Configuration du fichier sso-settings.json
Créez le fichier sso-settings.json dans le répertoire ssoSecurityConfig.
Si votre environnement nécessite un chemin d'accès différent, définissez la valeur de la variable d'environnement THINGWORX_SSO_SETTINGS pour enregistrer le fichier sso-settings.json à un autre emplacement.
Voici un exemple de structure du fichier sso-settings.json :
{
"BasicSettings": {
"clientBaseUrl": "Voir la table ci-dessous",
"idpMetadataFilePath": "Voir la table ci-dessous",
"metadataEntityId": "Voir la table ci-dessous",
"metadataEntityBaseUrl": "Voir la table ci-dessous",
"webSSOProfileConsumerResponseSkew": "Voir la table ci-dessous",
"webSSOProfileConsumerReleaseDOM": "Voir la table ci-dessous",
"webSSOProfileResponseSkew": "Voir la table ci-dessous",
"retriggerOnScopesRemoval": "Voir la table ci-dessous",
"samlAssertionUserNameAttributeName": "Voir la table ci-dessous",
"samlAssertionMaxAuthenticationAge": "Voir la table ci-dessous",
"ptcOperatorsGroupName": "Voir la table ci-dessous",
"samlGroupClaimName": "Voir la table ci-dessous",
"administratorAlias": "Voir la table ci-dessous",
“administratorInternalName": "Administrator",
"authnContextAsPassword": "Voir la table ci-dessous",
"authenticationType": "Voir la table ci-dessous
},
"AccessTokenPersistenceSettings": {
"dbType": "Voir la table ci-dessous",
"driverClassName": "Voir la table ci-dessous",
"url": "Voir la table ci-dessous",
"username": "Voir la table ci-dessous",
"password": "Voir la table ci-dessous",
"encryptTokenInDatabase": "Voir la table ci-dessous",
},
"KeyManagerSettings": {
"keyStoreFilePath": "Voir la table ci-dessous",
"keyStoreStorePass": "Voir la table ci-dessous",
"keyStoreKey": "Voir la table ci-dessous",
"keyStoreKeyPass": "Voir la table ci-dessous"
},
"AuthorizationServersSettings": {
"<AuthorizationServerId1>": {
"clientId": "Voir la table ci-dessous",
"clientSecret": "Voir la table ci-dessous",
"authorizeUri": "Voir la table ci-dessous",
"tokenUri": "Voir la table ci-dessous",
"clientAuthScheme": "Voir la table ci-dessous"
},
"<AuthorizationServerId2>": {
"clientId": "Voir la table ci-dessous",
"clientSecret": "Voir la table ci-dessous",
"authorizeUri": "Voir la table ci-dessous",
"tokenUri": "Voir la table ci-dessous",
"clientAuthScheme": "Voir la table ci-dessous"
"mandatoryScopes": "Voir la table ci-dessous"
},
"OIDCSettings": {
"accessTokenClaimsValidation":"Voir la table ci-dessous",
"additionalScopes": "Voir la table ci-dessous",
"assertionUserNameAttributeName": "Voir la table ci-dessous",
"clientId": "Voir la table ci-dessous",
"clientSecret": "Voir la table ci-dessous",
"openIdConfigurationUri": "Voir la table ci-dessous",
"proxyAuthentication": "Voir la table ci-dessous",
"useAccessTokenClaims": "Voir la table ci-dessous"
},
"AzureSettings": {
"apiEndPoint": "Voir la table ci-dessous"
}
}
"BasicSettings": {
"clientBaseUrl": "Voir la table ci-dessous",
"idpMetadataFilePath": "Voir la table ci-dessous",
"metadataEntityId": "Voir la table ci-dessous",
"metadataEntityBaseUrl": "Voir la table ci-dessous",
"webSSOProfileConsumerResponseSkew": "Voir la table ci-dessous",
"webSSOProfileConsumerReleaseDOM": "Voir la table ci-dessous",
"webSSOProfileResponseSkew": "Voir la table ci-dessous",
"retriggerOnScopesRemoval": "Voir la table ci-dessous",
"samlAssertionUserNameAttributeName": "Voir la table ci-dessous",
