Создание соединений PingFederate
На сервере PingFederate создаются клиентские конечные точки, с которыми соединяются приложения в решении SSO для получения или проверки лексем доступа или аутентификации пользователей. Рекомендуется, чтобы для каждой роли, которую приложение будет выполнять в решении с единым входом в систему (SSO), создавался отдельный клиент. Это позволяет точно задавать настройки в клиенте для этой роли.
Для ThingWorx SSO должны создаваться в PingFederate следующие клиенты:
• Соединение SP для ThingWorx в качестве поставщика сервиса
• Клиент OAuth для ThingWorx в качестве поставщика сервиса
Для получения полной информации о создании и конфигурировании соединений PingFederate обращайтесь к документации PingFederate или в службу поддержке клиентов PingIdentity. Следующие процедуры содержат требуемые настройки для ThingWorx SSO, однако для конкретного решения SSO, используемого на вашем предприятии, могут потребоваться дополнительные настройки.
Соединение SP для ThingWorx в качестве поставщика сервиса
Это соединение используется для аутентификации SAML. ThingWorx перенаправляет запросы на вход пользователя в PingFederate.
1. На странице IDP Configuration найдите раздел SP Connections и щелкните Create New.
2. В разделе Тип соединения выберите опцию Профили браузера SSO, чтобы указать протокол SAML 2.0.
3. В разделе Connection Options выберите опцию Browser SSO.
4. В разделе General Info выполните следующие действия.
a. Задайте уникальное значение для опции Partner’s Entity ID (Connection ID). Запишите этот идентификатор, чтобы использовать его при конфигурировании файла sso-settings.json.
b. Введите описательное наименование в поле Connection Name. Это наименование будет отображаться в списке SP Connection.
c. В поле Base URL введите URL-адрес поставщика сервиса веб-приложения (ThingWorx).
5. В разделе Protocol Settings введите в поле Assertion Consumer Service URL Endpoint адрес URL:/Thingworx/saml/SSO.
6. В разделе Credentials выберите в поле Digital Signature Settings значение Selected Certificate.
7. В разделе Signature Verification добавьте следующие сертификаты:
◦ Signature Verification Certificate: Selected Certificate
◦ Signature Verification Certificate: Selected Encryption Certificate
◦ Select XML Encryption Certificate: Selected Encryption Certificate
8. Подтвердите, что новый поставщик сервиса активен. Просмотрите соединение поставщика сервиса. Переключатель сверху на странице Activation & Summary должен быть установлен в положение Active.
9. Щелкните Сохранить.
Для установки соединений между поставщиками сервисов и поставщиком удостоверений, который используется в PingFederate, PingFederate использует механизм, называемый контрактом политики. Необходимо будет создать контракт политики для этого соединения SP. Для этого перечисляйте любые атрибуты, которыми потребуется обмениваться в утверждениях SAML.
Дополнительные сведения см. в разделе
Конфигурирование аутентификации для сторонних IdP вручную справочного центра PTC по управлению реквизитами и доступом.
Клиент OAuth для ThingWorx в качестве поставщика сервисов
Этот клиент является точкой соединения с PingFederate для предоставления лексем доступа к ThingWorx. ThingWorx использует эти лексемы доступа, чтобы запрашивать защищенные ресурсы OAuth у поставщиков ресурсов.
Сведения о создании и конфигурировании клиента OAuth для
ThingWorx в качестве поставщика сервисов см. в разделе
Создание клиентского соединения OAuth для ThingWorx справочного центра PTC по управлению реквизитами и доступом.