Развертывание аутентификации ThingWorx
В этом разделе мы рассмотрим решения аутентификации, доступные для реализаций ThingWorx.
Решения включают в себя встроенную аутентификацию, аутентификацию через корпоративный протокол LDAP или службу каталогов Active Directory, а также аутентификацию с помощью конфигурации единого входа (SSO).
Компоненты
• Служба каталогов - поддерживает список пользователей компании и их учетные данные аутентификации и авторизации. Microsoft Active Directory, OpenLDAP и Apache Directory Server являются общими реализациями служб каталогов.
• Центральный сервер аутентификации (CAS) - сторонний инструмент, который управляет аутентификацией пользователей в федерации, чтобы пользователи могли получать доступ к данным из нескольких приложений, выполнив вход только один раз. PTC поддерживает конфигурацию PingFederate в этой роли.
PingFederate - это продукт стороннего производителя, поставляемый PTC как часть решения SSO. PingFederate действует как сервер авторизации, обеспечивающий обмен утверждениями SAML и лексемами доступа OAuth.
• Поставщик удостоверений (IdP) - сторонний инструмент, который управляет реквизитами пользователя и предоставляет информацию о пользователе. IdP может быть системой управления пользователями или службой каталогов, в которой хранятся имена пользователей, пароли и другие учетные данные. CAS обращается к IdP при аутентификации пользователя.
• Поставщик сервисов - приложение, через которое запрашивается защищенная информация. Обычно это может быть сервер ThingWorx.
• Поставщик ресурсов - приложение, в котором сохраняется защищенная информация. Это может быть собственно ThingWorx или другое приложение, такое как Windchill.
Ссылки
• Аутентификаторы - механизмы аутентификации в ThingWorx.
• Аутентификация в службах каталогов - конфигурирование ThingWorx для аутентификации через службу каталогов.
• Аутентификация с SSO - конфигурирование ThingWorx для использования аутентификации SAML и делегированной авторизации OAuth.
Базовая архитектура аутентификации
При базовой аутентификации для ThingWorx используется стандартная методика базовой аутентификации HTTP, реализованная в контейнере сервлетов Tomcat.
С точки зрения развертывания нет дополнительных требований для аппаратных или программных компонентов. Однако это наименее безопасная поддерживаемая форма аутентификации.
Список компонентов | Число компонентов |
|---|---|
Сервер ThingWorx Foundation | 1 |
База данных | 1 |
Архитектура аутентификации через LDAP
Другим часто применяемым способом развертывания аутентификации является использование корпоративного сервера LDAP компании в качестве источника аутентификации.
В этом случае ThingWorx конфигурируется для соединения с сервером LDAP для заданий авторизации и аутентификации.
Список компонентов | Число компонентов |
|---|---|
Сервер ThingWorx Foundation | 1 |
База данных | 1 |
Сервер LDAP | 1 |
Архитектура аутентификации SSO с использованием PingFederate
ThingWorx 9.0 обеспечивает интеграцию с системой PingFederate, которая может быть сконфигурирована для предоставления схемы аутентификации единого входа через несколько систем ПО.
Следующая схема описывает систему PingFederate в конфигурации с высокой доступностью.
Список компонентов | Число компонентов |
|---|---|
Сервер ThingWorx Foundation | 1 |
База данных ThingWorx | 1 |
Сервер PingFederate | 1 |
Служба поставщика удостоверений (IdP) | 1 |
Сервер каталогов (LDAP) | 1 |