"samlAssertionMaxAuthenticationAge": "Voir la table ci-dessous",
"ptcOperatorsGroupName": "Voir la table ci-dessous",
"samlGroupClaimName": "Voir la table ci-dessous",
"administratorAlias": "Voir la table ci-dessous",
“administratorInternalName": "Administrator",
"authnContextAsPassword": "Voir la table ci-dessous",
"authenticationType": "Voir la table ci-dessous
},
"AccessTokenPersistenceSettings": {
"dbType": "Voir la table ci-dessous",
"driverClassName": "Voir la table ci-dessous",
"url": "Voir la table ci-dessous",
"username": "Voir la table ci-dessous",
"password": "Voir la table ci-dessous",
"encryptTokenInDatabase": "Voir la table ci-dessous",
},
"KeyManagerSettings": {
"keyStoreFilePath": "Voir la table ci-dessous",
"keyStoreStorePass": "Voir la table ci-dessous",
"keyStoreKey": "Voir la table ci-dessous",
"keyStoreKeyPass": "Voir la table ci-dessous"
},
"AuthorizationServersSettings": {
"<AuthorizationServerId1>": {
"clientId": "Voir la table ci-dessous",
"clientSecret": "Voir la table ci-dessous",
"authorizeUri": "Voir la table ci-dessous",
"tokenUri": "Voir la table ci-dessous",
"clientAuthScheme": "Voir la table ci-dessous"
},
"<AuthorizationServerId2>": {
"clientId": "Voir la table ci-dessous",
"clientSecret": "Voir la table ci-dessous",
"authorizeUri": "Voir la table ci-dessous",
"tokenUri": "Voir la table ci-dessous",
"clientAuthScheme": "Voir la table ci-dessous"
"mandatoryScopes": "Voir la table ci-dessous"
},
"OIDCSettings": {
"accessTokenClaimsValidation":"Voir la table ci-dessous",
"additionalScopes": "Voir la table ci-dessous",
"assertionUserNameAttributeName": "Voir la table ci-dessous",
"clientId": "Voir la table ci-dessous",
"clientSecret": "Voir la table ci-dessous",
"openIdConfigurationUri": "Voir la table ci-dessous",
"proxyAuthentication": "Voir la table ci-dessous",
"useAccessTokenClaims": "Voir la table ci-dessous"
},
"AzureSettings": {
"apiEndPoint": "Voir la table ci-dessous"
}
}
 |
Assurez-vous de modifier la valeur de chaque paramètre par rapport à vos besoins. Votre implémentation peut varier en fonction de plusieurs facteurs, par exemple l'endroit où ThingWorx est hébergé, les politiques de sécurité de votre organisation ainsi que le serveur d'autorisation central (CAS) de votre fédération. Reportez-vous aux informations des tables suivantes pour vous aider à définir la valeur de chaque paramètre.
|
La table suivante décrit les paramètres et les valeurs par défaut de la section BasicSettings du fichier sso-settings.json :
|
Paramètre
|
Description
|
Valeur
|
||
|---|---|---|---|---|
|
clientBaseUrl
|
Spécifie l'URL de l'instance du serveur ThingWorx.
Fournissez le nom de domaine complet ThingWorx du serveur (FQDN).
Si vous avez configuré ThingWorx pour fonctionner dans un environnement haute disponibilité, spécifiez l'hôte et le port de l'équilibreur de charge.
|
http://<FQDN ThingWorx>:<port-number>/Thingworx
OU
Dans un environnement haute disponibilité, https://<nom-hôte équilibreur de charge>:<numéro-port équilibreur de charge>/Thingworx
|
||
|
idpMetadataFilePath
|
Obligatoire pour l'authentification SAML uniquement. Spécifie le chemin d'accès absolu au fichier de métadonnées IdP.
|
/ThingworxPlatform/ssoSecurityConfig/sso-idp-metadata.xml
|
||
|
metadataEntityId
|
Obligatoire pour l'authentification SAML uniquement. Spécifie l'ID d'entité de connexion du fournisseur de services.
