Bereitstellung der Authentifizierung für ThingWorx
In diesem Abschnitt prüfen wir die für ThingWorx Implementierungen verfügbaren Authentifizierungslösungen.
Zu den Lösungen gehören die Out-of-the-box-Authentifizierung, die Authentifizierung über Unternehmens-LDAP (Lightweight Directory Access Protocol) oder Active Directory und die Authentifizierung über eine SSO-Konfiguration (Single Sign-On).
Komponenten
• Verzeichnisdienst: Verwaltet die Liste der Benutzer eines Unternehmens sowie deren Anmeldeinformationen für die Authentifizierung und Autorisierung. Active Directory, OpenLDAP und Apache Directory Server von Microsoft sind gängige Implementierungen von Verzeichnisdiensten.
• Central Authentication Server (CAS): Ein Drittanbieter-Tool, das die Authentifizierung von Benutzern in einem Verbund verwaltet, um Benutzern den Zugriff auf Daten aus mehreren Anwendungen zu ermöglichen, wobei sie sich nur einmal anmelden. PTC unterstützt eine Konfiguration von PingFederate in dieser Rolle.
PingFederate ist ein Drittanbieterprodukt, das von PTC als Teil der SSO-Lösung bereitgestellt wird. PingFederate fungiert als Autorisierungsserver, der den Austausch von SAML-Assertionen und OAuth-Zugriffstoken erleichtert.
• Identitätsanbieter (IdP): Ein Drittanbieter-Tool, das Benutzeridentitätsdaten verwaltet und Benutzerinformationen bereitstellt. Ein IdP kann ein Benutzerverwaltungssystem oder ein Active Directory sein, in dem Benutzernamen, Passwörter und andere Anmeldeinformationen gespeichert werden. Der CAS referenziert den IdP bei der Authentifizierung eines Benutzers.
• Service Provider: Die Anwendung, über die die geschützten Informationen angefordert werden. Normalerweise handelt es sich hierbei um den ThingWorx Server.
• Ressourcen-Anbieter: Die Anwendung, in der die geschützten Informationen verwaltet werden. Dies kann ThingWorx selbst oder eine andere Anwendung wie Windchill sein.
Referenzen
• Authentifikatoren: Authentifizierungsmechanismen in ThingWorx.
• Verzeichnisdienst-Authentifizierung: Konfigurieren Sie ThingWorx, um sich über einen Verzeichnisdienst zu authentifizieren.
• Single Sign-On-Authentifizierung: Konfigurieren Sie ThingWorx, um die SAML-Authentifizierung und die delegierte Autorisierung über OAuth zu verwenden.
Architektur der Standardauthentifizierung
Die Standardauthentifizierung für ThingWorx verwendet die HTTP-Standardauthentifizierung, die vom Tomcat Servlet Container implementiert wird.
Aus Sicht der Bereitstellung gibt es keine zusätzlichen Anforderungen für Hardware- oder Softwarekomponenten. Dies ist jedoch die am wenigsten sichere Authentifizierungsform, die unterstützt wird.
Liste der Komponenten | Anzahl der Komponenten |
|---|---|
ThingWorx Foundation Server | 1 |
Datenbank | 1 |
Architektur für Authentifizierung über LDAP
Eine weitere gängige Möglichkeit der Authentifizierung besteht darin, den LDAP-Server eines Unternehmens als Authentifizierungsquelle zu verwenden.
In diesem Fall wird ThingWorx so konfiguriert, dass für Autorisierungs- und Authentifizierungsaufgaben eine Verbindung zum LDAP-Server hergestellt wird.
Liste der Komponenten | Anzahl der Komponenten |
|---|---|
ThingWorx Foundation Server | 1 |
Datenbank | 1 |
LDAP-Server | 1 |
Architektur für SSO-Authentifizierung mit PingFederate
ThingWorx 9.0 bietet eine Integration mit PingFederate, die dann konfiguriert werden kann, um ein SSO-Authentifizierungsschema für mehrere Softwaresysteme bereitzustellen.
Das folgende Diagramm beschreibt ein PingFederate-System in der Konfiguration für hohe Verfügbarkeit:
Liste der Komponenten | Anzahl der Komponenten |
|---|---|
ThingWorx Foundation Server | 1 |
ThingWorx Datenbank | 1 |
PingFederate-Server | 1 |
Identitätsanbieterdienst (IdP) | 1 |
Directory Server (LDAP) | 1 |