中央認証サーバーおよび ID プロバイダとして Microsoft Entra ID を使用
 |
ThingWorx をアップグレードし、CAS として Microsoft Entra ID を使用し、ThingWorx コネクタベースの SSO 接続タイプを使用してリソースサーバーに接続している場合、sso-settings.json ファイル内の AuthorizationServersSettings でプロパティ mandatoryScopes の値を offline_access に設定する必要があります。
Microsoft Entra ID の動作の変更に伴い、新規トークンを取得するプロセスでリフレッシュトークンは提供されません。その結果、アクセストークンが期限切れになった後で、セッション中にアクセストークンを再発行することはできません。この問題を解決するには、ユーザーは再度ログインし、新しいトークンを正常な状態に戻す必要があります。
|
ThingWorx では、SSO 対応製品を管理するために、中央認証サーバー (CAS) および ID プロバイダ (IdP) の両方として機能する Microsoft Entra ID がサポートされています。ユーザーは自分のアプリケーションからデータにアクセスし、そのデータを ThingWorx セッションで使用できます。
この SSO アーキテクチャでは、ThingWorx はユーザー認証の SAML/OIDC リクエストを Microsoft Entra ID に送信します。Microsoft Entra ID はユーザー資格証明の真正性を確認し、ユーザーログインを認証するアサーションを ThingWorx に送信します。
Microsoft Entra ID は、ThingWorx と、ThingWorx がデータを取得するリソースサーバーとの間の信頼関係も管理します。Microsoft Entra ID は、リソースプロバイダからのデータのリクエストに ThingWorx が組み込むアクセストークンを生成します。リソースサーバーは、アクセストークンの真正性を検証するために Microsoft Entra ID に依存します。このシナリオは、ユーザーがリソースサーバーからデータを取得するために ThingWorx を認証するので、委任認証と呼ばれます。ThingWorx、Microsoft Entra ID、およびその他の PTC 製品の間で交換されるアクセストークンは、OAuth プロトコルを使用します。
次に進む前に、PTC の ID とアクセスの管理のヘルプセンターに目を通してください。このヘルプセンターでは、シングルサインオンと関連する用語の概要、および Microsoft Entra ID の設定に関する詳細情報が提供されています。以下のような、シングルサインオンコンフィギュレーションの例も示されています。
• Microsoft Entra ID での認証の設定 - SAML
• Microsoft Entra ID での承認の設定 - SAML
• Microsoft Entra ID での認証の設定 - OIDC
• Microsoft Entra ID での承認の設定 - OIDC