• PingFederate en tant que CAS : utilisez l'ID unique que vous avez choisi lors de la configuration de la connexion du fournisseur de services.
• Microsoft Entra ID en tant que CAS : utilisez l'identificateur Identifier (Entitity ID) que vous avez défini lors de la configuration des paramètres SAML de base.
• AD FS en tant que CAS : utilisez l'identificateur Relying party trust identifier que vous avez défini lors de la configuration des paramètres d'approbation de partie de confiance.
|
—
|
||
|
metadataEntityBaseUrl
|
Obligatoire pour l'authentification SAML uniquement. Spécifie le nom de domaine complet du serveur ThingWorx.
Si vous avez configuré ThingWorx pour fonctionner dans un environnement haute disponibilité, spécifiez l'hôte et le port de l'équilibreur de charge.
|
http://<FQDN ThingWorx>:<port-number>/Thingworx
OU
Dans un environnement haute disponibilité, https://<nom-hôte équilibreur de charge>:<numéro-port équilibreur de charge>/Thingworx
|
||
|
webSSOProfileConsumerResponseSkew
|
Spécifie la tolérance de différence de la réponse du service consommateur d'assertions SSO Web SAML 2.0.
Lorsque vous définissez cette valeur, prenez en considération vos propres exigences de sécurité ainsi que la latence dans votre réseau d'entreprise.
Utilisez ce paramètre pour définir le délai autorisé (en secondes) pour que le CAS renvoie à ThingWorx une réponse à la requête de connexion. Si le délai de réponse à la requête de connexion est supérieur à la valeur définie, la tentative de connexion échouera.
La tolérance de différence désigne la déviation dans la validité de réponse que le destinataire autorise en raison de différences présumées entre les horloges système. Il est recommandé de limiter les effets liés à cette différence en s'assurant que les horloges de chaque système sont correctement synchronisées.
|
300
|
||
|
webSSOProfileConsumerReleaseDOM
|
Détermine si l'infrastructure de sécurité conserve l'assertion SAML une fois l'authentification effectuée.
Si ce paramètre est défini sur faux, l'assertion SAML est conservée une fois l'authentification effectuée.
|
vrai
|
||
|
webSSOProfileResponseSkew
|
Spécifie la tolérance de différence de la réponse du profil SSO Web SAML 2.0.
Lorsque vous définissez cette valeur, prenez en considération vos propres exigences de sécurité ainsi que la latence dans votre réseau d'entreprise.
La tolérance de différence désigne la déviation dans la validité de réponse que le destinataire autorise en raison de différences présumées entre les horloges système. Il est recommandé de limiter les effets liés à cette différence en s'assurant que les horloges de chaque système sont correctement synchronisées.
|
300
|
||
|
retriggerOnScopesRemoval
|
Spécifie si la liste des étendues requises a changé et doit être actualisée.
vrai indique qu'une étendue a été ajoutée ou supprimée de la liste des étendues requises.
faux signifie qu'une étendue a été ajoutée à la liste des étendues requises.
|
vrai
|
||
|
samlAssertionUserNameAttributeName
|
Obligatoire pour l'authentification SAML uniquement. Spécifie l'attribut SAML pour lequel est définie la valeur qui stocke les noms des utilisateurs ThingWorx lorsqu'ils se connectent. Assurez-vous que la valeur de cet attribut dans le fournisseur d'identité correspond aux valeurs que vous prévoyez d'utiliser en tant que noms d'utilisateur ThingWorx.
|
• PingFederate ou Microsoft Entra ID en tant que CAS :
uid
• AD FS en tant que CAS :
http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
|
||
|
samlAssertionMaxAuthenticationAge
|
Obligatoire pour l'authentification SAML uniquement. Spécifie la durée maximale (en secondes) de l'assertion SAML 2.0 avant son expiration. Ce paramètre spécifie également la durée de session maximale d'une assertion d'authentification.
