Autenticatore Single Sign-On
ThingworxSSOAuthenticator viene utilizzato per eseguire il provisioning degli utenti quando è attivato il Single Sign-On (SSO) in ThingWorx. Gli account utente vengono creati e aggiornati in base agli attributi recuperati dal provider di identificativi. Utilizzare questo autenticatore per definire le impostazioni di default per gli utenti sottoposti a provisioning oppure per identificare i valori di attributo applicati alle impostazioni utente. Il provisioning delle impostazioni tramite ThingworxSSOAuthenticator non elimina gli account utente. Per questa funzionalità, fare riferimento al provisioning SCIM.
Prerequisiti
SSO deve essere attivato in ThingWorx. Per ulteriori informazioni, vedere Autenticazione Single Sign-On e Help Center per la gestione di identificativi e accessi PTC.
• Quando PingFederate è il CAS, mappare l'attributo nel contratto di regole PingFederate.
Nell'ambito della configurazione SSO viene distribuito e configurato un server di autorizzazione (PingFederate) per reindirizzare le richieste di autenticazione SAML al provider di identificativi. È possibile creare una connessione SP in PingFederate a cui ThingWorx invia le richieste di autenticazione SAML. Un contratto di criteri è il meccanismo utilizzato da PingFederate per passare gli attributi di asserzione dal provider di identificativi al provider di servizi (ThingWorx). Tutti gli attributi identificati nelle tabelle di configurazione riportate di seguito devono essere elencati nel contratto di criteri in PingFederate in modo che possano essere passati tra le connessioni.
In PingFederate è possibile creare un contratto di regole per la connessione SP utilizzata da ThingWorx per connettersi a PingFederate. Il contratto di regole è il luogo in cui si mappano gli attributi che si desidera trasferire dal provider di identificativi a ThingWorx. Per ulteriori informazioni, vedere Creazione delle connessioni PingFederate.
Per ulteriori informazioni, fare riferimento ai seguenti siti PingFederate:
◦ Documentazione PingFederate: Bridging an IdP to an SP https://docs.pingidentity.com/bundle/pingfederate-100/page/ffk1564002971738.html
◦ Documentazione PingFederate: Federation hub and authentication policy contracts https://docs.pingidentity.com/bundle/pingfederate-100/page/ope1564002971971.html
• Quando si utilizza Azure AD per implementare le funzionalità SSO, vedere l'argomento relativo ad Azure AD come CAS e IdP nell'Help Center per la gestione di identificativi e accessi PTC.
• Quando si utilizza AD FS per implementare le funzionalità SSO, vedere l'argomento relativo ad AD FS come CAS e IdP nell'Help Center per la gestione di identificativi e accessi PTC.
 |
Quando ThingWorx è configurato per l'utilizzo con il server CAS Atlas IAM, ad esempio i clienti di Windchill+, non vi sono prerequisiti. È possibile utilizzare l'autenticatore immediatamente. Il server CAS Atlas IAM è già configurato.
|
Per la risoluzione dei problemi e il supporto, vedere il sito di supporto per la gestione di identificativi e accessi.
Le opzioni nelle tabelle di configurazione riportate di seguito consentono di specificare il comportamento dell'autenticatore.
Provisioning utenti
|
Creazione utente attivata
|
Selezionare questa opzione per consentire la creazione di account utente in ThingWorx in base alle credenziali recuperate dal server di autorizzazione. Se un utente tenta di accedere a ThingWorx, ma non è stato creato un account utente ThingWorx, questa impostazione consente di creare l'account utente ThingWorx in base ai dati dell'utente memorizzati nel provider di identificativi.
|
|
Modifica utente attivata
|
Selezionare questa opzione per consentire la modifica degli account utente presenti in ThingWorx. Si tratta di un'opzione importante per consentire gli aggiornamenti futuri degli account durante gli eventi di accesso successivi all'accesso iniziale, quando l'utente è stato creato per sincronizzare i dati utente di ThingWorx con i dati dell'account utente del provider di identificativi.
|
|
È necessario eseguire il provisioning di tutti gli attributi delle credenziali
|
Se attivata, tutti gli attributi delle credenziali restituiti dal provider di identificativi devono essere utilizzati (applicato all'utente). Se qualche attributo non viene utilizzato, l'utente non viene creato/aggiornato e l'accesso ha esito negativo.
Questa opzione non è selezionata per default.
|
|
Termina sessioni utente quando cambia autenticatore
|
Se attivata, tutte le sessioni attive per gli utenti sottoposti a provisioning vengono terminate quando la configurazione dell'autenticatore SSO di ThingWorx viene salvata.
Non si applica agli utenti specificati in Elenco di esclusione provisioning utenti.
