Metodi di provisioning
Provisioning di Active Directory
Se si utilizza l'autenticazione fissa con Active Directory, è possibile configurare il provisioning utente dal servizio di elenco. Per ulteriori informazioni, vedere Gestione di utenti in Active Directory.
Provisioning dell'autenticatore SSO ThingWorx
Se è stata attivata l'autenticazione Single Sign-On (SSO) tramite ThingworxSSOAuthenticator, il provisioning viene attivato automaticamente. Gli attributi utente vengono richiamati dal server di autorizzazione (ad esempio, PingFederate) che funge da broker tra ThingWorx e il provider di identificativi. Viene considerato come provisioning "just-in-time" (JIN), in quanto gli account utente vengono creati (se non sono già esistenti in ThingWorx) e aggiornati quando un utente accede a ThingWorx. Gli attributi utente sono inclusi nella risposta del provider di identificativi utilizzata per l'autenticazione. Collaborare con l'amministratore IdP per il riconoscimento dell'utente e per garantire l'aggiornamento dell'account utente in ThingWorx al momento dell'evento di accesso. Per default, ThingWorx utilizza solo l'attributo nome utente per creare l'utente. Tutti gli attributi aggiuntivi da utilizzare devono essere configurati sul server di autorizzazione in modo da poter essere trasmessi nella risposta del provider di identificativi e quindi mappati alle proprietà delle estensioni utente.
È richiesta una configurazione aggiuntiva per gestire le impostazioni di provisioning utilizzate con questo metodo. Per ulteriori informazioni, vedere Autenticazione Single Sign-On.
In ThingWorx il provisioning ThingworxSSOAuthenticator può essere utilizzato solo per creare e aggiornare account utente, non per eliminare.
Se si utilizza Microsoft Entra ID per implementare le funzionalità SSO, vedere l'argomento relativo a Microsoft Entra ID come CAS e IdP nell'Help Center per la gestione di identificativi e accessi PTC.
Se si utilizza Azure AD B2C per implementare le funzionalità SSO, vedere l'argomento Azure AD B2C come CAS nell'Help Center per la gestione di identificativi e accessi PTC.
Se si utilizza AD FS per implementare le funzionalità SSO, vedere l'argomento relativo ad AD FS come CAS e IdP nell'Help Center per la gestione di identificativi e accessi PTC.
Provisioning SCIM
SCIM è un metodo automatizzato che sincronizza le modifiche agli account utente nel provider di identificativi da inserire negli account utente in ThingWorx. È possibile attivare il provisioning SCIM per completare le impostazioni di provisioning SAML/OIDC configurate con l'autenticazione SSO. È possibile attivare anche il provisioning SCIM o attivarlo indipendentemente dall'autenticazione SSO. A differenza del provisioning SAML/OIDC che comporta aggiornamenti JIT agli account utente, con l'automazione SCIM le modifiche agli account utente vengono sottoposte a provisioning automatico in ThingWorx in base alle modifiche agli account utente eseguite nel provider di identificativi.
Per configurare il provisioning SCIM, fare riferimento agli argomenti seguenti:
SCIM
Utilizzo del provisioning sia SCIM sia SSO
Se si utilizza il provisioning sia SSO (con SAML o OIDC) sia SCIM, le configurazioni per entrambi devono essere allineate in modo che utilizzino gli attributi utente in modo logico. Ad esempio verificare che i gruppi dell'IdP e ThingWorx siano mappati allo stesso modo di come accade in ThingworxSSOAuthenticator e nel sottosistema SCIM. Se un gruppo a cui appartiene un utente nell'IdP è mappato a gruppi ThingWorx diversi nel sottosistema SCIM e in ThingworxSSOAuthenticator, quando l'account utente viene aggiornato in base al provisioning SCIM o SAML, l'utente può essere aggiunto a gruppi ThingWorx differenti.
Per un elenco delle proprietà delle estensioni utente ThingWorx mappate ai tipi di risorsa dello schema SCIM 1.1, fare riferimento a Creare un canale nell'archivio dati. Durante la configurazione del provisioning SAML/OIDC in ThingworxSSOAuthenticator, la tabella Estensione utente per nomi provisioning mappa i valori di metadati utente trasmessi dagli attributi SAML alle proprietà delle estensioni utente di ThingWorx. Quando si utilizza il provisioning sia SAML sia SCIM, è necessario verificare per ciascuno dei valori di metadati utente recuperati dall'IdP che nella tabella Estensione utente per nomi provisioning di ThingworxSSOAuthenticator sia presente una mappatura di attributi SAML corrispondente configurata. Se i metadati dell'estensione utente non sono mappati in ThingworxSSOAuthenticator, quando l'utente accede e si verifica il provisioning SAML, il valore di quell'estensione utente viene cancellato in quanto per tale estensione utente non viene recuperato nessun valore dalla condizione SAML.
Utilizzando le sezioni appropriate che seguono, configurare l'oggetto ThingWorx UserExtension in modo che corrisponda agli attributi configurati nel CAS da sottoporre a provisioning.
Se PingFederate è il CAS
1. Collaborare con l'amministratore IdP per comprendere quali metadati utente vengono restituiti per ogni tipo di risorsa dello schema SCIM 1.1 elencato in Creare un canale nell'archivio dati.
2. Coordinarsi con il proprio amministratore PingFederate per accertarsi che agli attributi SAML siano mappati gli stessi metadati utente inclusi nella condizione restituita a ThingWorx quando un utente effettua l'accesso.
3. Configurare la tabella Estensione utente per nomi provisioning di ThingworxSSOAuthenticator in modo che sia mappato il valore di condizione SAML appropriato alle proprietà delle estensioni utente corrispondenti sottoposte a provisioning dal tipo di risorsa dello schema SCIM corrispondente.
Quando Microsoft Entra ID è sia il CAS che l'IdP
Per elencare gli attributi utente in Microsoft Entra ID, selezionare l'applicazione aziendale e passare a Provisioning > Mappings > Provision Azure Active Directory Users > Attribute Mapping. Per ulteriori informazioni, vedere la tabella Mappature tra ThingWorx e SCIM.
In ThingWorx
Assicurarsi che ciascuno degli attributi utente memorizzati nell'IdP di cui si desidera eseguire il provisioning in ThingWorx sia presente nell'elenco degli attributi da sottoporre a provisioning in CAS.
È stato utile?