Single Sign-On-Authentifikatoren
ThingworxSSOAuthenticator wird verwendet, um Benutzer bereitzustellen, wenn SSO (Single Sign-On, Einmalanmeldung) in ThingWorx aktiviert ist. Benutzerkonten werden auf Grundlage von Attributen erstellt und aktualisiert, die vom Identitätsanbieter abgerufen werden. Verwenden Sie diesen Authentifikator, um Standardeinstellungen für bereitgestellte Benutzer zu definieren oder Attributwerte zu identifizieren, die auf Benutzereinstellungen angewendet werden. Durch die Einstellungsbereitstellung über ThingworxSSOAuthenticator werden keine Benutzerkonten gelöscht. Informationen zu dieser Funktion finden Sie unter SCIM-Bereitstellung.
Voraussetzungen
SSO muss in ThingWorx aktiviert sein. Weitere Informationen finden Sie unter Single Sign-On-Authentifizierung und PTC Hilfe-Center für Identitäts- und Zugriffsverwaltung.
• Ordnen Sie das Attribut im PingFederate-Richtlinienvertrag zu, wenn PingFederate der CAS ist.
Als Teil der SSO-Konfiguration wird ein Autorisierungsserver (PingFederate) bereitgestellt und konfiguriert, um SAML-Authentifizierungsanforderungen an Ihren ID-Anbieter umzuleiten. Sie erstellen eine SP-Verbindung in PingFederate, an die ThingWorx seine SAML-Authentifizierungsanforderungen sendet. Ein Richtlinienvertrag ist der Mechanismus, den PingFederate verwendet, um Bestätigungsattribute vom ID-Anbieter an den Dienstanbieter (ThingWorx) zu übergeben. Alle Attribute, die in den folgenden Konfigurationstabellen identifiziert werden, müssen im Richtlinienvertrag in PingFederate aufgeführt werden, sodass sie zwischen Verbindungen übergeben werden können.
In PingFederate können Sie einen Richtlinienvertrag für die SP-Verbindung, die ThingWorx zum Herstellen der Verbindung mit PingFederate verwendet, erstellen. Im Richtlinienvertrag ordnen Sie die Attribute zu, die vom Identitätsanbieter an ThingWorx übergeben werden sollen. Weitere Informationen finden Sie unter PingFederate-Verbindungen erstellen.
Weitere Informationen finden Sie auf den folgenden PingFederate-Seiten:
◦ PingFederate Dokumentation: Bridging an IdP to an SP https://docs.pingidentity.com/bundle/pingfederate-100/page/ffk1564002971738.html
◦ PingFederate Dokumentation: Federation hub and authentication policy contracts https://docs.pingidentity.com/bundle/pingfederate-100/page/ope1564002971971.html
• Wenn Sie Azure AD zum Implementieren von SSO-Funktionen verwenden, finden Sie weitere Informationen unter Azure AD als CAS und IdP im PTC Hilfe-Center für Identitäts- und Zugriffsverwaltung.
• Wenn Sie Azure FS zum Implementieren von SSO-Funktionen verwenden, finden Sie weitere Informationen unter AD FS als CAS und IdP im PTC Hilfe-Center für Identitäts- und Zugriffsverwaltung.
 |
Wenn ThingWorx für die Verwendung mit dem Atlas IAM CAS-Server konfiguriert ist, z.B. für Windchill+ Kunden, gibt es keine Voraussetzungen. Sie können den Authentifikator sofort verwenden. Atlas IAM CAS-Server ist bereits konfiguriert.
|
Informationen zur Problembehandlung sowie Support finden Sie auf der IAM-Support-Website.
Die Optionen in den folgenden Konfigurationstabellen ermöglichen es Ihnen, das Verhalten des Authentifikators anzugeben.