Définissez la valeur afin qu'elle corresponde à la valeur d'expiration de session spécifiée dans le fournisseur d'identité. Cette valeur varie en fonction de l'IdP utilisé.
|
• PingFederate en tant que CAS avec IdP LDAP (Windchill) : 7200 (valeur par défaut)
• AD FS en tant qu'IdP (avec AD FS ou PingFederate en tant que CAS) : 28800
• Microsoft Entra ID en tant qu'IdP (avec Microsoft Entra ID ou PingFederate en tant que CAS) : 86400
|
||
|
ptcOperatorsGroupName
|
Facultatif.
Définissez ce paramètre pour configurer l'intégration automatique d'un groupe (tel que défini dans l'IdP) au groupe d'administrateurs ThingWorx.
|
|||
|
administratorAlias
|
Obligatoire pour l'authentification OIDC.
|
Nom d'utilisateur de l'administrateur tel qu'il est configuré dans le CAS[IDP].
|
||
|
administratorInternalName
|
Obligatoire si administratorAlias est défini.
|
Nom d'utilisateur de l'administrateur tel qu'il est configuré dans ThingWorx. Par exemple, Administrator.
|
||
|
samlGroupClaimName
|
Facultatif, mais obligatoire pour l'authentification SAML uniquement.
Ce paramètre n'est pertinent que si ptcOperatorsGroupName est défini.
Entrez le IDP SAML Group Claim Name configuré dans le CAS pour terminer l'automatisation de ce groupe dans l'authentificateur SSO ThingWorx. Pour plus d'informations, consultez la rubrique ThingworxSSOAuthenticator.
|
Exemples :
Pour le CAS PingFederate : groupe
Pour le CAS ADFS : http://schemas.xmlsoap.org/claims/Group
Pour le CAS Microsoft Entra ID : http://schemas.microsoft.com/ws/2008/06/identity/claims/groups
|
||
|
authnContextAsPassword
|
Facultatif. Dans quelques rares cas, l'IdP vous demande d'introduire l'assertion suivante dans la requête SAML.
<saml2p:RequestedAuthnContext Comparison="exact">
<saml2:AuthnContextClassRef xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"> urn:oasis:names:tc:SAML:2.0:ac:classes:Password </saml2:AuthnContextClassRef> </saml2p:RequestedAuthnContext> Dans ce cas, vous devez définir cette propriété.
|
faux
|
||
|
authenticationType
|
Facultatif. Type d'authentification : oidc/saml. Valeur par défaut = saml
|
Non obligatoire pour PingFederate et ADFS (saml est la valeur par défaut)
Pour Microsoft Entra ID : saml/oidc
Pour Azure AD B2C et Atlas IAM : oidc
|
|
|
Si vous souhaitez activer l'authentificateur de clé d'application lorsque l'authentification SSO est activée, vous devez ajouter la section de configuration ApplicationKeySettings aux paramètres sso-settings.json dans BasicSettings. Cela n'est nécessaire que si vous souhaitez utiliser des clés d'application pour l'authentification au moyen de requêtes API REST. Que ce paramètre soit ou non activé, les clés d'application demeurent utilisables par les périphériques Edge via des WebSockets.
{
"BasicSettings": { ... }, "ApplicationKeySettings": { "enabled": true }, ... } |
Les tables suivantes décrivent les paramètres et les valeurs par défaut de la section AccessTokenPersistenceSettings du fichier sso-settings.json :
|
Paramètre
|
Description
|
Valeur
|
|---|---|---|
|
dbType
|
Spécifie le type de la base de données configurée et utilisée pour l'installation d'ThingWorx.
• Pour utiliser la même base de données que celle définie dans le fichier platform-settings.json, spécifiez la même information de type de base de données et les mêmes informations d'identification que celles figurant dans platform-settings.json.
|
postgres
|
|
mssql
|
||
|
driverClassName
|
Spécifie le nom de classe de pilote utilisé dans le fichier platform-settings.json.
|
Lorsque dbType est défini sur postgres, définissez ce paramètre sur org.postgresql.Driver.
|
|
Lorsque dbType est défini sur mssql, définissez ce paramètre sur com.microsoft.sqlserver.jdbc.SQLServerDriver.
|
||
|
url
|
Spécifie l'URL vers l'emplacement de la base de données pour votre installation d'ThingWorx.
