ThingWorx. Lorsque vous utilisez à la fois les provisionnements SCIM et SAML, vous devez vous assurer que pour chacune des valeurs de métadonnées utilisateur qui sont récupérées auprès du fournisseur d'identité, il existe un mappage correspondant d'attributs SAML configuré dans la table Extension utilisateur pour noms de fournisseurs ThingworxSSOAuthenticator. Si les métadonnées d'extension utilisateur ne sont pas mappées dans ThingworxSSOAuthenticator : lorsque l'utilisateur ouvre une session et que le provisionnement SAML intervient, cette valeur d'extension utilisateur est effacée car aucune valeur pour cette extension n'est récupérée dans l'assertion SAML.
A l'aide des sections appropriées ci-dessous, configurez l'objet ThingWorx UserExtension pour qu'il corresponde aux attributs que vous avez configurés dans le CAS à provisionner :
Si PingFederate est le CAS
1. Adressez-vous à l'administrateur IdP pour comprendre quelles métadonnées utilisateur sont renvoyées pour chaque type de ressource SCIM 1.1 Schema répertorié à la rubrique Création d'un canal vers le magasin de données.
2. Concertez-vous avec votre administrateur PingFederate pour veiller à ce que les mêmes métadonnées utilisateur soient mappées avec les attributs SAML inclus dans l'assertion renvoyée à ThingWorx lorsqu'un utilisateur ouvre une session.
3. Configurez la table Extension utilisateur pour noms de fournisseurs ThingworxSSOAuthenticator afin de mapper la valeur appropriée de l'assertion SAML vers les propriétés correspondantes d'extension utilisateur qui sont configurées à partir du type de ressources SCIM Schema correspondant.
Si Microsoft Entra ID est le CAS et l'IdP :
Pour répertorier les attributs utilisateur dans Microsoft Entra ID, sélectionnez votre application d'entreprise, puis accédez à Provisioning > Mappings > Provision Azure Active Directory Users > Attribute Mapping. Pour plus d'informations, consultez la table Mappages ThingWorx vers SCIM.
Dans ThingWorx
Assurez-vous que chaque attribut utilisateur stocké dans l'IdP et à configurer dans ThingWorx est répertorié dans le CAS pour la configuration.
Est-ce que cela a été utile ?