Méthodes de provisionnement
Provisionnement Active Directory
Si vous utilisez une authentification fixe avec Active Directory, configurez l'approvisionnement utilisateur à partir du service d'annuaire. Pour en savoir plus, consultez la rubrique
Gestion des utilisateurs dans l'Active Directory.
Provisionnement de l'authentificateur SSO ThingWorx
Si vous avez activé l'authentification unique (SSO) avec ThingworxSSOAuthenticator, le provisionnement est automatiquement activé. Les attributs utilisateur sont récupérés sur le serveur d'autorisation, par exemple PingFederate, qui sert de courtier entre ThingWorx et le fournisseur d'identité. Il s'agit d'un provisionnement de type "juste à temps", car les comptes utilisateurs sont créés (s'ils n'existent pas déjà dans ThingWorx) et mis à jour lorsqu'un utilisateur se connecte à ThingWorx. Les attributs d'utilisateur sont inclus dans la réponse du fournisseur d'identité utilisée pour l'authentification. Rapprochez-vous de l'administrateur IdP pour comprendre l'utilisateur et pour vous assurer que le compte utilisateur dans ThingWorx est mis à jour au moment de la connexion. Par défaut, ThingWorx utilise uniquement l'attribut nom d'utilisateur pour créer l'utilisateur. Tous les attributs supplémentaires que vous souhaitez utiliser doivent être configurés sur le serveur d'autorisation de sorte qu'ils soient transmis dans la réponse du fournisseur d'identité, puis mappés aux propriétés d'extension utilisateur.
Une configuration supplémentaire est requise pour gérer les paramètres de provisionnement utilisés avec cette méthode. Pour en savoir plus, consultez la rubrique
Authentification unique.
Dans ThingWorx, le provisionnement ThingworxSSOAuthenticator ne peut être utilisé que pour créer et mettre à jour des comptes utilisateur ; il ne peut pas être supprimé.
Si vous utilisez Azure AD pour implémenter des fonctionnalités d'authentification SSO, consultez la rubrique
Azure AD en tant que CAS et IdP dans le Centre d'aide Gestion des identités et des accès PTC.
Si vous utilisez AD FS pour implémenter des fonctionnalités d'authentification SSO, consultez la rubrique
AD FS en tant que CAS et IdP dans le Centre d'aide Gestion des identités et des accès PTC.
Provisionnement SCIM
SCIM est une méthode automatisée qui synchronise les modifications apportées aux comptes utilisateurs chez le fournisseur d'identité afin de les mettre à jour dans les comptes utilisateurs de ThingWorx. Le provisionnement SCIM peut être activé en complément des paramètres de provisionnement SAML configurés avec l'authentification SSO. Il peut également l'être indépendamment de l'authentification SSO. Au lieu des mises à jour "juste à temps" des comptes utilisateurs qui se produisent en cas de provisionnement SAML, l'automatisation SCIM signifie que les modifications apportées aux comptes utilisateurs sont auto-provisionnés dans ThingWorx en fonction des modifications apportées au compte utilisateur chez le fournisseur d'identité.
Pour configurer le provisionnement SCIM, consultez les rubriques suivantes.
Utilisation des provisionnements SCIM et SAML
Si vous utilisez à la fois les provisionnements SAML et SCIM, les configurations pour l'une et l'autre méthodes doivent être en phase afin qu'elles utilisent les attributs utilisateur de manière logique. Par exemple, confirmez que les groupes ThingWorx et IdP (fournisseur d'identité) sont mappés de la même façon dans le ThingworxSSOAuthenticator et le sous-système SCIM. Si un groupe auquel appartient un utilisateur dans le fournisseur d'identité est mappé avec différents groupes ThingWorx dans le sous-système SCIM et ThingworxSSOAuthenticator, l'utilisateur peut être ajouté à divers groupes ThingWorx lorsque le compte utilisateur est mis à jour en fonction du provisionnement de SCIM ou SAML.
Consultez la rubrique
Création d'un canal vers le magasin de données pour obtenir une liste des propriétés d'extension utilisateur ThingWorx qui sont mappées vers les types de ressources de SCIM 1.1 Schema. Lors de la configuration du provisionnement SAML dans ThingworxSSOAuthenticator, la table Extension utilisateur pour noms de fournisseurs mappe les valeurs des métadonnées utilisateur qui sont transmises à partir des attributs SAML vers les propriétés d'extension utilisateur ThingWorx. Lorsque vous utilisez à la fois les provisionnements SCIM et SAML, vous devez vous assurer que pour chacune des valeurs de métadonnées utilisateur qui sont récupérées auprès du fournisseur d'identité, il existe un mappage correspondant d'attributs SAML configuré dans la table Extension utilisateur pour noms de fournisseurs ThingworxSSOAuthenticator. Si les métadonnées d'extension utilisateur ne sont pas mappées dans ThingworxSSOAuthenticator : lorsque l'utilisateur ouvre une session et que le provisionnement SAML intervient, cette valeur d'extension utilisateur est effacée car aucune valeur pour cette extension n'est récupérée dans l'assertion SAML.
A l'aide des sections appropriées ci-dessous, configurez l'objet ThingWorx UserExtension pour qu'il corresponde aux attributs que vous avez configurés dans le CAS à provisionner :
Si PingFederate est le CAS
2. Concertez-vous avec votre administrateur PingFederate pour veiller à ce que les mêmes métadonnées utilisateur soient mappées avec les attributs SAML inclus dans l'assertion renvoyée à ThingWorx lorsqu'un utilisateur ouvre une session.
3. Configurez la table Extension utilisateur pour noms de fournisseurs ThingworxSSOAuthenticator afin de mapper la valeur appropriée de l'assertion SAML vers les propriétés correspondantes d'extension utilisateur qui sont configurées à partir du type de ressources SCIM Schema correspondant.
Si Azure AD est le CAS et l'IdP
Pour répertorier les attributs utilisateur dans Azure AD, sélectionnez votre application d'entreprise et accédez à > > > . Pour plus d'informations, consultez la table
Mappages ThingWorx vers SCIM.
Dans ThingWorx
Assurez-vous que chaque attribut utilisateur stocké dans l'IdP et à configurer dans ThingWorx est répertorié dans le CAS pour la configuration.