Wenn Sie feste Authentifizierung mit Active Directory verwenden, können Sie die Benutzerbereitstellung über den Verzeichnisdienst konfigurieren. Weitere Informationen finden Sie unter Benutzer in Active Directory verwalten.

Wenn Sie die SSO-Authentifizierung (Single Sign-On) via ThingworxSSOAuthenticator aktiviert haben, so ist die Bereitstellung automatisch aktiviert. Benutzerattribute werden vom Autorisierungsserver (z.B. PingFederate) abgerufen, der als Broker zwischen ThingWorx und dem Identitätsanbieter fungiert. Dies wird als "Just-in-Time"-Bereitstellung betrachtet, da Benutzerkonten erstellt werden (wenn sie nicht bereits in ThingWorx vorhanden sind) und aktualisiert werden, wenn ein Benutzer sich bei ThingWorx anmeldet. Benutzerattribute sind in der Identitätsanbieter-Antwort enthalten, die für die Authentifizierung verwendet wird. Arbeiten Sie mit dem IdP-Administrator zusammen, um mehr über den Benutzer zu erfahren und dafür zu sorgen, dass das Benutzerkonto in ThingWorx zum Zeitpunkt des Anmeldeereignisses aktualisiert wird. Standardmäßig verwendet ThingWorx zum Erstellen des Benutzers nur das Benutzernamenattribut. Alle zusätzlichen Attribute, die verwendet werden sollen, müssen auf dem Autorisierungsserver konfiguriert werden, sodass sie in der Identitätsanbieter-Antwort übergeben werden. Anschließend müssen sie den Benutzererweiterungseigenschaften zugeordnet werden.

Zum Verwalten der Bereitstellungseinstellungen, die mit dieser Methode verwendet werden, sind zusätzliche Konfigurationen erforderlich. Weitere Informationen finden Sie unter Single Sign-On-Authentifizierung.

In ThingWorx kann die Bereitstellung durch ThingworxSSOAuthenticator nur verwendet werden, um Benutzerkonten zu erstellen und zu aktualisieren. Löschen ist nicht möglich.

Wenn Sie Azure AD zum Implementieren von SSO-Funktionen verwenden, finden Sie weitere Informationen unter Azure AD als CAS und IdP im PTC Hilfe-Center für Identitäts- und Zugriffsverwaltung.

Wenn Sie Azure FS zum Implementieren von SSO-Funktionen verwenden, finden Sie weitere Informationen unter AD FS als CAS und IdP im PTC Hilfe-Center für Identitäts- und Zugriffsverwaltung.

SCIM ist eine automatisierte Methode, die Änderungen an Benutzerkonten im Identitätsanbieter synchronisiert, die an die Benutzerkonten in ThingWorx übertragen werden sollen. SCIM-Bereitstellung kann aktiviert werden, um die mit der SSO-Authentifizierung konfigurierten SAML-Bereitstellungseinstellungen zu ergänzen. SCIM-Bereitstellung kann auch aktiviert werden, oder sie kann unabhängig von der SSO-Authentifizierung aktiviert werden. Anstelle der Just-in-Time-Aktualisierungen von Benutzerkonten, die bei der SAML-Bereitstellung stattfinden, bedeutet die SCIM-Automatisierung, dass Änderungen an Benutzerkonten automatisch für ThingWorx bereitgestellt werden, und zwar basierend auf Änderungen am Benutzerkonto im Identitätsanbieter.

Informationen zum Konfigurieren der SCIM-Bereitstellung finden Sie in den folgenden Themen.

Wenn Sie SAML- und SCIM-Bereitstellung verwenden, stellen Sie sicher, dass die Konfigurationen für beide Varianten aufeinander abgestimmt sind, sodass sie Benutzerattribute auf logische Weise verwenden. Vergewissern Sie sich z.B., dass ThingWorx und IdP-Gruppen in ThingworxSSOAuthenticator und im Untersystem für SCIM auf die gleiche Weise zugeordnet sind. Wenn eine Gruppe, zu der ein Benutzer im IdP gehört, im Untersystem für SCIM und in ThingworxSSOAuthenticator verschiedenen ThingWorx Gruppen zugeordnet ist, kann der Benutzer verschiedenen ThingWorx Gruppen hinzugefügt werden, wenn das Benutzerkonto auf Grundlage der SCIM- oder SAML-Bereitstellung aktualisiert wird.

Unter Kanal zum Datenspeicher erstellen finden Sie eine Liste von ThingWorx Benutzererweiterungseigenschaften, die Ressourcentypen des SCIM-Schemas 1.1 zugeordnet sind. Wenn Sie die SAML-Bereitstellung in ThingworxSSOAuthenticator konfigurieren, können Sie mithilfe der Tabelle "Benutzererweiterung für Bereitstellungsnamen" Benutzer-Metadatenwerte, die von SAML-Attributen übergeben werden, ThingWorx Benutzererweiterungseigenschaften zuordnen. Wenn Sie die SCIM- und die SAML-Bereitstellung verwenden, müssen Sie für jeden der vom IdP abgerufenen Benutzer-Metadatenwerte sicherstellen, dass eine entsprechende SAML-Attributzuordnung in der Tabelle "Benutzererweiterung für Bereitstellungsnamen" von ThingworxSSOAuthenticator konfiguriert ist. Wenn die Metadaten der Benutzererweiterung nicht in ThingworxSSOAuthenticator zugeordnet sind, wird dieser Benutzererweiterungswert beim Anmelden des Benutzers und Durchführen der SAML-Bereitstellung gelöscht, da kein Wert für diese Benutzererweiterung aus der SAML-Bestätigung abgerufen wird.

Konfigurieren Sie mithilfe der entsprechenden Abschnitte unten das ThingWorx UserExtension-Objekt so, dass es mit den Attributen übereinstimmt, die Sie im CAS für die Bereitstellung konfiguriert haben:

Wählen Sie zum Ausführen der Benutzerattribute in Azure AD Ihre Unternehmensanwendung aus, und navigieren Sie zu Bereitstellung > Zuordnungen > Azure Active Directory-Benutzer bereitstellen > Attributzuordnungen. Weitere Informationen finden Sie in der Tabelle Zuordnungen zwischen ThingWorx und SCIM.

Stellen Sie sicher, dass alle im IdP gespeicherten Benutzerattribute, die Sie für ThingWorx bereitstellen möchten, im CAS zur Bereitstellung aufgeführt sind.