将 Microsoft Entra ID 用作中央身份验证服务器和标识提供者
|
如果升级 ThingWorx 且将 CAS 用作 Microsoft Entra ID,并使用基于 ThingWorx 连接器的 SSO 连接类型连接至资源服务器,则必须在 sso-settings.json 文件的 AuthorizationServersSettings 中,将属性 mandatoryScopes 设置为包含 offline_access。
由于 Microsoft Entra ID 行为发生了更改,获取新令牌期间不提供刷新令牌。因此,在访问令牌过期后,无法在会话中对其进行刷新。要解决此问题,用户必须再次登录,使新令牌恢复为健康状态。
|
ThingWorx 支持 Microsoft Entra ID 同时作为中央身份验证服务器 (CAS) 和身份提供者 (IdP) 来管理启用了 SSO 的产品。用户可从应用程序访问数据并将其用于 ThingWorx 会话。
在此 SSO 体系结构中,ThingWorx 将 SAML/OIDC 请求发送到 Microsoft Entra ID 以进行用户身份验证。Microsoft Entra ID 会验证用户登录凭据的真实性,并向 ThingWorx 发送授权用户登录的断言。
此外,Microsoft Entra ID 还可管理 ThingWorx 与 ThingWorx 从中检索数据的资源服务器之间的信任关系。Microsoft Entra ID 会生成访问令牌,ThingWorx 会在请求中包含此令牌以从资源提供者处获取数据。资源服务器依靠 Microsoft Entra ID 验证访问令牌的真实性。这种情况称为委托授权,因为用户授权 ThingWorx 从资源服务器处获取所需的数据。ThingWorx、Microsoft Entra ID 和其他 PTC 产品之间交换的访问令牌使用 OAuth 协议。
在继续操作之前,请确保先浏览
“PTC 标识和访问管理”帮助中心的相关内容。此帮助中心概述了单一登录和相关术语,并提供了有关配置 Microsoft Entra ID 的详细信息。此外还提供了以下单一登录配置示例:
• 通过 Microsoft Entra ID 配置身份验证 - SAML
• 通过 Microsoft Entra ID 配置授权 - SAML
• 通过 Microsoft Entra ID 配置身份验证 - OIDC
• 通过 Microsoft Entra ID 配置授权 - OIDC