プロビジョニングの方法
Active Directory プロビジョニング
Active Directory による固定認証を使用する場合は、ディレクトリサービスからユーザープロビジョニングを設定します。詳細については、
Active Directory でのユーザーの管理を参照してください。
ThingWorx SSO 認証システムのプロビジョニング
ThingworxSSOAuthenticator によってシングルサインオン (SSO) 認証を有効にした場合、プロビジョニングが自動的に有効になります。ユーザー属性は、ThingWorx と ID プロバイダの間でブローカーとして機能する、PingFederate などの認証サーバーから取得されます。ユーザーが ThingWorx にログインするときにユーザーアカウントが作成され (ThingWorx にまだ存在しない場合)、更新されるので、これは「ジャストインタイム」プロビジョニングと考えられます。ユーザー属性は、認証に使用される ID プロバイダ応答に含まれます。IdP 管理者の協力を得てユーザーについて把握し、ThingWorx のユーザーアカウントがログインイベント時に更新されることを確認します。初期状態では、ThingWorx はユーザーの作成にユーザー名属性のみを使用します。使用する追加の属性はすべて、ID プロバイダ応答に渡された後、ユーザー拡張機能プロパティにマップされるように、認証サーバー内で設定する必要があります。
この方法で使用されるプロビジョニング設定を管理するために、追加のコンフィギュレーションが必要です。詳細については、
シングルサインオン認証を参照してください。
ThingWorx では、ThingworxSSOAuthenticator プロビジョニングはユーザーアカウントの作成と更新のみに使用でき、削除はできません。
Microsoft Entra ID を使用して SSO 機能を実装する場合、PTC の ID とアクセスの管理のヘルプセンターで
「CAS および IdP としての Microsoft Entra ID」を参照してください。
Azure AD B2C を使用して SSO 機能を実装する場合、PTC の ID とアクセスの管理のヘルプセンターで
「CAS としての Azure AD B2C」を参照してください。
AD FS を使用して SSO 機能を実装する場合、PTC の ID とアクセスの管理のヘルプセンターで
「CAS および IdP としての AD FS」を参照してください。
SCIM プロビジョニング
SCIM は、自動的に ID プロバイダ内のユーザーアカウントの変更を同期して、ThingWorx 内のユーザーアカウントにプッシュする方法です。SSO 認証で設定されている SAML/OIDC プロビジョニング設定を補完するために、SCIM プロビジョニングを有効にできます。SCIM プロビジョニングは、手動で有効にすることも、もしくは SSO 認証とは関係なく有効にすることもできます。SAML/OIDC プロビジョニングの場合に行われるユーザーアカウントのジャストインタイム更新の代わりに、SCIM による自動化では、ID プロバイダ内のユーザーアカウントの変更に基づいて、ユーザーアカウントの変更が ThingWorx に自動的にプロビジョニングされます。
SCIM プロビジョニングを設定するには、以下のトピックを参照してください。
SCIM プロビジョニングと SSO プロビジョニングの両方の使用
SSO プロビジョニング (SAML または OIDC に準拠) と SCIM プロビジョニングの両方を使用する場合は、両方のコンフィギュレーションがユーザー属性を論理的に使用するように調整されている必要があります。たとえば、ThingWorx グループと IdP グループが、ThingworxSSOAuthenticator と SCIM サブシステム内で同じようにマッピングされていることを確認します。IdP 内でユーザーが属するグループが SCIM サブシステムと ThingworxSSOAuthenticator 内で別々の ThingWorx グループにマッピングされている場合は、SCIM プロビジョニングまたは SAML プロビジョニングに基づいてユーザーアカウントが更新されるときに、これらは別々の ThingWorx グループに追加されます。
SCIM 1.1 スキーマリソースタイプにマッピングされている ThingWorx ユーザー拡張機能プロパティのリストについては、
データストアへのチャネルの作成を参照してください。ThingworxSSOAuthenticator で SAML/OIDC プロビジョニングを設定する際に、「ユーザー拡張機能 - プロビジョン名」テーブルでは、SAML 属性から渡されるユーザーメタデータ値が ThingWorx ユーザー拡張機能プロパティにマッピングされます。SCIM プロビジョニングと SAML プロビジョニングの両方を使用する場合は、IdP から取得する各ユーザーメタデータ値に対して、ThingworxSSOAuthenticator の「ユーザー拡張機能 - プロビジョン名」テーブルで対応する SMAL 属性マッピングが設定されていることを確認する必要があります。ユーザー拡張機能メタデータが ThingworxSSOAuthenticator にマッピングされていない場合は、ユーザーがログインして SAML プロビジョニングが行われるときに、そのユーザー拡張機能の値が消去されます。これは、SAML アサーションからそのユーザー拡張機能の値が取得されないためです。
以下の該当するセクションを使用して、CAS でプロビジョニング対象として設定した属性と一致するように ThingWorx UserExtension オブジェクトを設定します。
PingFederate が CAS の場合
1. IdP 管理者の協力を得て、
データストアへのチャネルの作成に示されている SCIM 1.1 スキーマリソースタイプごとに、どのユーザーメタデータが返されるか確認します。
2. PingFederate 管理者と調整して、ユーザーのログイン時に ThingWorx に返されるアサーションに含まれるものと同じユーザーメタデータが、SAML 属性にマッピングされるようにします。
3. ThingworxSSOAuthenticator の「ユーザー拡張機能 - プロビジョン名」テーブルを設定して、適切な SAML アサーション値を、対応する SCIM スキーマリソースタイプからプロビジョニングされた、対応するユーザー拡張機能プロパティにマッピングします。
Microsoft Entra ID が CAS と IdP の両方である場合
Microsoft Entra ID でユーザー属性をリストするには、エンタープライズアプリケーションを選択し、 > > > に移動します。詳細については、
ThingWorx から SCIM へのマッピングのテーブルを参照してください。
ThingWorx で
ThingWorx にプロビジョニングする、IdP に保存されている各ユーザー属性が、CAS でプロビジョニング対象としてリストされていることを確認します。