Аутентификатор единого входа
ThingworxSSOAuthenticator используется для подготовки учетных записей пользователей, когда в ThingWorx включен единый вход (SSO). Учетные записи создаются и обновляются на основе атрибутов, загруженных от поставщика удостоверений. Используйте этот аутентификатор, чтобы определить настройки по умолчанию для подготовленных пользователей или определить значения атрибутов удостоверений, которые применяются к настройкам пользователей. При подготовке настроек ThingworxSSOAuthenticator не удаляет учетные записи пользователей. Сведения об этой функциональности см. в разделе Подготовка SCIM.
Предварительные требования
Необходимо включить SSO в ThingWorx. Дополнительные сведения см. в разделе Аутентификация единого входа и в справочном центре PTC IAM.
• Когда CAS представляет PingFederate, сопоставьте атрибут в контракте политики PingFederate.
Как часть конфигурации SSO, развертывается и настраивается сервер авторизации (PingFederate), перенаправляющий запросы аутентификации SAML поставщику удостоверений. Вы создаете в PingFederate SP-соединение, по которому ThingWorx отправляет свои запросы аутентификации SAML. Контракт политики является механизмом, который PingFederate использует, чтобы передавать атрибуты утверждения от поставщика удостоверений поставщику сервисов (ThingWorx). Любые атрибуты, определенные в следующих таблицах конфигурации, должны быть перечислены в контракте политики в PingFederate, чтобы они могли передаваться через соединения.
В PingFederate можно создать контракт политики для соединения SP, который использует ThingWorx, для подключения к PingFederate. В контракте политики сопоставьте атрибуты, которые будут передаваться от поставщика удостоверений в ThingWorx. Дополнительные сведения см. в разделе Создание соединений PingFederate.
Дополнительные сведения см. на следующих сайтах PingFederate:
◦ Документация PingFederate: сопряжение IdP с SP https://docs.pingidentity.com/bundle/pingfederate-100/page/ffk1564002971738.html
◦ Документация PingFederate: контракты концентратора объединения и политики аутентификации https://docs.pingidentity.com/bundle/pingfederate-100/page/ope1564002971971.html
• При использовании Azure AD для реализации возможностей SSO см. раздел Azure AD в качестве CAS и IDP в справочном центре PTC по управлению реквизитами и доступом.
• При использовании AD FS для реализации возможностей SSO см. раздел AD FS в качестве CAS и IDP в справочном центре PTC по управлению реквизитами и доступом.
 |
Если ThingWorx сконфигурирован для работы с сервером Atlas IAM CAS, например с клиентами Windchill+, предварительные условия отсутствуют. Можно немедленно использовать аутентификатор. Сервер CAS IAM Atlas уже сконфигурирован.
|
Об устранении неисправностей и поддержке см. на сайте службы поддержки IAM.
Опции в следующих таблицах конфигурации позволяют задать поведение аутентификатора.
Подготовка учетных записей пользователей
|
Разрешено создание пользователей
|
Выберите, чтобы разрешить создание учетных записей пользователей в ThingWorx на основе учетных данных, загруженных с сервера авторизации. Если пользователь пытается войти в систему ThingWorx, но учетная запись ThingWorx не была создана, то эта настройка позволяет создавать учетную запись ThingWorx на основе данных пользователя, хранящихся в поставщике удостоверений.
|
|
Разрешено изменение пользователей
|
Выберите, чтобы разрешить изменение учетных записей пользователей, которые существуют в ThingWorx. Это важно, чтобы позволить будущие обновления учетных записей во время последующих событий входа в систему после первоначального входа, когда пользователь создавался, для синхронизации данных пользователя ThingWorx с данными учетной записи в поставщике удостоверений.
|
|
Необходимо представить все атрибуты учетных данных
|
Если эта опция выбрана, все атрибуты учетных данных, возвращаемых поставщиком удостоверений, должны быть приняты (применены к пользователю). Если какой-либо из них не принимается, пользователь не создается или не обновляется и вход в систему заканчивается сбоем.
Эта опция по умолчанию не выбрана.
|
|
Завершить сессию пользователя при смене аутентификатора
|
Если эта опция выбрана, все активные сессии для подготовленных учетных записей пользователей будут прерваны при сохранении конфигурации аутентификатора SSO ThingWorx.
Это не применяется к пользователям, указанным в поле Список исключений из подготовки учетных записей пользователей.
