SSO(Single Sign-On) 인증자
ThingworxSSOAuthenticator는 ThingWorx에서 SSO(Single Sign-On)가 활성화되면 사용자를 프로비져닝하는 데 사용됩니다. 사용자 계정은 ID 공급자로부터 읽어들인 속성에 따라 생성되고 업데이트됩니다. 이 인증자를 사용하면 프로비젼된 사용자에 대한 기본 설정을 정의하거나 사용자 설정에 적용되는 속성 값을 식별할 수 있습니다. ThingworxSSOAuthenticator에 의한 설정 프로비져닝으로 사용자 계정이 삭제되지는 않습니다. 이러한 기능은 SCIM 프로비져닝을 참조하십시오.
사전 요구 사항
SSO가 ThingWorx에서 활성화되어 있어야 합니다. 자세한 내용은 SSO(Single Sign-On) 인증 및 PTC IAM 도움말 센터를 참조하십시오.
• PingFederate가 CAS인 경우 PingFederate 정책 계약의 속성을 매핑합니다.
SSO 구성의 일부로 ID 공급자에 SAML 인증 요청을 리디렉션하도록 승인 서버(PingFederate)가 배포 및 구성됩니다. ThingWorx에서 SAML 인증 요청을 전송하도록 PingFederate에서 SP 연결을 생성합니다. 정책 계약은 PingFederate에서 어설션 속성을 ID 공급자에서 서비스 공급자(ThingWorx)로 전송하는 데 사용하는 메커니즘입니다. 다음 구성 테이블에서 식별된 속성은 연결 간에 전달될 수 있도록 PingFederate의 정책 계약에 나열되어야 합니다.
PingFederate에서 ThingWorx가 PingFederate에 연결하는 데 사용하는 SP 연결에 대한 정책 계약을 생성할 수 있습니다. 정책 계약에서는 ID 공급자에서 ThingWorx로 전달할 속성을 매핑합니다. 자세한 내용은 PingFederate 연결 생성을 참조하십시오.
자세한 내용은 PingFed 사이트를 참조하십시오.
◦ PingFederate 설명서: Bridging an IdP to an SP(SP에 IdP 연결) https://docs.pingidentity.com/bundle/pingfederate-100/page/ffk1564002971738.html
◦ PingFederate 설명서: Federation hub and authentication policy contracts(페더레이션 허브 및 인증 정책 계약) https://docs.pingidentity.com/bundle/pingfederate-100/page/ope1564002971971.html
• Azure AD를 사용하여 SSO 기능을 구현하는 경우 PTC ID 및 액세스 관리 도움말 센터의 Azure AD as the CAS and IdP(Azure AD를 CAS 및 IdP로 사용)를 참조하십시오.
• AD FS를 사용하여 SSO 기능을 구현하는 경우 PTC ID 및 액세스 관리 도움말 센터의 AD FS as the CAS and IdP(AD FS를 CAS 및 IdP로 사용)를 참조하십시오.
 |
ThingWorx가 Atlas IAM CAS 서버와 함께 작동하도록 구성된 경우(예: Windchill+ 고객) 사전 요구 사항이 없습니다. 인증자를 즉시 사용할 수 있습니다. Atlas IAM CAS 서버가 이미 구성되어 있습니다.
|
문제 해결 및 지원은 IAM 지원 사이트를 참조하십시오.
다음 구성 테이블의 옵션을 사용하여 인증자의 동작을 지정할 수 있습니다.
사용자 프로비져닝
|
사용자 작성 사용
|
승인 서버로부터 읽어들인 자격 증명에 따라 ThingWorx에서 사용자 계정을 생성하려면 선택합니다. 사용자가 ThingWorx에 로그인하려고 시도하지만 ThingWorx 사용자 계정이 생성되지 않은 경우 이 설정을 사용하면 ID 제공자에 저장된 사용자 데이터에 따라 ThingWorx 사용자 계정을 생성할 수 있습니다.
|
|
사용자 수정 사용
|
ThingWorx에 존재하는 사용자 계정의 수정을 허용하려면 선택합니다. 이는 초기 로그인 후 후속 로그인 이벤트 중 ThingWorx 사용자 데이터를 ID 공급자의 사용자 계정 데이터와 동기화하기 위해 사용자를 생성할 때 향후 업데이트할 수 있어야 하므로 중요합니다.
|
|
모든 자격 증명 속성은 프로비젼되어야 합니다
|
활성화하면 ID 공급자에 의해 반환된 모든 자격 증명 속성이 사용되어야 합니다(사용자에 적용됨). 사용되지 않으면 사용자가 생성/업데이트되지 않으며 로그인이 실패합니다.
이 옵션은 기본적으로 선택되지 않습니다.
|
|
인증자 변경 시 사용자 세션 종료
|
활성화하면 ThingWorx SSO 인증자 구성이 저장될 때 프로비젼된 사용자에 대한 모든 활성 세션이 종료됩니다.
이는 사용자 프로비져닝 제외 목록에 지정된 사용자에게는 적용되지 않습니다.
