Creación de alias de administrador de ThingWorx en el proveedor de identidad

Definición del modelo de ThingWorx en Composer > Seguridad > Autenticación de inicio de sesión único > Uso de PingFederate como servidor de autorización central > Creación de alias de administrador de ThingWorx en el proveedor de identidad

En la arquitectura de la plataforma de productos de PTC se supone que el usuario tiene un proveedor de identidad (un servicio de directorios de empresa) al que PingFederate redirige las solicitudes de autenticación de usuario. Ping Federate no accede a los datos del usuario. El proveedor de identidad (IdP) envía una aserción de SAML donde se indica que el usuario se ha autenticado. En función de esta validación, PingFederate devuelve una aserción de SAML a ThingWorx donde se indica que el usuario se ha autenticado.

La aserción de SAML devuelta del CAS o IdP a ThingWorx debe ser "Administrador". Si el IdP utiliza el nombre de usuario "Administrador" para su propia conexión de administrador, siga estos pasos:

1. Cree una cuenta en el IdP con un nombre de usuario distinto (por ejemplo, twxadmin).

2. Cree una asignación de atributos de SAML entre ese nombre de usuario y el uid "Administrador". Es posible asignar atributos de SAML en el CAS (PingFederate) o el IdP al que el CAS hace referencia mientras autentica usuarios.

De este modo, se garantiza que la aserción de SAML que se envía a ThingWorx tiene el uid que necesita ThingWorx.

3. En la página de conexión, introduzca el nombre de usuario administrador alternativo de ThingWorx.

Este usuario administrador de ThingWorx con alias no se puede utilizar para la autorización delegada. Para obtener información sobre cómo crear cuentas de usuario y asignar atributos, consulte la documentación de producto de IdP y PingFederate.

Para utilizar la autorización delegada mediante un usuario administrador, siga estos pasos:

1. Cree el usuario localmente en ThingWorx.

2. Añada el usuario al grupo de administradores de ThingWorx.

3. Añada el usuario a la lista de exclusiones de abastecimiento de usuario en ThingworxSSOAuthenticator.

Para obtener más información, consulte Configure ThingWorx for SSO.

4. Añada el usuario al IdP federado al que el CAS hace referencia cuando autentica conexiones de usuario.

5. Utilice esta cuenta de usuario siempre que sea necesario probar la autorización delegada desde una cuenta de administrador.

¿Fue esto útil?