产品配置方法
Active Directory 设置
如果对 Active Directory 使用固定身份验证,则可以从目录服务配置用户设置。有关详细信息,请参阅
在 Active Directory 中管理用户。
ThingWorx SSO 身份验证器设置
如果启用了基于 ThingworxSSOAuthenticator 的单一登录(SSO)身份验证,则会自动启用设置。用户属性从授权服务器 (例如 PingFederate) 检索,该服务器充当 ThingWorx 和标识提供者之间的代理。这被认为是“即时”设置,因为用户帐户将在用户登录到 ThingWorx 时被创建 (如果它们不存在于 ThingWorx 中) 并进行更新。用户属性包含在用于身份验证的标识提供者响应中。使用 IdP 管理员帐户了解用户,确保 ThingWorx 中的用户帐户在登录事件发生时会进行更新。根据出厂设置,ThingWorx 仅使用用户名属性来创建用户。要使用的任何其他属性都必须在授权服务器中进行配置,以便在标识提供者应答中传递这些属性,然后映射到用户扩展属性。
需要额外的配置来管理与此方法一起使用的预配设置。有关详细信息,请参阅
单一登录身份验证。
在 ThingWorx 中,ThingworxSSOAuthenticator 设置只能用于创建和更新用户帐户,无法进行删除。
在使用 Azure AD 实现 SSO 功能时,请参阅“PTC 标识和访问管理”帮助中心内的
Azure AD 作为 CAS 和 IdP。
在使用 AD FS 实现 SSO 功能时,请参阅“PTC 标识和访问管理”帮助中心内的
AD FS 作为 CAS 和 IdP。
SCIM 设置
SCIM 是一种自动化方法,可以将标识提供工具中用户帐户的更改同步推送到 ThingWorx 中的用户帐户。可启用 SCIM 设置来补充通过 SSO 身份验证配置的 SAML 设置。也可启用 SCIM 设置,或独立于 SSO 身份验证启用 SCIM 设置。SCIM 自动化方法意味着对基于标识提供工具中用户帐户的更改而自动设置到 ThingWorx 的用户帐户的更改,而不是对 SAML 设置中用户帐户的即时更新。
要配置 SCIM 设置,请参阅以下主题。
使用 SCIM 和 SAML 设置
如果您同时使用 SAML 和 SCIM 设置,则两者的配置必须一致,以便它们以逻辑方式使用用户属性。例如,请确认 ThingWorx 和 IdP 组在 ThingworxSSOAuthenticator 和 SCIM 子系统中的映射方式是相同的。如果 IdP 中用户所属的组映射到 SCIM 子系统和 ThingworxSSOAuthenticator 中的不同 ThingWorx 组,则在基于 SCIM 或 SAML 设置更新用户帐户时,可以将用户添加到不同的 ThingWorx 组中。
有关映射到 SCIM 1.1 架构资源类型的 ThingWorx 用户扩展属性列表,请参阅
为数据存储创建信道。在 ThingworxSSOAuthenticator 中配置 SAML 设置时,“用户扩展设置名称”表会映射从 SAML 属性传递给 ThingWorx 用户扩展属性的用户元数据值。在同时使用 SCIM 和 SAML 设置时,必须确保对于从 IdP 检索到的每个用户元数据值,在 ThingworxSSOAuthenticator“用户扩展设置名称”表中配置了相应的 SAML 属性映射。如果用户扩展元数据未映射到 ThingworxSSOAuthenticator 中,则当用户登录并发生 SAML 设置时,将清除该用户扩展值,因为从 SAML 断言中检索不到该用户扩展的值。
通过以下相应部分配置 ThingWorx UserExtension 对象,使其与在欲设置 CAS 中配置的属性相匹配:
若 PingFederate 为 CAS
1. 与 IdP 管理员合作,以了解
为数据存储创建信道中所列出的针对每个 SCIM 1.1 架构资源类型返回的用户元数据
2. 与您的 PingFederate 管理员协调,以确保相同的用户元数据映射到在用户登录时返回给 ThingWorx 的声明中所包含的 SAML 属性。
3. 配置 ThingworxSSOAuthenticator 用户扩展设置名称表以将相应的 SAML 声明值映射到从相应的 SCIM 架构资源类型设置的相应用户扩展属性。
若 Azure AD 既为 CAS 又为 IdP
要列出 Azure AD 中的用户属性,请选择企业应用程序,然后导航至 > > > 。有关详细信息,请参阅
ThingWorx 到 SCIM 映射表。
在 ThingWorx 中
请确保存储在 IdP 中欲设置为 ThingWorx 的每个用户属性均列于欲设置的 CAS 中。