이 옵션은 기본적으로 선택되지 않습니다.
|
사용자 프로비져닝 제외 목록
아래 사용자 기본값 구성에서 제외해야 할 사용자를 지정하십시오.
|
|
기본적으로 사용자는 이 목록에 추가됩니다. 이러한 사용자를 제거하려고 하면 해당 페이지를 새로 고칠 때 자동으로 다시 추가됩니다.
• ThingWorx 관리자
• 슈퍼 사용자
• 시스템 사용자
|
사용자 기본값
이러한 기본 속성은 사용자 프로비져닝 제외 목록에 추가된 사용자를 제외한 모든 사용자에 적용됩니다. 이러한 속성은 사용자 로그인 시 적용됩니다.
|
설명
|
프로비젼된 사용자에 대해 사용할 설명을 입력합니다. 예를 들어, 자동 프로비져닝을 통해 사용자 계정이 생성되었음을 기록할 수 있습니다.
|
|
매쉬업
|
로그인 시 프로비젼된 사용자에게 표시되는 기본 홈 매쉬업을 지정합니다.
|
|
모바일 매쉬업
|
로그인 시 프로비젼된 사용자에게 표시되는 기본 모바일 매쉬업을 지정합니다.
|
|
태그
|
프로비젼된 사용자에게 적용할 기본 태그를 지정합니다. 이 태그 목록은 이미 존재하며 업데이트 중인 사용자 계정에 대한 기존 태그를 재정의합니다.
|
사용자 ID 공급자 설정
위의 사용자 기본값 테이블에 정의된 설정을 적용하는 대신 다음 테이블을 사용하여 사용자의 설정에 적용해야 하는 ID 공급자로부터 읽어들인 속성을 식별합니다. 이 테이블을 사용하여 ID 공급자에서 SAML 어설션으로 반환되는 사용자 속성에 대한 속성 키를 지정합니다. 해당 속성 키에 대해 반환되는 값이 사용자의 설정에 적용됩니다. 이 테이블에 정의된 엔트리는 사용자 기본값 테이블에 지정된 기본 설정을 재정의합니다.
|
설명
|
설명으로 적용해야 하는 속성 값에 해당하는 속성 키를 입력합니다.
|
||||
|
홈 매쉬업
|
홈 매쉬업을 결정하는 데 사용해야 하는 속성 값에 해당하는 속성 키를 입력합니다.
|
||||
|
모바일 매쉬업
|
모바일 매쉬업을 결정하는 데 사용해야 하는 속성 값에 해당하는 속성 키를 입력합니다.
|
||||
|
태그
|
사용자에게 적용되는 태그를 결정하는 데 사용해야 하는 속성 값에 해당하는 속성 키를 입력합니다.
|
||||
|
그룹
|
프로비젼된 사용자가 추가되는 ThingWorx 그룹을 결정하는 데 사용할 속성 값에 해당하는 속성 키를 입력합니다.
|
프로비젼된 사용자의 기본 그룹
자동으로 프로비젼된 사용자를 추가할 그룹을 지정합니다. 이 그룹 목록은 기존 그룹 멤버 자격을 재정의합니다.
ID 공급자 그룹 매핑
이 테이블을 사용하여 IdP 그룹 이름을 해당하는 ThingWorx 그룹 이름에 매핑합니다.
예를 들어, 제공된 그룹이 ThingWorx에서 IdP에 지정된 이름과 다른 이름을 갖도록 할 수 있습니다. 이름을 매핑하면 IdP의 그룹에 대해 변경된 사항이 매핑된 ThingWorx 그룹에 반영됩니다.
사용자 확장 프로비젼 이름
이 테이블은 사용자 확장 속성에 대한 값을 설정하는 데 사용됩니다. 이러한 속성에 대한 자세한 내용은 사용자를 참조하십시오.
각 테이블 엔트리에 대해 세 개의 열이 있습니다.
|
속성 이름
|
사용자 확장 속성을 식별합니다.
|
||
|
기본값
|
사용자 계정이 프로비젼될 때 기본적으로 속성에 적용되는 값을 지정할 수 있습니다.
|
||
|
ID 공급자 속성
|
SAML 어설션에 반환되는 사용자 정의 속성을 지정할 수 있습니다. 반환된 속성의 값은 속성 값으로 적용됩니다. 이 필드가 정의되면 기본값의 설정을 재정의합니다.
|
|
|
또한 SCIM 프로비져닝을 사용하는 경우 이 테이블을 사용하여 SCIM 스키마 속성을 통한 IdP 또는 승인 서버에서 반환된 사용자 확장 속성 값에 대한 SAML 어설션이 있는지 확인해야 합니다. 자세한 내용은 프로비져닝을 참조하십시오.
|
ThingWorx에서 SSO가 활성화되면 ThingworxSSOAuthenticator가 활성화되며 기본 인증자가 됩니다. SSO가 ThingWorx에서 활성화되지 않으면 인증자가 비활성화됩니다. 다음 로그인 인증자는 SSO가 활성화될 때 비활성화됩니다.
