Distribuzione di autenticazione di ThingWorx
In questa sezione vengono esaminate le soluzioni di autenticazione disponibili per le implementazioni di ThingWorx.
Tra le soluzioni figurano l'autenticazione predefinita, l'autenticazione tramite LDAP (Lightweight Directory Access Protocol) aziendale o Active Directory e l'autenticazione tramite una configurazione SSO (Single Sign-On).
Componenti
• Servizio di elenco - Gestisce l'elenco degli utenti di un'azienda e le relative credenziali di autenticazione e autorizzazione. Active Directory di Microsoft, OpenLDAP e Apache Directory Server sono implementazioni comuni dei servizi di elenco.
• Server di autenticazione centralizzata (CAS) - Strumento di terze parti che gestisce l'autenticazione degli utenti in una federazione per consentire a questi ultimi di accedere ai dati da più applicazioni eseguendo l'accesso solo una volta. PTC supporta una configurazione di PingFederate in questo ruolo.
PingFederate è un prodotto di terze parti fornito da PTC nell'ambito della soluzione SSO. Funge da server di autorizzazione che facilita lo scambio di condizioni SAML e token di accesso OAuth.
• Provider di identificativi (IdP) - Strumento di terze parti che gestisce i dati identificativi dell'utente e fornisce le informazioni sull'utente. Un IdP può essere un sistema di gestione degli utenti o una directory attiva che archivia i nomi utente, le password e altre credenziali. Il server CAS fa riferimento all'IdP durante l'autenticazione di un utente.
• Provider di servizi - Applicazione attraverso la quale vengono richieste le informazioni protette. In genere si tratta del server ThingWorx.
• Server di risorse - Applicazione in cui vengono mantenute le informazioni protette. Può essere ThingWorx o un'altra applicazione come Windchill.
Riferimenti
• Autenticatori - Meccanismi di autenticazione all'interno di ThingWorx.
• Autenticazione tramite i servizi di elenco - Configurare ThingWorx per l'autenticazione tramite un servizio di elenco.
• Autenticazione tramite Single Sign-On - Configurare ThingWorx per l'uso dell'autenticazione SAML e dell'autorizzazione delegata OAuth.
Architettura dell'autenticazione di base
L'autenticazione di base per ThingWorx utilizza la metodologia di autenticazione di base HTTP standard implementata dal contenitore del servlet Tomcat.
Da una prospettiva di distribuzione non esistono ulteriori requisiti per i componenti hardware o software. Tuttavia si tratta della forma di autenticazione supportata meno sicura.
Elenco dei componenti | Numero di componenti |
|---|---|
Server ThingWorx Foundation | 1 |
Database | 1 |
Architettura per l'autenticazione tramite LDAP
Un'altra distribuzione di autenticazione comune consiste nell'utilizzare il server LDAP di un'azienda come origine di autenticazione.
In questo caso ThingWorx è configurato per la connessione al server LDAP per i task di autorizzazione e autenticazione.
Elenco dei componenti | Numero di componenti |
|---|---|
Server ThingWorx Foundation | 1 |
Database | 1 |
Server LDAP | 1 |
Architettura per l'autenticazione tramite SSO mediante PingFederate
ThingWorx 9.0 prevede un'integrazione con PingFederate, che può quindi essere configurato per fornire uno schema di autenticazione Single Sign-On in più sistemi software.
Nel diagramma riportato di seguito viene descritto un sistema PingFederate nella configurazione a disponibilità elevata:
Elenco dei componenti | Numero di componenti |
|---|---|
Server ThingWorx Foundation | 1 |
Database ThingWorx | 1 |
Server PingFederate | 1 |
Servizio del provider di identificativi (IdP) | 1 |
Directory server (LDAP) | 1 |