Configuración de ThingWorx como proveedor de recursos
Configuración del fichero resourceServerSettings.json
Este procedimiento es obligatorio cuando ThingWorx es la aplicación del servidor de recursos.
1. Detenga el servidor ThingWorx.
2. Cree el fichero resourceServerSettings.json en el mismo directorio que sso-settings.json.
A continuación, se muestra una estructura de ejemplo del fichero resourceServerSettings.json:
{
"ResourceServerSettings": {
"accessTokenServicesSettings": {
"tokenUsernameAttribute": "See information in the table below",
"tokenPublicKeyUrl": "See information in the table below",
"administratorAlias": "See information in the table below",
"administratorInternalName": "Administrator",
"issuer": "See information in the table below",
"tokenValidationType": "local",
"tokenClientIDAttribute": "See information in the table below"
},
"globalScopes": "See information in the table below",
"uriScopes": [
{
"uri": "See information in the table below",
"scopes": "See information in the table below",
"method": "See information in the table below"
}
]
}
"ResourceServerSettings": {
"accessTokenServicesSettings": {
"tokenUsernameAttribute": "See information in the table below",
"tokenPublicKeyUrl": "See information in the table below",
"administratorAlias": "See information in the table below",
"administratorInternalName": "Administrator",
"issuer": "See information in the table below",
"tokenValidationType": "local",
"tokenClientIDAttribute": "See information in the table below"
},
"globalScopes": "See information in the table below",
"uriScopes": [
{
"uri": "See information in the table below",
"scopes": "See information in the table below",
"method": "See information in the table below"
}
]
}
3. El usuario debe asegurarse de editar el valor de cada parámetro según sus requisitos. La implementación puede variar y depende de varios factores, como las directivas de seguridad de la organización y el CAS de la federación. Utilice la información de las siguientes tablas como guía para definir los valores de los distintos parámetros.
4. Inicie el servidor de ThingWorx.
|
Parámetro
|
Descripción
|
Value
|
||
|---|---|---|---|---|
|
tokenUsernameAttribute
|
Opcional: Nombre de la notificación que contiene el nombre de usuario de la solicitud de recursos.
|
Valor por defecto: “unique_name”
|
||
|
tokenPublicKeyUrl
|
Obligatorio: el extremo de clave pública de AD FS (se utiliza para validar los tokens de acceso).
|
El valor se construye de la siguiente manera:
https://<FQDN de host de ADFS>adfs/discovery/keys
|
||
|
administratorAlias
|
Opcional.
Obligatorio solo si desea acceder al RP con el administrador de ThingWorx.
|
El nombre de usuario del administrador, tal como está configurado en AD FS.
|
||
|
administratorInternalName
|
Opcional: El nombre de usuario del administrador tal como está configurado en ThingWorx.
|
Administrator
|
||
|
tokenValidationType
|
Obligatorio: el punto de propiedad para la validación del token de acceso (JWT) que se ha realizado localmente.
|
local
|
||
|
issuer
|
Opcional: valor de emisor para la verificación de validación adicional de token.
|
El valor del emisor, tal como aparece en la concesión ISS en el token.
|
||
|
tokenClientIDAttribute
|
Obligatorio para el flujo de M2M (acreditación del cliente). Nombre de la reclamación que contiene el ID de cliente de SP de la solicitud de recursos.
|
appid
|
|
Parámetro
|
Descripción
|
Value
|
|---|---|---|
|
globalScopes
|
Lista de ámbitos globales separados por comas. accessToken debe contener al menos uno de ellos para acceder a cualquier recurso. Si el parámetro falta o está vacío, THINGWORX se define como un ámbito global por defecto.
|
"globalScopes": "THINGWORX
"globalScopes": "THINGWORX_APP1,THINGWORX_APP2" |
|
Parámetro
|
Descripción
|
Value
|
||
|---|---|---|---|---|
|
uri
|
Patrón de URI. Permite definir el recurso o el grupo de recursos que requiere ámbitos adicionales en los ámbitos globales.
|
Thingworx/Things/** - control all Things
Thingworx/Things/Thing1 – control Thing1
|
||
|
scopes
|
Lista de ámbitos adicionales delimitados por comas. Solo el usuario que tiene concedidos todos los ámbitos enumerados (incluido el global) tiene permiso para obtener recursos.
|
|||
|
method
|
Opcional. Permite definir el método de URI al que se aplicará el ámbito.
|
Los valores posibles son los métodos permitidos en el protocolo de REST, como GET o POST.
|
Si hay ámbitos definidos para un URI, se deben conceder los ámbitos globales además de los ámbitos de URI definidos para acceder al recurso. Si existe más de una regla de URI aplicable para el recurso solicitado, se deben conceder todos los ámbitos pertinentes para acceder al recurso. Para evitar el acceso a recursos restringidos, añada URIscope a estos extremos de REST con un ámbito que no exista en el servidor de autorización. Además de la protección de ámbito, ThingWorx tiene sus propios permisos basados en el usuario que también se aplicarán además de los ámbitos. Por ejemplo, en un caso en el que el usuario A solicita un recurso con los ámbitos correctos pero que no tiene permiso, la solicitud falla con un error 403.
Fichero de ejemplo