Questa opzione non è selezionata per default.
|
Elenco di esclusione provisioning utenti
Specifica tutti gli utenti da escludere dalla configurazione Default utente riportata di seguito.
|
|
Gli utenti vengono aggiunti a questo elenco per default. Se si tenta di rimuovere questi utenti, quando si aggiorna la pagina vengono aggiunti di nuovo automaticamente.
• Amministratore ThingWorx
• SuperUser
• Utente di sistema
|
Default utente
Questi attributi di default vengono applicati a tutti gli utenti ad eccezione di quelli aggiunti all'Elenco di esclusione provisioning utenti. Questi attributi vengono applicati quando l'utente esegue l'accesso.
|
Descrizione
|
Immettere una descrizione da utilizzare per gli utenti sottoposti a provisioning. È ad esempio possibile indicare che un account utente è stato creato tramite provisioning automatico.
|
|
Mashup
|
Specifica il mashup di default che gli utenti sottoposti a provisioning visualizzano all'accesso.
|
|
Mashup mobile
|
Specifica il mashup mobile di default che gli utenti sottoposti a provisioning visualizzano all'accesso.
|
|
Tag
|
Specifica i tag di default da applicare agli utenti sottoposti a provisioning. Questo elenco di tag sostituisce eventuali tag esistenti per gli account utente già presenti e in fase di aggiornamento.
|
Impostazione provider identificativi utente
Anziché applicare le impostazioni definite nella tabella Default utente precedentemente illustrata, utilizzare questa tabella per identificare gli attributi recuperati dal provider di identificativi che devono essere applicati all'impostazione dell'utente. In questa tabella specificare le chiavi di attributo per gli attributi utente restituiti nell'asserzione SAML dal provider di identificativi. Il valore che viene restituito per la chiave di attributo viene applicato all'impostazione dell'utente. Le voci definite in questa tabella sostituiscono le impostazioni di default specificate nella tabella Default utente.
|
Descrizione
|
Immettere una chiave di attributo che corrisponda al valore dell'attributo da applicare come descrizione.
|
||||
|
Mashup di default
|
Immettere una chiave di attributo che corrisponda al valore dell'attributo da utilizzare per determinare il mashup di default.
|
||||
|
Mashup mobile
|
Immettere una chiave di attributo che corrisponda al valore dell'attributo da utilizzare per determinare il mashup mobile.
|
||||
|
Tag
|
Immettere una chiave di attributo che corrisponda al valore dell'attributo da utilizzare per determinare quali tag sono applicati all'utente.
|
||||
|
Gruppi
|
Immettere una chiave di attributo che corrisponda al valore dell'attributo da utilizzare per determinare i gruppi ThingWorx a cui viene aggiunto l'utente sottoposto a provisioning.
|
Gruppi di default utente sottoposto a provisioning
Specificare i gruppi a cui devono essere aggiunti gli utenti sottoposti a provisioning automatico. Questo elenco di gruppi sostituisce l'appartenenza a qualsiasi altro gruppo.
Mappature gruppi provider identificativi
Questa tabella mappa il nome del gruppo IdP al nome del gruppo ThingWorx corrispondente.
È ad esempio possibile fare in modo che il gruppo con provisioning abbia un nome diverso in ThingWorx rispetto a quello in IdP. Dopo la mappatura dei nomi, qualsiasi modifica apportata al gruppo in IdP si riflette nel gruppo ThingWorx mappato.
Estensione utente per nomi provisioning
Questa tabella viene utilizzata per impostare i valori delle proprietà dell'estensione utente. Per ulteriori informazioni su queste proprietà, vedere Utente.
Per ogni voce della tabella sono presenti tre colonne.
|
Nome proprietà
|
Identifica la proprietà dell'estensione utente
|
||
|
Valore di default
|
Consente di specificare un valore da applicare alla proprietà per default quando un account utente viene sottoposto a provisioning.
|
||
|
Attributo provider identificativi
|
Consente di specificare un attributo personalizzato che viene restituito nell'asserzione SAML. Il valore dell'attributo restituito viene applicato come valore della proprietà. Se questo campo viene definito, sostituisce l'impostazione in Valore di default.
|
|
|
Se si utilizza anche il provisioning SCIM, è consigliabile utilizzare questa tabella per verificare che esista un'asserzione SAML per tutti i valori di attributo dell'estensione utente restituiti dal server di autorizzazione o da IdP tramite l'attributo di uno schema SCIM. Per ulteriori informazioni, vedere Provisioning.
|
Quando SSO è attivato in ThingWorx, ThingworxSSOAuthenticator è attivato ed è l'autenticatore di default. Se SSO non è attivato in ThingWorx, l'autenticatore è disattivato. Quando SSO è attivato, gli autenticatori di accesso seguenti sono disattivati:
• ThingworxAppKeyAuthenticator
• ThingworxBasicAuthenticator
• ThingworxFormAuthenticator
• ThingworxHttpBasicAuthenticator
Per gli autenticatori riportati di seguito è disponibile un'opzione configurabile che ne consente l'attivazione. Tale opzione viene tuttavia sostituita da SSO e sono sempre disattivati quando SSO è attivato.
