Implementación de la autenticación de ThingWorx
En esta sección se revisan las soluciones de autenticación disponibles para implementaciones de ThingWorx.
Las soluciones incluyen la autenticación de fábrica, la autenticación a través de LDAP (Lightweight Directory Access Protocol) corporativo o Active Directory y la autenticación a través de una configuración de SSO (inicio de sesión único).
Componentes
• Servicio de directorio: se conserva una lista de usuarios de la empresa y sus credenciales de autenticación y autorización. Microsoft Active Directory, OpenLDAP y Apache Directory Server son implementaciones comunes de los servicios de directorio.
• Central Authentication Server (CAS): herramienta de terceros que gestiona la autenticación de los usuarios en una federación para permitir a los usuarios acceder a datos de varias aplicaciones iniciando sesión solo una vez. PTC soporta una configuración de PingFederate en este rol.
PingFederate es un producto de terceros proporcionado por PTC como parte de la solución SSO. PingFederate actúa como servidor de autorización que facilita el intercambio de aserciones SAML y tokens de acceso OAuth.
• Proveedor de identidad (IdP): herramienta de terceros que gestiona los datos de identidad del usuario y proporciona información de usuario. IdP puede ser un sistema de gestión de usuarios o un directorio activo que almacene nombres de usuario, contraseñas y otras credenciales. CAS hace referencia a IdP al autenticar un usuario.
• Proveedor de servicios: la aplicación a través de la cual se solicita la información protegida. Normalmente, se trata del servidor ThingWorx.
• Proveedor de recursos: la aplicación donde se conserva la información protegida. Puede ser la propia instancia de ThingWorx u otra aplicación como Windchill.
Referencias
• Autenticadores: mecanismos de autenticación dentro de ThingWorx.
• Autenticación de servicios de directorio: configuración de ThingWorx para autenticar a través de un servicio de directorios.
• Autenticación de inicio de sesión único: configuración de ThingWorx para utilizar la autenticación de SAML y la autorización delegada de OAuth.
Arquitectura de autenticación básica
La autenticación básica de ThingWorx utiliza la metodología de autenticación básica de HTTP estándar que el contenedor de servlets Tomcat implementa.
Desde el punto de vista de la implementación, no hay requisitos adicionales para los componentes de hardware o software. Sin embargo, se trata de la forma menos segura de autenticación soportada.
Lista de componentes | Número de componentes |
|---|---|
Servidor ThingWorx Foundation | 1 |
Base de datos | 1 |
Arquitectura de autenticación mediante LDAP
Otra implementación de autenticación común es utilizar el servidor LDAP corporativo de la empresa como origen de autenticación.
En este caso, ThingWorx se configura para conectarse al servidor LDAP para las tareas de autorización y autenticación.
Lista de componentes | Número de componentes |
|---|---|
Servidor ThingWorx Foundation | 1 |
Base de datos | 1 |
Servidor LDAP | 1 |
Arquitectura para la autenticación de SSO mediante PingFederate
ThingWorx 9.0 proporciona una integración con PingFederate, que se puede configurar para proporcionar un esquema de autenticación de inicio de sesión único en varios sistemas de software.
En el siguiente diagrama se describe un sistema PingFederate en una configuración de alta disponibilidad:
Lista de componentes | Número de componentes |
|---|---|
Servidor ThingWorx Foundation | 1 |
Base de datos de ThingWorx | 1 |
Servidor PingFederate | 1 |
Servicio de proveedor de identidad (IdP) | 1 |
Servidor de directorios (LDAP) | 1 |