Эта опция по умолчанию не выбрана.
|
Список исключений из подготовки учетных записей пользователей
Укажите любых пользователей, которые должны быть исключены из конфигурации Значения по умолчанию для пользователей ниже.
|
|
По умолчанию в этот список добавляются следующие пользователи. При попытке удалить этих пользователей они автоматически добавятся вновь при обновлении страницы.
• Администратор ThingWorx
• Суперпользователь
• Системный пользователь
|
Значения по умолчанию для пользователей
Эти атрибуты по умолчанию будут применены ко всем пользователям, за исключением добавленных в Список исключений из подготовки учетных записей пользователей. Эти атрибуты применяются, когда пользователь входит в систему.
|
Описание
|
Введите описание, которое следует использовать для пользователей, для которых подготовляются учетные записи. Например, может потребоваться отметить, что учетная запись была создана посредством автоматической подготовки.
|
|
Мэшап
|
Определите главный мэшап по умолчанию, который подготовленные пользователи будут видеть при входе в систему.
|
|
Мобильный мэшап
|
Определите мобильный мэшап по умолчанию, который подготовленные пользователи будут видеть при входе в систему.
|
|
Теги
|
Определите теги по умолчанию для применения к подготовленным пользователям. Этот список тегов будет переопределять любые существующие теги для учетных записей, которые уже существуют и обновляются.
|
Настройки поставщика удостоверений пользователя
Вместо того чтобы применять настройки, определенные в приведенной выше таблице "Значения по умолчанию для пользователей", используйте эту таблицу, чтобы определить атрибуты, загруженные из поставщика удостоверений, которые должны быть применены к настройкам пользователя. В этой таблице вы указываете ключи атрибутов для атрибутов пользователя, которые возвращаются в утверждении SAML из поставщика удостоверений. Значение, которое возвращается для такого ключа атрибута, будет применено к настройке пользователя. Записи, определенные в этой таблице, переопределят настройки по умолчанию, указанные в таблице Значения по умолчанию для пользователей.
|
Описание
|
Введите ключ атрибута, соответствующий значению атрибута, которое должно быть применено как описание.
|
||||
|
Главный мэшап
|
Введите ключ атрибута, соответствующий значению атрибута, которое должно использоваться, чтобы определить главный мэшап.
|
||||
|
Мобильный мэшап
|
Введите ключ атрибута, соответствующий значению атрибута, которое должно использоваться, чтобы определить мобильный мэшап.
|
||||
|
Теги
|
Введите ключ атрибута, соответствующий значению атрибута, которое должно использоваться, чтобы определить, какие теги применяются к пользователю.
|
||||
|
Группы
|
Введите ключ атрибута, соответствующий значению атрибута, которое должно использоваться, чтобы определить группы ThingWorx, куда добавляется подготовленная учетная запись пользователя.
|
Группы по умолчанию для подготовленной учетной записи пользователя
Укажите группы, в которые должны добавляться автоматически подготовленные пользователи. Этот список групп будет переопределять членство в любых существующих группах.
Сопоставления групп поставщиков удостоверений
Эта таблица сопоставляет имя группы IdP с соответствующим именем группы ThingWorx.
Например, может потребоваться, чтобы имя подготовленной группы в ThingWorx отличалось от заданного в IdP. После сопоставления имен любые изменения, внесенные в группу в IdP, будут отражены в сопоставленной группе ThingWorx.
Предварительные наименования расширений пользователя
Эта таблица используется, чтобы задать значения для свойств расширения пользователя. Дополнительные сведения об этих свойствах см. в разделе Пользователь.
Для каждой записи таблицы имеется три столбца.
|
Наименование свойства
|
Определяет свойство расширения пользователя
|
||
|
Значение по умолчанию
|
Позволяет указать значение, которое будет применено к свойству по умолчанию во время подготовки учетной записи.
|
||
|
Атрибут поставщика удостоверений
|
Позволяет указать пользовательский атрибут, который возвращается в утверждении SAML. Значение возвращенного атрибута будет применено как значение свойства. Если это поле определено, оно переопределяет настройку в опции Значение по умолчанию.
|
|
|
Если вы также используете подготовку учетных записей SCIM, то эту таблицу необходимо использовать, чтобы удостовериться, что существует утверждение SAML для любых значений атрибута расширения пользователя, которые возвращаются с сервера авторизации или IdP через атрибут схемы SCIM. Дополнительные сведения см. в разделе Подготовка.
|
Когда режим SSO включен в ThingWorx, ThingworxSSOAuthenticator включается и является аутентификатором по умолчанию. Если SSO не включен в ThingWorx, то аутентификатор отключен. Следующие аутентификаторы входа в систему отключаются, когда включен SSO.