Benutzerbereitstellung
|
Benutzererstellung aktiviert
|
Auswählen, um das Erstellen von Benutzerkonten in ThingWorx basierend auf Anmeldeinformationen zuzulassen, die vom Autorisierungsserver abgerufen werden. Wenn ein Benutzer versucht, sich bei ThingWorx anzumelden, aber kein ThingWorx Benutzerkonto erstellt wurde, ermöglicht diese Einstellung die Erstellung des ThingWorx Benutzerkontos auf Grundlage der Benutzerdaten, die im ID-Anbieter gespeichert sind.
|
|
Benutzeränderung aktiviert
|
Auswählen, um die Änderung von Benutzerkonten in ThingWorx zuzulassen. Dies ist wichtig, um zukünftige Aktualisierungen der Konten während Anmelde-Ereignissen nach der ersten Anmeldung zuzulassen, bei der der Benutzer erstellt wurde, um die ThingWorx Benutzerdaten mit den Benutzerkontodaten im ID-Anbieter zu synchronisieren.
|
|
Alle Anmeldungsattribute müssen bereitgestellt werden
|
Bei Aktivierung müssen alle vom ID-Anbieter zurückgegebenen Anmeldeinformationsattribute verwendet werden (auf Benutzer angewendet). Andernfalls wird der Benutzer nicht erstellt/aktualisiert, und die Anmeldung schlägt fehl.
Diese Option ist standardmäßig nicht aktiviert.
|
|
Benutzersitzungen bei Authentifikatoränderung beenden
|
Bei Aktivierung werden alle aktiven Sitzungen für bereitgestellte Benutzer beendet, wenn die ThingWorx SSO-Authentifikatorkonfiguration gespeichert wird.
Dies gilt nicht für die Benutzer in der Ausschlussliste für Benutzerbereitstellung.
Diese Option ist standardmäßig nicht aktiviert.
|
Ausschlussliste für Benutzerbereitstellung
Geben Sie beliebige Benutzer an, die aus der Konfiguration Benutzerstandards unten ausgeschlossen werden sollen.
|
|
Die Benutzer werden dieser Liste standardmäßig hinzugefügt. Wenn Sie versuchen, diese Benutzer zu entfernen, werden sie automatisch nach dem Aktualisieren der Seite wieder hinzugefügt.
• ThingWorx Administrator
• Superuser
• Systembenutzer
|
Benutzerstandards
Diese Standardattribute werden auf alle Benutzer außer den Benutzern angewendet, die zur Ausschlussliste für Benutzerbereitstellung hinzugefügt wurden. Diese Attribute werden angewendet, wenn sich der Benutzer anmeldet.
|
Beschreibung
|
Geben Sie eine Beschreibung ein, die Sie für bereitgestellte Benutzer verwenden möchten. Beispielsweise möchten Sie anmerken, dass ein Benutzerkonto durch automatische Bereitstellung erstellt wurde.
|
|
Mashup
|
Geben Sie das Standard-Start-Mashup an, das bereitgestellte Benutzer beim Anmelden sehen.
|
|
Mobiles Mashup
|
Geben Sie das mobile Standard-Mashup an, das bereitgestellte Benutzer beim Anmelden sehen.
|
|
Tags
|
Geben Sie die Standard-Tags an, die auf bereitgestellte Benutzer angewendet werden. Diese Liste der Tags überschreibt alle vorhandenen Tags für Benutzerkonten, die bereits vorhanden sind und aktualisiert werden.
|
Einstellungen für den Anbieter der Benutzer-ID
Statt die in der Tabelle "Benutzerstandards" oben definierten Einstellungen anzuwenden, verwenden Sie diese Tabelle, um die vom ID-Anbieter abgerufenen Attribute zu identifizieren, die auf die Benutzereinstellung angewendet werden sollten. In dieser Tabelle geben Sie Attributschlüssel für Benutzerattribute an, die in der SAML-Bestätigung vom ID-Anbieter zurückgegeben werden. Der Wert, der für diesen Attributschlüssel zurückgegeben wird, wird auf die Benutzereinstellung angewendet. Einträge, die in dieser Tabelle definiert sind, überschreiben die Standardeinstellungen in der Tabelle Benutzerstandards.
|
Beschreibung
|
Geben Sie einen Attributschlüssel ein, der dem Attributwert entspricht. Dieser soll als Beschreibung angewendet werden.
|
||||
|
Start-Mashup
|
Geben Sie einen Attributschlüssel ein, der dem Attributwert entspricht. Dieser soll zum Bestimmen des Start-Mashups verwendet werden.
|
||||
|
Mobiles Mashup
|
Geben Sie einen Attributschlüssel ein, der dem Attributwert entspricht. Dieser soll zum Bestimmen des mobilen Mashups verwendet werden.
|
||||
|
Tags
|
Geben Sie einen Attributschlüssel ein, der dem Attributwert entspricht. Dieser soll zum Bestimmen der auf den Benutzer angewendeten Tags verwendet werden.
|
||||
|
Gruppen
|
Geben Sie einen Attributschlüssel ein, der dem Attributwert entspricht, der zum Bestimmen der ThingWorx Gruppen verwendet werden soll, denen der bereitgestellte Benutzer hinzugefügt wird.
|
Standardgruppen des bereitgestellten Benutzers
Geben Sie die Gruppen an, denen die automatisch bereitgestellten Benutzer hinzugefügt werden sollen. Diese Liste von Gruppen überschreibt alle vorhandenen Gruppenmitgliedschaften.