• ThingworxMobileAuthorizationAuthenticator
• ThingworxMobileTokenAuthenticator
• Autenticatori personalizzati
La tabella riportata di seguito fornisce informazioni sulle modifiche degli stati utente in ThingWorx in virtù delle opzioni selezionate in ThingworxSSOAuthenticator e sullo stato sul server di autorizzazione o in IdP al momento dell'accesso. Gli stati utente presenti sul server di autorizzazione o in IdP non vengono modificati in questi scenari. Viene modificato esclusivamente lo stato in ThingWorx. Gli elementi aggiunti a [Primary] sono i fattori principali che influiscono sullo stato dell'utente in ThingWorx dopo l'accesso.
|
Stato dell'utente in AS o IdP
|
Stato dell'utente in ThingWorx prima dell'accesso
|
Opzioni di ThingworxSSOAuthenticator
|
Stato dell'utente in ThingWorx dopo l'accesso
|
|---|---|---|---|
|
Non esiste
|
Non esiste
|
Qualsiasi configurazione
|
• Non esiste
• Non può essere utilizzato per eseguire l'accesso
|
|
Non esiste
|
• Esiste (creato manualmente dall'amministratore di ThingWorx)
• [Primary] La password è stata impostata e si trova in ThingWorx
|
• Creazione provisioning utenti attivata
• Modifica provisioning utenti attivata
• [Primary] Elencato in Elenco di esclusione provisioning utenti
|
• Esiste
• Non è stato modificato
• Non può essere utilizzato per eseguire l'accesso
|
|
Non esiste
|
• Esiste (creato manualmente dall'amministratore di ThingWorx)
• [Primary] La password non è stata impostata o non si trova in ThingWorx
|
• Creazione provisioning utenti attivata
• Modifica provisioning utenti attivata
• [Primary] Elencato in Elenco di esclusione provisioning utenti
|
• Esiste
• Non è stato modificato
• Non può essere utilizzato per eseguire l'accesso
|
|
Non esiste
|
Esiste (creato manualmente dall'amministratore di ThingWorx)
|
• Creazione provisioning utenti attivata
• Modifica provisioning utenti attivata
• [Primary] Non presente nell'elenco di esclusione provisioning utenti
|
• Esiste
• Non è stato modificato
• Non può essere utilizzato per eseguire l'accesso
|
|
• Esiste
• [Primary] Disattivato
|
Non esiste
|
• Creazione provisioning utenti attivata
• Modifica provisioning utenti attivata
• Non presente nell'elenco di esclusione provisioning utenti
|
• Non esiste
• Non può essere utilizzato per eseguire l'accesso
|
|
• Esiste
• [Primary] Bloccato
|
Non esiste
|
• Creazione provisioning utenti attivata
• Modifica provisioning utenti attivata
• Non presente nell'elenco di esclusione provisioning utenti
|
• Non esiste
• Non può essere utilizzato per eseguire l'accesso
|
|
Esiste
|
Non esiste
|
• [Primary] Creazione provisioning utenti disattivata
• Modifica provisioning utenti attivata
• Non presente nell'elenco di esclusione provisioning utenti
|
• Non esiste
• Non può essere utilizzato per eseguire l'accesso
|
|
Esiste
|
Non esiste
|
• [Primary] Creazione provisioning utenti attivata
• Modifica provisioning utenti attivata
• [Primary] Non presente nell'elenco di esclusione provisioning utenti
|
• Esiste (creato)
• Aggiunto come membro ai gruppi mappati
• Impostazioni utente di default aggiunte
• Può essere utilizzato per eseguire l'accesso
|
|
Esiste
|
Esiste
|
• Creazione provisioning utenti attivata
• [Primary] Modifica provisioning utenti attivata
• [Primary] Non presente nell'elenco di esclusione provisioning utenti
• [Primary] Impostazioni di default dell'utente configurate
|
• L'utente viene modificato
• Aggiunto o rimosso come membro dai gruppi mappati
• Impostazioni utenti di default aggiunte
• Può essere utilizzato per eseguire l'accesso
|
|
Esiste
|
Esiste
|
• Creazione provisioning utenti attivata
• [Primary] Modifica provisioning utenti attivata
• [Primary] Elencato in Elenco di esclusione provisioning utenti
• [Primary] Impostazioni di default dell'utente configurate
|
• L'utente non viene modificato
• Può essere utilizzato per eseguire l'accesso
|