프로비져닝 방법

Composer의 ThingWorx 모델 정의 > 보안 > 프로비져닝 > 프로비져닝 방법

프로비져닝 방법

활성 디렉터리 프로비져닝

Active Directory에서 고정 인증을 사용하는 경우 디렉터리 서비스에서 사용자 프로비져닝을 구성합니다. 자세한 내용은 Active Directory에서 사용자 관리를 참조하십시오.

ThingWorx SSO 인증자 프로비져닝

ThingworxSSOAuthenticator로 SSO(Single Sign-On) 인증을 활성화하면 SAML 프로비져닝이 자동으로 활성화됩니다. 사용자 속성은 ThingWorx와 ID 공급자 간의 브로커 역할을 하는 승인 서버(예: PingFederate)에서 검색합니다. 사용자 계정이 생성되고(ThingWorx에 아직 없는 경우) 사용자가 ThingWorx에 로그인할 때 업데이트되므로 "Just-In-Time" 프로비져닝으로 간주됩니다. 사용자 속성은 인증에 사용되는 ID 공급자 응답에 포함됩니다. IdP 관리자와 함께 작동하여 사용자를 확인하고, 로그인 이벤트가 발생할 때 ThingWorx의 사용자 계정이 업데이트되는지 확인합니다. 기본적으로 ThingWorx는 username 속성만 사용하여 사용자를 생성합니다. 추가 속성을 사용하려면 ID 공급자 응답에 전달한 다음 사용자 확장 속성에 매핑하도록 승인 서버에서 구성해야 합니다.

이 방법으로 사용되는 프로비져닝 설정을 관리하려면 추가 구성이 필요합니다. 자세한 내용은 SSO(Single Sign-On) 인증을 참조하십시오.

ThingWorx에서 ThingworxSSOAuthenticator 프로비져닝은 사용자 계정을 생성 및 업데이트하는 데만 사용할 수 있으며 삭제할 수 없습니다.

Azure AD를 사용하여 SSO 기능을 구현하는 경우 PTC ID 및 액세스 관리 도움말 센터의 Azure AD as the CAS and IdP(Azure AD를 CAS 및 IdP로 사용)를 참조하십시오.

AD FS를 사용하여 SSO 기능을 구현하는 경우 PTC ID 및 액세스 관리 도움말 센터의 AD FS as the CAS and IdP(AD FS를 CAS 및 IdP로 사용)를 참조하십시오.

SCIM 프로비져닝

SCIM은 ID 공급자의 사용자 계정에 대한 변경 사항을 동기화하여 ThingWorx의 사용자 계정에 푸시하도록 하는 자동화된 방법입니다. SSO 인증을 사용하여 구성된 SAML 프로비져닝 설정을 보완하기 위해 SCIM 프로비져닝을 활성화할 수 있습니다. SCIM 프로비져닝을 활성화하거나 SSO 인증과 독립적으로 활성화할 수도 있습니다. SAML 프로비져닝에서 발생하는 사용자 계정에 대한 Just-In-Time 업데이트 대신 SCIM 자동화는 ID 공급자의 사용자 계정 변경 사항을 기반으로 사용자 계정의 변경 사항이 ThingWorx로 자동 프로비져닝됨을 의미합니다.

SCIM 프로비져닝을 구성하려면 다음 항목을 참조하십시오.

• SCIM

• SCIM 하위 시스템

SCIM 및 SAML 프로비져닝 사용

SAML 및 SCIM 프로비져닝을 모두 사용하는 경우 논리적 방식으로 사용자 속성을 사용하도록 두 프로비져닝에 대한 구성이 정렬되어 있어야 합니다. 예를 들어, ThingWorx 및 IdP 그룹이 ThingworxSSOAuthenticator 및 SCIM 하위 시스템에서 동일한 방식으로 매핑되는지 확인합니다. IdP에서 사용자가 속한 그룹이 ThingworxSSOAuthenticator 및 SCIM 하위 시스템의 다른 ThingWorx 그룹으로 매핑될 경우 SCIM 또는 SAML 프로비져닝에 따라 사용자 계정이 업데이트될 때 사용자가 다른 ThingWorx 그룹에 추가될 수 있습니다.

SCIM 1.1 스키마 리소스 유형에 매핑된 ThingWorx 사용자 확장 속성 목록은 데이터 저장소에 대한 채널 생성을 참조하십시오. ThingworxSSOAuthenticator에서 SAML 프로비져닝을 구성할 때 사용자 확장 프로비젼 이름 테이블은 SAML 속성에서 ThingWorx 사용자 확장 속성으로 전달되는 사용자 메타데이터 값을 매핑합니다. SCIM 및 SAML 프로비져닝을 모두 사용하는 경우 IdP로부터 검색한 각 사용자 메타데이터 값에 대해 해당 SAML 속성 매핑이 ThingworxSSOAuthenticator 사용자 확장 프로비젼 이름 테이블에 구성되어 있는지 확인해야 합니다. 사용자 확장 메타데이터가 ThingworxSSOAuthenticator에 매핑되지 않은 경우 사용자가 로그인하고 SAML 프로비져닝이 발생하면 SAML 어설션으로부터 해당 사용자 확장에 대한 값을 검색하지 않기 때문에 해당 사용자 확장 값이 지워집니다.

아래에서 해당 단원을 사용하여 프로비져닝할 CAS에서 구성한 속성과 일치하도록 ThingWorx UserExtension 객체를 구성합니다.

PingFederate가 CAS인 경우

1. IdP 관리자와 협력하여 데이터 저장소에 대한 채널 생성에 나열된 각 SCIM 1.1 스키마 리소스 유형에 대해 반환되는 사용자 메타데이터를 파악합니다.

2. PingFederate 관리자와 협력하여 사용자가 로그인할 때 ThingWorx에 반환되는 어설션에 포함된 SAML 속성에 동일한 사용자 메타데이터가 매핑되도록 합니다.

3. 적절한 SAML 어설션 값이 해당 SCIM 스키마 리소스 유형에서 프로비젼된 해당 사용자 확장 속성에 매핑되도록 ThingworxSSOAuthenticator 사용자 확장 프로비젼 이름 테이블을 구성합니다.

Azure AD가 CAS 및 IdP 모두인 경우

Azure AD의 사용자 속성을 나열하려면 엔터프라이즈 응용 프로그램을 선택하고 Provisioning > Mappings > Provision Azure Active Directory Users > Attribute Mapping으로 이동합니다. 자세한 내용은 ThingWorx와 SCIM 매핑 표를 참조하십시오.

ThingWorx의 경우

ThingWorx에 프로비져닝할 IdP에 저장된 각 사용자 속성이 프로비져닝할 CAS에 나열되어 있는지 확인합니다.

도움이 되셨나요?