Déploiement de l'authentification ThingWorx
Dans cette section, nous allons examiner les solutions d'authentification disponibles pour les implémentations ThingWorx.
Les solutions incluent l'authentification standard, l'authentification via le protocole LDAP (Lightweight Directory Access Protocol) de l'entreprise ou Active Directory, ainsi que l'authentification via une configuration SSO (authentification unique).
Composants
• Service d'annuaire : tient à jour la liste des utilisateurs d'une entreprise ainsi que leurs informations d'identification et d'autorisation. Microsoft Active Directory, OpenLDAP et Apache Directory Server sont des implémentations courantes de services d'annuaire.
• Serveur d'authentification central (CAS) : outil tiers qui gère l'authentification des utilisateurs dans une fédération, afin de permettre aux utilisateurs d'accéder aux données de plusieurs applications en se connectant une seule fois. PTC prend en charge une configuration de PingFederate dans ce rôle.
PingFederate est un produit tiers fourni par PTC dans le cadre de sa solution SSO. PingFederate joue le rôle de serveur d'autorisation facilitant l'échange d'assertions SAML et de jetons d'accès OAuth.
• Fournisseur d'identité (IdP) : outil tiers qui gère les données d'identité des utilisateurs et fournit des informations sur ces derniers. Un IdP peut être un système de gestion des utilisateurs ou un Active Directory qui stocke les noms d'utilisateur, les mots de passe et d'autres informations d'identification. Le CAS référence l'IdP lors de l'authentification d'un utilisateur.
• Fournisseur de services : application via laquelle les informations protégées sont demandées. Il s'agit généralement du serveur ThingWorx.
• Fournisseur de ressources : application dans laquelle les informations protégées sont conservées. Il peut s'agir de ThingWorx lui-même ou d'une autre application telle que Windchill.
Références
• Authentificateurs : mécanismes d'authentification dans ThingWorx.
• Authentification de services d'annuaire : configurez ThingWorx pour l'authentification via un service d'annuaire.
• Authentification unique : configurez ThingWorx pour utiliser l'authentification SAML et l'autorisation déléguée OAuth.
Architecture d'authentification de base
L'authentification de base de ThingWorx utilise la méthodologie d'authentification de base HTTP standard implémentée par le conteneur de servlet Tomcat.
Du point de vue du déploiement, il n'existe aucune exigence supplémentaire pour les composants matériels ou logiciels. Toutefois, il s'agit de la forme d'authentification la moins sécurisée prise en charge.
Liste des composants | Nombre de composants |
|---|---|
ThingWorx Foundation Server | 1 |
Base de données | 1 |
Architecture pour l'authentification via LDAP
Un autre déploiement d'authentification courant consiste à utiliser le serveur LDAP d'une entreprise en tant que source d'authentification.
Dans ce cas, ThingWorx est configuré pour se connecter au serveur LDAP pour les tâches d'autorisation et d'authentification.
Liste des composants | Nombre de composants |
|---|---|
ThingWorx Foundation Server | 1 |
Base de données | 1 |
Serveur LDAP | 1 |
Architecture pour l'authentification SSO à l'aide de PingFederate
ThingWorx 9.0 fournit une intégration avec PingFederate, qui peut ensuite être configurée pour fournir un schéma d'authentification unique sur plusieurs systèmes logiciels.
Le diagramme suivant décrit un système PingFederate dans une configuration haute disponibilité :
Liste des composants | Nombre de composants |
|---|---|
ThingWorx Foundation Server | 1 |
Base de données ThingWorx | 1 |
Serveur PingFederate | 1 |
Service de fournisseur d'identité (IdP) | 1 |
Serveur d'annuaire (LDAP) | 1 |