• ThingworxAppKeyAuthenticator
• ThingworxBasicAuthenticator
• ThingworxFormAuthenticator
• ThingworxHttpBasicAuthenticator
Обратите внимание, что следующие аутентификаторы имеют конфигурируемую опцию для их включения. Однако SSO переопределяет эту опцию, и они всегда отключаются при включении SSO.
• ThingworxMobileAuthorizationAuthenticator
• ThingworxMobileTokenAuthenticator
• Пользовательские аутентификаторы
Следующая таблица предоставляет информацию об изменениях состояния пользователя в ThingWorx в результате опций, выбранных в ThingworxSSOAuthenticator, и о состоянии пользователей на сервере авторизации или IdP во время их входа в систему. Состояния пользователей на сервере авторизации или IdP не изменяются в этих сценариях, затрагивается только их состояние в ThingWorx. Элементы, добавленные с меткой [Основной], являются первичными факторами, которые влияют на состояние пользователя в ThingWorx после входа в систему.
|
Состояние пользователя в AS или IdP
|
Состояние пользователя в ThingWorx до входа в систему
|
Опции ThingworxSSOAuthenticator
|
Состояние пользователя в ThingWorx после входа в систему
|
|---|---|---|---|
|
Не существует
|
Не существует
|
Любая конфигурация
|
• Не существует
• Не может использоваться для входа в систему
|
|
Не существует
|
• Существует (создан вручную администратором Thingworx)
• [Основной] Пароль был задан и находится в Thingworx
|
• Создание подготовки учетных записей пользователей включено
• Изменение подготовки учетных записей пользователей включено
• [Основной] Включен в список исключений из подготовки учетных записей пользователей
|
• Существует
• Не изменено
• Не может использоваться для входа в систему
|
|
Не существует
|
• Существует (создан вручную администратором Thingworx)
• [Основной] Пароль не был задан или не находится в Thingworx
|
• Создание подготовки учетных записей пользователей включено
• Изменение подготовки учетных записей пользователей включено
• [Основной] Включен в список исключений из подготовки учетных записей пользователей
|
• Существует
• Не изменено
• Не может использоваться для входа в систему
|
|
Не существует
|
Существует (создан вручную администратором Thingworx)
|
• Создание подготовки учетных записей пользователей включено
• Изменение подготовки учетных записей пользователей включено
• [Основной] Не включен в список исключений из подготовки учетных записей пользователей
|
• Существует
• Не изменено
• Не может использоваться для входа в систему
|
|
• Существует
• [Основной] Отключен
|
Не существует
|
• Создание подготовки учетных записей пользователей включено
• Изменение подготовки учетных записей пользователей включено
• Не входит в список исключений из подготовки учетных записей пользователей
|
• Не существует
• Не может использоваться для входа в систему
|
|
• Существует
• [Основной] Заблокирован
|
Не существует
|
• Создание подготовки учетных записей пользователей включено
• Изменение подготовки учетных записей пользователей включено
• Не входит в список исключений из подготовки учетных записей пользователей
|
• Не существует
• Не может использоваться для входа в систему
|
|
Существует
|
Не существует
|
• [Основной] Создание подготовленных учетных записей пользователей выключено
• Изменение подготовки учетных записей пользователей включено
• Не входит в список исключений из подготовки учетных записей пользователей
|
• Не существует
• Не может использоваться для входа в систему
|
|
Существует
|
Не существует
|
• [Основной] Создание подготовленных учетных записей пользователей включено
• Изменение подготовки учетных записей пользователей включено
• [Основной] Не включен в список исключений из подготовки учетных записей пользователей
|
• Существует (создан)
• Добавлен как участник в сопоставленные группы
• Добавлены настройки пользователя по умолчанию
• Может использоваться для входа в систему
|
|
Существует
|
Существует
|
• Создание подготовки учетных записей пользователей включено
• [Основной] Изменение подготовки учетных записей пользователей включено
• [Основной] Не включен в список исключений из подготовки учетных записей пользователей
• [Основной] Настройки по умолчанию пользователя сконфигурированы
|
• Пользователь изменен
• Добавлен/удален как участник в сопоставленных группах
• Добавлены настройки пользователей по умолчанию
• Может использоваться для входа в систему
|
|
Существует
|
Существует
|
• Создание подготовки учетных записей пользователей включено
• [Основной] Изменение подготовки учетных записей пользователей включено
• [Основной] Включен в список исключений из подготовки учетных записей пользователей
• [Основной] Настройки по умолчанию пользователя сконфигурированы
|
• Пользователь не изменен
• Может использоваться для входа в систему
|