• ThingworxAppKeyAuthenticator
• ThingworxBasicAuthenticator
• ThingworxFormAuthenticator
• ThingworxHttpBasicAuthenticator
다음 인증자에는 활성화하도록 구성 가능한 옵션이 있습니다. 그러나 SSO는 이 옵션을 재정의하며 SSO가 활성화될 때 항상 비활성화됩니다.
• ThingworxMobileAuthorizationAuthenticator
• ThingworxMobileTokenAuthenticator
• 사용자 정의 인증자
다음 표에서는 ThingworxSSOAuthenticator에서 선택한 옵션과 로그인 시 승인 서버 또는 IdP에서의 상태에 따라 ThingWorx에서 변경되는 사용자 상태에 대한 정보를 제공합니다. 이러한 시나리오에서 승인 서버 또는 IdP에서의 사용자 상태는 변경되지 않으며, ThingWorx에서의 상태만 영향을 받습니다. [기본]이 추가된 항목은 로그인 후 ThingWorx에서 사용자 상태에 영향을 주는 기본 요소입니다.
|
AS 또는 IdP에서의 사용자 상태
|
로그인 전 ThingWorx에서의 사용자 상태
|
ThingworxSSOAuthenticator 옵션
|
로그인 후 ThingWorx에서의 사용자 상태
|
|---|---|---|---|
|
없음
|
없음
|
모든 구성
|
• 없음
• 로그인하는 데 사용할 수 없음
|
|
없음
|
• 있음(ThingWorx 관리자에 의해 수동으로 생성됨)
• [기본] 암호가 ThingWorx에 설정되어 있고 존재함
|
• 사용자 프로비져닝 생성이 활성화됨
• 사용자 프로비져닝 수정이 활성화됨
• [기본] 사용자 프로비져닝 제외 목록에 나열됨
|
• 있음
• 수정되지 않음
• 로그인하는 데 사용할 수 없음
|
|
없음
|
• 있음(ThingWorx 관리자에 의해 수동으로 생성됨)
• [기본] 암호가 ThingWorx에 설정되지 않았거나 존재하지 않음
|
• 사용자 프로비져닝 생성이 활성화됨
• 사용자 프로비져닝 수정이 활성화됨
• [기본] 사용자 프로비져닝 제외 목록에 나열됨
|
• 있음
• 수정되지 않음
• 로그인하는 데 사용할 수 없음
|
|
없음
|
있음(ThingWorx 관리자에 의해 수동으로 생성됨)
|
• 사용자 프로비져닝 생성이 활성화됨
• 사용자 프로비져닝 수정이 활성화됨
• [기본] 사용자 프로비져닝 제외 목록에 나열되지 않음
|
• 있음
• 수정되지 않음
• 로그인하는 데 사용할 수 없음
|
|
• 있음
• [기본] 비활성화됨
|
없음
|
• 사용자 프로비져닝 생성이 활성화됨
• 사용자 프로비져닝 수정이 활성화됨
• 사용자 프로비져닝 제외 목록에 나열되지 않음
|
• 없음
• 로그인하는 데 사용할 수 없음
|
|
• 있음
• [기본] 잠김
|
없음
|
• 사용자 프로비져닝 생성이 활성화됨
• 사용자 프로비져닝 수정이 활성화됨
• 사용자 프로비져닝 제외 목록에 나열되지 않음
|
• 없음
• 로그인하는 데 사용할 수 없음
|
|
있음
|
없음
|
• [기본] 사용자 프로비져닝 생성이 비활성화됨
• 사용자 프로비져닝 수정이 활성화됨
• 사용자 프로비져닝 제외 목록에 나열되지 않음
|
• 없음
• 로그인하는 데 사용할 수 없음
|
|
있음
|
없음
|
• [기본] 사용자 프로비져닝 생성이 활성화됨
• 사용자 프로비져닝 수정이 활성화됨
• [기본] 사용자 프로비져닝 제외 목록에 나열되지 않음
|
• 있음(생성됨)
• 멤버로 매핑된 그룹에 추가됨
• 기본 사용자 설정이 추가됨
• 로그인하는 데 사용할 수 있음
|
|
있음
|
있음
|
• 사용자 프로비져닝 생성이 활성화됨
• [기본] 사용자 프로비져닝 수정이 활성화됨
• [기본] 사용자 프로비져닝 제외 목록에 나열되지 않음
• [기본] 사용자 기본 설정이 구성됨
|
• 사용자가 수정됨
• 멤버로 매핑된 그룹에 추가/제거됨
• 기본 사용자 설정이 추가됨
• 로그인하는 데 사용할 수 있음
|
|
있음
|
있음
|
• 사용자 프로비져닝 생성이 활성화됨
• [기본] 사용자 프로비져닝 수정이 활성화됨
• [기본] 사용자 프로비져닝 제외 목록에 나열됨
• [기본] 사용자 기본 설정이 구성됨
|
• 사용자가 수정되지 않음
• 로그인하는 데 사용할 수 있음
|