|
Lorsque dbType est défini sur postgres, définissez ce paramètre sur jdbc:postgresql://<nom d'hôte>:<port>/thingworx.
|
|
Lorsque dbType est défini sur mssql, définissez ce paramètre sur jdbc:sqlserver://<nom d'hôte>:<port>;databaseName=thingworx;applicationName=Thingworx.
|
||
|
username
|
Spécifie le nom d'utilisateur de la base de données que votre système utilise pour stocker les jetons d'accès. Il doit correspondre au nom d'utilisateur spécifié dans le fichier platform-settings.json.
|
—
|
|
password
|
Spécifie le mot de passe de la base de données que votre système utilise pour stocker les jetons d'accès. Il doit correspondre au mot de passe spécifié dans le fichier platform-settings.json.
|
—
|
|
encryptTokenInDatabase
|
Définissez ce paramètre sur vrai pour chiffrer le jeton d'accès avant de le rendre persistant dans la base de données.
|
vrai
|
Selon la valeur de dbType, les jetons d'accès OAuth 2.0 (autorisations d'accès) sont stockés à des emplacements différents. La table suivante fournit des informations sur l'emplacement de stockage des autorisations d'accès dans la base de données :
|
dbType
|
Emplacement de stockage des autorisations d'accès dans la base de données
|
|---|---|
|
postgres
|
Dans la table oauth_client_token de la base de données PostgreSQL ThingWorx
|
|
mssql
|
Dans la table oauth_client_token de la base de données MS SQL ThingWorx
|
La table suivante décrit les paramètres et les valeurs par défaut de la section KeyManagerSettings du fichier sso-settings.json :
|
Paramètre
|
Description
|
Valeur
|
||
|---|---|---|---|---|
|
keyStoreFilePath
|
Spécifie le chemin d'accès absolu au KeyStore. En fonction de votre environnement, modifiez le chemin d'accès de façon à utiliser le répertoire d'enregistrement de votre fichier KeyStore.
|
Sous Windows : <lecteur>:\\ThingworxPlatform\\ssoSecurityConfig\\sso-keystore.jks
où <lecteur> spécifie le lecteur d'installation d'ThingWorx.
Pour Linux : <chemin complet>/ThingworxPlatform/ssoSecurityConfig/sso-keystore.jks
|
||
|
keyStoreStorePass
|
Spécifie le mot de passe du KeyStore.
|
—
|
||
|
keyStoreKey
|
Spécifie la clé par défaut.
|
—
|
||
|
keyStoreKeyPass
|
Spécifie le mot de passe utilisé pour accéder aux clés privées.
|
—
|
La table suivante décrit les paramètres et les valeurs par défaut de la section AuthorizationServersSettings du fichier sso-settings.json :
|
|
Les paramètres AuthorizationServersSettings peuvent contenir les informations de plusieurs serveurs d'autorisation. Chaque serveur est identifié par un identificateur unique dans le fichier sso-settings.json.
|
|
Paramètre
|
Description
|
Valeur
|
||
|---|---|---|---|---|
|
<IDServeurAutorisation1>.clientId
|
Spécifie l'identificateur client à utiliser lors de l'obtention de jetons d'accès auprès du serveur d'autorisation.
|
—
|
||
|
<IDServeurAutorisation1>.clientSecret
|
Spécifie les informations d'identification client utilisées pour l'authentification auprès du serveur d'autorisation.
Définissez l'URL complète du serveur DNS sur le réseau.
|
—
|
||
|
<IDServeurAutorisation1>.authorizeUri
|
Spécifie l'URI vers lequel l'utilisateur doit être redirigé pour autoriser un jeton d'accès.
|
• PingFederate en tant que CAS :
https://<nom-hôte-PingFederate>:<Numéro-Port-PingFederate>/as/authorization.oauth2
• Microsoft Entra ID en tant que CAS : consultez la rubrique Mise à jour des fichiers de configuration ThingWorx dans la documentation Microsoft Entra ID sur les autorisations.