Gruppenzuordnungen des ID-Anbieters
Diese Tabelle ordnet den IdP-Gruppennamen zum entsprechenden ThingWorx Gruppennamen zu.
Sie möchten beispielsweise, dass die bereitgestellte Gruppe einen anderen Namen in ThingWorx hat als im IdP. Sobald Sie die Namen zugeordnet haben, werden alle Änderungen an der Gruppe im IdP in die zugeordnete ThingWorx Gruppe übernommen.
Benutzererweiterung für Bereitstellungsnamen
Diese Tabelle wird verwendet, um Werte für Benutzererweiterungseigenschaften festzulegen. Weitere Informationen zu diesen Eigenschaften finden Sie unter Benutzer.
Für jeden Tabelleneintrag gibt es drei Spalten:
|
Eigenschaftsname
|
Identifiziert die Benutzererweiterungs-Eigenschaft
|
||
|
Standardwert
|
Ermöglicht die Angabe eines Werts, der bei Bereitstellung eines Benutzerkontos standardmäßig auf die Eigenschaft angewendet wird.
|
||
|
Identitätsanbieter-Attribut
|
Ermöglicht die Angabe eines benutzerdefinierten Attributs, das in der SAML-Bestätigung zurückgegeben wird. Der Wert des zurückgegebenen Attributs wird als Eigenschaftswert angewendet. Wenn dieses Feld definiert ist, überschreibt es die Einstellung bei Standardwert.
|
|
|
Wenn Sie auch SCIM-Bereitstellung verwenden, sollten Sie diese Tabelle verwenden, um sicherzustellen, dass eine SAML-Bestätigung für alle Attributwerte der Benutzererweiterung vorhanden ist, die vom Autorisierungsserver oder IdP über ein SCIM-Schemaattribut zurückgegeben werden. Weitere Informationen finden Sie unter Bereitstellung.
|
Wenn SSO in ThingWorx aktiviert ist, ist ThingworxSSOAuthenticator aktiviert und der Standardauthentifikator. Wenn SSO nicht in ThingWorx aktiviert ist, wird der Authentifikator deaktiviert. Die folgenden Anmelde-Authentifikatoren sind deaktiviert, wenn SSO aktiviert ist:
• ThingworxAppKeyAuthenticator
• ThingworxBasicAuthenticator
• ThingworxFormAuthenticator
• ThingworxHttpBasicAuthenticator
Beachten Sie, dass die folgenden Authentifikatoren über eine konfigurierbare Option verfügen, über die sie aktiviert werden können. Allerdings überschreibt SSO diese Option, und sie sind immer deaktiviert, wenn SSO aktiviert ist.
• ThingworxMobileAuthorizationAuthenticator
• ThingworxMobileTokenAuthenticator
• Benutzerdefinierte Authentifikatoren
Die folgende Tabelle enthält Informationen zu Benutzerstatusänderungen in ThingWorx aufgrund der Optionen, die in ThingworxSSOAuthenticator ausgewählt wurden, und ihres Status auf dem Autorisierungsserver oder im IdP bei Anmeldung. Benutzerstatus auf dem Autorisierungsserver oder im IdP werden in diesen Szenarios nicht geändert, nur der Status in ThingWorx ist betroffen. Die Elemente, denen [Primär] vorangestellt ist, sind die primären Faktoren, die den Status des Benutzers in ThingWorx nach der Anmeldung beeinflussen.
