ThingWorx Modelldefinition in Composer > Sicherheit > Single Sign-On-Authentifizierung > PingFederate als zentralen Authentifizierungsserver verwenden > ThingWorx Administrator-Alias im Identitätsanbieter erstellen
ThingWorx Administrator-Alias im Identitätsanbieter erstellen
Die Architektur der PTC Produktplattform geht davon aus, dass Sie über einen Identitätsanbieter verfügen (einen Unternehmensverzeichnisdienst), an den PingFederate Anforderungen zur Benutzerauthentifizierung umleitet. Ping Federate greift nicht auf Benutzerdaten zu. Der Identitätsanbieter (IdP) sendet eine SAML-Bestätigung, die besagt, dass der Benutzer authentifiziert ist. Auf Grundlage dieser Validierung gibt PingFederate dann eine SAML-Bestätigung an ThingWorx zurück, die angibt, dass der Benutzer authentifiziert wurde.
Die vom CAS oder IdP an ThingWorx zurückgegebene SAML-Bestätigung muss "Administrator" sein. Wenn der IdP den Benutzernamen Administrator für die eigene Administratoranmeldung verwendet, führen Sie die folgenden Schritte aus:
1. Erstellen Sie ein Konto im IdP mit einem anderen Benutzernamen (z.B. twxadmin).
2. Erstellen Sie eine SAML-Attributzuordnung zwischen diesem Benutzernamen und der UID Administrator. Sie können SAML-Attribute im CAS (PingFederate) oder im IdP zuordnen, den der CAS beim Authentifizieren von Benutzern referenziert.
Dadurch wird sichergestellt, dass die SAML-Bestätigung, die an ThingWorx gesendet wird, die uid aufweist, die ThingWorx erfordert.
3. Geben Sie auf der Anmeldeseite den alternativen ThingWorx Administratorbenutzernamen ein.
Dieser Aliasname des ThingWorx Administrators kann nicht für die delegierte Autorisierung verwendet werden. Informationen zum Erstellen von Benutzerkonten und Zuordnen von Attributen finden Sie in der Produktdokumentation zum IdP und zu PingFederate.
Um delegierte Autorisierung über einen Administrator zu verwenden, führen Sie die folgenden Schritte aus:
1. Erstellen Sie den Benutzer lokal in ThingWorx.
2. Fügen Sie diesen Benutzer zur ThingWorx Administratorgruppe hinzu.
3. Fügen Sie diesen Benutzer der Ausschlussliste für Benutzerbereitstellung in ThingworxSSOAuthenticator hinzu.
Weitere Informationen finden Sie unter ThingWorx für SSO konfigurieren.
4. Fügen Sie diesen Benutzer dem Verbund-IdP hinzu, den der CAS beim Authentifizieren von Benutzeranmeldungen referenziert.
5. Verwenden Sie dieses Benutzerkonto, wenn Sie die delegierte Autorisierung mit einem Administratorkonto testen müssen.
War dies hilfreich?