ThingWorx 認証のデプロイメント
このセクションでは、ThingWorx の実装に使用可能な認証ソリューションについて見ていきます。
このようなソリューションには、既成の認証、企業 LDAP (ライトウェイトディレクトリアクセスプロトコル) または Active Directory による認証、SSO (シングルサインオン) コンフィギュレーションによる認証があります。
コンポーネント
• ディレクトリサービス - 会社のユーザーのリストとその認証、および認証の資格証明を管理します。ディレクトリサービスの一般的な実装としては、Microsoft の Active Directory、OpenLDAP、Apache Directory Server があります。
• 中央認証サーバー (CAS) - ユーザーが 1 回サインインするだけで複数のアプリケーションのデータにアクセスできるようにするための、フェデレーション全体でユーザーの認証を管理するサードパーティツール。PTC はこの役割での PingFederate のコンフィギュレーションをサポートしています。
PingFederate は、PTC によりその SSO ソリューションの一部として提供されているサードパーティ製品です。PingFederate は、SAML アサーションと OAuth アクセストークンの交換を容易にする認証サーバーとして機能します。
• ID プロバイダ (IdP) - ユーザー ID データを管理し、ユーザー情報を提供するサードパーティツール。IdP は、ユーザー名、パスワード、およびその他の資格証明が保存されるユーザー管理システムまたはアクティブディレクトリです。CAS はユーザーを認証する際に IdP を参照します。
• サービスプロバイダ - 保護された情報はこのアプリケーションを介してリクエストされます。通常、これは ThingWorx サーバーです。
• リソースサーバー - 保護された情報はこのアプリケーションで管理されます。これは ThingWorx 自体または Windchill などの別のアプリケーションの場合があります。
参照
• 認証システム - ThingWorx 内の認証メカニズム。
• ディレクトリサービスの認証 - ディレクトリサービスを介して認証するように ThingWorx を設定します。
• シングルサインオン認証 - SAML 認証と OAuth 委任認証を使用するように ThingWorx を設定します。
基本認証アーキテクチャ
ThingWorx の基本認証では、Tomcat サーブレットコンテナによって実装される標準の HTTP 基本認証方法が使用されます。
デプロイメントの観点からは、ハードウェアとソフトウェアのコンポーネントに追加の要件はありません。ただし、これはサポートされている認証の中で最もセキュリティレベルの低い方式です。
コンポーネントのリスト | コンポーネントの数 |
|---|---|
ThingWorx Foundation サーバー | 1 |
データベース | 1 |
LDAP を介した認証のアーキテクチャ
もう 1 つの一般的な認証のデプロイメントでは、会社の企業 LDAP サーバーを認証ソースとして使用します。
この場合、承認/認証タスクのために LDAP サーバーに接続するように ThingWorx を設定します。
コンポーネントのリスト | コンポーネントの数 |
|---|---|
ThingWorx Foundation サーバー | 1 |
データベース | 1 |
LDAP サーバー | 1 |
PingFederate を使用した SSO 認証のアーキテクチャ
ThingWorx 9.0 では、PingFederate との統合により、複数のソフトウェアシステム間でシングルサインオン認証スキームを提供するように設定できます。
以下の図では、高可用性コンフィギュレーションでの PingFederate システムについて説明します。
コンポーネントのリスト | コンポーネントの数 |
|---|---|
ThingWorx Foundation サーバー | 1 |
ThingWorx データベース | 1 |
PingFederate サーバー | 1 |
ID プロバイダサービス (IdP) | 1 |
ディレクトリサーバー (LDAP) | 1 |