|
Benutzerstatus in AS oder IdP
|
Benutzerstatus in ThingWorx vor Anmeldung
|
ThingworxSSOAuthenticator-Optionen
|
Benutzerstatus in ThingWorx nach Anmeldung
|
|---|---|---|---|
|
Nicht vorhanden
|
Nicht vorhanden
|
Beliebige Konfiguration
|
• Nicht vorhanden
• Kann nicht für Anmeldung verwendet werden
|
|
Nicht vorhanden
|
• Ist vorhanden (manuell erstellt von Thingworx Administrator)
• [Primär] Passwort wurde festgelegt und ist in Thingworx gespeichert
|
• Erstellung der Benutzerbereitstellung aktiviert
• Änderung der Benutzerbereitstellung aktiviert
• [Primär] Aufgelistet in Ausschlussliste für Benutzerbereitstellung
|
• Ist vorhanden
• Wird nicht geändert
• Kann nicht für Anmeldung verwendet werden
|
|
Nicht vorhanden
|
• Ist vorhanden (manuell erstellt von Thingworx Administrator)
• [Primär] Passwort wurde nicht festgelegt oder ist nicht in Thingworx gespeichert
|
• Erstellung der Benutzerbereitstellung aktiviert
• Änderung der Benutzerbereitstellung aktiviert
• [Primär] Aufgelistet in Ausschlussliste für Benutzerbereitstellung
|
• Ist vorhanden
• Wird nicht geändert
• Kann nicht für Anmeldung verwendet werden
|
|
Nicht vorhanden
|
Ist vorhanden (manuell erstellt von Thingworx Administrator)
|
• Erstellung der Benutzerbereitstellung aktiviert
• Änderung der Benutzerbereitstellung aktiviert
• [Primär] Nicht in Ausschlussliste für Benutzerbereitstellung aufgelistet
|
• Ist vorhanden
• Wird nicht geändert
• Kann nicht für Anmeldung verwendet werden
|
|
• Ist vorhanden
• [Primär] Deaktiviert
|
Nicht vorhanden
|
• Erstellung der Benutzerbereitstellung aktiviert
• Änderung der Benutzerbereitstellung aktiviert
• Nicht in Ausschlussliste für Benutzerbereitstellung aufgelistet
|
• Nicht vorhanden
• Kann nicht für Anmeldung verwendet werden
|
|
• Ist vorhanden
• [Primär] Gesperrt
|
Nicht vorhanden
|
• Erstellung der Benutzerbereitstellung aktiviert
• Änderung der Benutzerbereitstellung aktiviert
• Nicht in Ausschlussliste für Benutzerbereitstellung aufgelistet
|
• Nicht vorhanden
• Kann nicht für Anmeldung verwendet werden
|
|
Ist vorhanden
|
Nicht vorhanden
|
• [Primär] Erstellung der Benutzerbereitstellung deaktiviert
• Änderung der Benutzerbereitstellung aktiviert
• Nicht in Ausschlussliste für Benutzerbereitstellung aufgelistet
|
• Nicht vorhanden
• Kann nicht für Anmeldung verwendet werden
|
|
Ist vorhanden
|
Nicht vorhanden
|
• [Primär] Erstellung der Benutzerbereitstellung aktiviert
• Änderung der Benutzerbereitstellung aktiviert
• [Primär] Nicht in Ausschlussliste für Benutzerbereitstellung aufgelistet
|
• Ist vorhanden (erstellt)
• Hinzugefügt als Mitglied zu zugeordneten Gruppen
• Standardbenutzereinstellungen hinzugefügt
• Kann für Anmeldung verwendet werden
|
|
Ist vorhanden
|
Ist vorhanden
|
• Erstellung der Benutzerbereitstellung aktiviert
• [Primär] Änderung der Benutzerbereitstellung aktiviert
• [Primär] Nicht in Ausschlussliste für Benutzerbereitstellung aufgelistet
• [Primär] Benutzerstandardeinstellungen konfiguriert
|
• Benutzer wird geändert
• Hinzugefügt/entfernt als Mitglied zu zugeordneten Gruppen
• Standardbenutzereinstellungen hinzugefügt
• Kann für Anmeldung verwendet werden
|
|
Ist vorhanden
|
Ist vorhanden
|
• Erstellung der Benutzerbereitstellung aktiviert
• [Primär] Änderung der Benutzerbereitstellung aktiviert
• [Primär] Aufgelistet in Ausschlussliste für Benutzerbereitstellung
• [Primär] Benutzerstandardeinstellungen konfiguriert
|
• Benutzer wird nicht geändert
• Kann für Anmeldung verwendet werden
|