La solution SSO de la plateforme de produits PTC utilise PingFederate en tant que serveur d'autorisation central (CAS) pour gérer les produits avec authentification unique. Un utilisateur peut ainsi accéder aux données depuis son application et les utiliser dans sa session dans ThingWorx.

Dans l'architecture d'authentification unique d'ThingWorx, ThingWorx envoie des requêtes SAML pour authentifier l'utilisateur auprès du CAS. Ce dernier redirige ensuite la requête d'authentification vers le fournisseur d'identité (IdP) de votre entreprise, lequel vérifie l'authenticité des informations d'identification de l'utilisateur. Lors de cette transaction SAML, le CAS ne gère pas les informations d'identification de l'utilisateur. Le fournisseur IdP envoie au CAS une assertion SAML confirmant la validité des informations d'identification de l'utilisateur. Le CAS envoie alors une assertion à ThingWorx autorisant la connexion de l'utilisateur.

Le CAS gère également la relation d'approbation entre ThingWorx et les serveurs de ressources auprès desquels ThingWorx récupère des données. Le CAS génère des jetons d'accès qu'ThingWorx inclut dans ses requêtes de données transmises aux fournisseurs de ressources. Les serveurs de ressources s'appuient sur le CAS pour vérifier l'authenticité des jetons d'accès. Ce processus est appelé "autorisation déléguée" car l'utilisateur autorise ThingWorx à récupérer ses données auprès d'un serveur de ressources. Les jetons d'accès échangés entre ThingWorx, PingFederate et d'autres produits PTC utilisent le protocole OAuth.

Avant d'aller plus loin, prenez connaissance des informations disponibles dans le Centre d'aide Gestion des identités et des accès PTC. Ce Centre d'aide donne une vue d'ensemble de l'authentification unique, définit la terminologie associée et fournit des informations détaillées sur l'installation, la mise à niveau et la configuration de PingFederate. Il donne également des exemples de configurations de l'authentification unique, notamment pour les scénarios suivants :