Création de connexions PingFederate
Dans PingFederate, créez les points de terminaison client auxquels les applications de votre solution SSO se connectent pour obtenir ou vérifier les jetons d'accès ou authentifier les utilisateurs. Il est recommandé de créer un client distinct pour chaque rôle qu'une application remplira dans votre solution d'authentification unique. Vous pouvez ainsi définir avec précision les paramètres du client pour un rôle spécifique.
Pour l'authentification unique ThingWorx, les clients suivants doivent être créés dans PingFederate :
• Connexion de type fournisseur de services (SP) pour ThingWorx en tant que fournisseur de services
• Client OAuth pour ThingWorx en tant que fournisseur de services
Pour en savoir plus sur la création et la configuration des connexions PingFederate, reportez-vous à la documentation de PingFederate ou contactez le support client PingIdentity. Les procédures suivantes contiennent des paramètres requis pour l'authentification SSO ThingWorx. D'autres paramètres peuvent cependant être requis pour la solution d'authentification unique de votre entreprise.
Connexion de type fournisseur de services (SP) pour ThingWorx en tant que fournisseur de services
Cette connexion est utilisée pour l'authentification SAML. ThingWorx dirige vers PingFederate les requêtes de connexion de l'utilisateur.
1. Sur la page IDP Configuration, sélectionnez SP Connections, puis cliquez sur Create New.
2. Dans la section Connection Type, sélectionnez l'option Browser SSO Profiles pour spécifier le protocole SAML 2.0.
3. Dans la section Connection Options, sélectionnez Browser SSO.
4. Dans la section General Info, effectuez les opérations suivantes :
a. Définissez Partner's Entity ID (Connection ID) sur une valeur unique. Notez cet ID car il sera requis lors de la configuration du fichier sso-settings.json.
b. Fournissez un nom descriptif dans le champ Connection Name. Il s'agit du nom qui est affiché dans la liste des connexions de type SP.
c. Définissez Base URL sur l'URL d'hébergement du fournisseur de services de votre application Web (ThingWorx).
5. Dans la section Protocol Settings, définissez Assertion Consumer Service URL Endpoint sur URL:/Thingworx/saml/SSO.
6. Dans la section Credentials, définissez Digital Signature Settings sur Selected Certificate.
7. Dans la section Signature Verification, ajoutez un certificat pour les éléments suivants :
◦ Signature Verification Certificate: Selected Certificate
◦ Signature Verification Certificate: Selected Encryption Certificate
◦ Select XML Encryption Certificate: Selected Encryption Certificate
8. Confirmez que le nouveau fournisseur de services est actif. Affichez la connexion SP. Un indicateur de bouton d'option en haut de la page Activation & Summary doit être défini sur Active.
9. Cliquez sur Enregistrer.
PingFederate utilise un mécanisme appelé contrat de règlement pour relier les connexions entre les fournisseurs de services et le fournisseur d'identité sur lequel repose PingFederate. Vous devrez créer un contrat de règlement pour cette connexion de type fournisseur de services. Lorsque vous procèderez, listez les attributs devant être échangés dans les assertions SAML.
Pour plus d'informations, consultez la rubrique
Configuration manuelle de l'authentification pour les IdP tiers du Centre d'aide Gestion des identités et des accès PTC.
Client OAuth pour ThingWorx en tant que fournisseur de services
Le client OAuth constitue un point de connexion permettant à PingFederate de fournir les jetons d'accès à ThingWorx. ThingWorx utilise ces jetons d'accès pour demander auprès des serveurs de ressources l'accès aux ressources protégées par OAuth.
Pour créer et configurer un client OAuth pour
ThingWorx en tant que fournisseur de services, consultez la rubrique
Création d'une connexion client OAuth pour ThingWorx du Centre d'aide Gestion des identités et des accès PTC.