• AD FS en tant que CAS : consultez Update the ThingWorx Configuration Files dans la documentation AD FS sur les autorisations.
|
||
|
<IDServeurAutorisation1>.tokenUri
|
Spécifie l'URI à utiliser pour obtenir un jeton d'accès OAuth2.
Définissez l'URL complète du serveur DNS sur le réseau.
|
https://<nom-hôte-PingFederate>:<Numéro-Port-PingFederate>/as/token.oauth2
|
||
|
<IDServeurAutorisation1>.clientAuthScheme
|
Spécifie le schéma à utiliser pour authentifier le client. Les valeurs autorisées sont les suivantes :
• form
• header
• query
• Aucune
|
form
|
||
|
<IDServeurAutorisation1>.mandatoryScopes
|
Facultatif pour les CAS autres que Microsoft Entra ID et ADFS. Cette étendue est automatiquement ajoutée à tout jeton d'accès demandé lorsque ce paramètre est défini.
|
Obligatoire pour Microsoft Entra ID en tant que CAS. La valeur requise est "offline_access".
Obligatoire pour ADFS : n'importe quelle valeur, sauf celles qui sont définies dans la liste des étendues du serveur ADFS.
|
La table suivante décrit les paramètres et les valeurs par défaut de la section OIDCSettings du fichier sso-settings.json. Cette section n'est requise que si le type d'authentification est OIDC.
|
Paramètre
|
Description
|
Valeur
|
|---|---|---|
|
openIdConfigurationUri
|
Obligatoire
Il s'agit de l'URI pour les métadonnées du serveur OpenID.
Elle est généralement publiée à une URL bien connue.
|
|
|
clientId
|
Spécifie l'identificateur client à utiliser lors de l'obtention de jetons d'accès auprès du serveur d'autorisation.
|
|
|
clientSecret
|
Spécifie les informations d'identification client utilisées pour l'authentification auprès du serveur d'autorisation.
|
|
|
additionalScopes
|
Facultatif
Chaîne séparée par des virgules avec des étendues supplémentaires pour l'autorisation oidc
|
|
|
assertionUserNameAttributeName
|
Spécifie la réclamation openId pour laquelle est définie la valeur qui stocke les noms des utilisateurs ThingWorx lorsqu'ils se connectent. Assurez-vous que la valeur de cet attribut dans le fournisseur d'identité correspond aux valeurs que vous prévoyez d'utiliser en tant que noms d'utilisateur ThingWorx.
Pour Azure AD B2C, assurez-vous que la valeur de cet attribut est unique parmi tous les fournisseurs d'identité.
|
|
|
accessTokenClaimsValidation
|
Facultatif
Spécifie l'existence des réclamations de jeton d'accès et la validation de valeur de réclamation.
L'entrée est une chaîne JSON simple où chaque propriété est un nom de réclamation obligatoire et la valeur est la valeur de réclamation requise. Si aucune valeur n'est fournie (chaîne vide), seule l'existence du nom de la revendication sera validé.
|
|
|
useAccessTokenClaims
|
Facultatif
Spécifie s'il convient de récupérer les réclamations de jeton d'accès pour le mappage d'extension utilisateur.
Définissez cette propriété sur "vrai" uniquement si les conditions suivantes sont remplies :
• Le jeton d'accès contient des réclamations qui ne sont pas incluses dans le jeton openid et sont requises pour l'extension utilisateur.
• Pour Azure AD B2C, si vous souhaitez récupérer des informations sur le groupe d'utilisateurs à l'aide d'AzureSettings.apiEndPoint.
|
vrai/faux
|
|
authorizeUriAdditionalParameters
|
Facultatif
Paramètres supplémentaires d'authentification OIDC.
|
La table suivante décrit les paramètres et les valeurs par défaut de la section AzureSettings du fichier sso-settings.json. Cette section n'est requise que pour la configuration d'Azure Entra ID avec OIDC.
|
Paramètre
|
Description
|
Valeur
|
||
|---|---|---|---|---|
|
apiEndPoint
|
Facultatif
Point de terminaison de graphe Azure
Obligatoire uniquement pour la récupération des informations sur le groupe (si le jeton openid/access ne contient pas de réclamation de groupe)
|