ThingWorx 身份验证部署
在本部分,我们将回顾可用于 ThingWorx 实现的身份验证解决方案。
此类解决方案包括出厂设置身份验证、通过公司 LDAP (轻型目录访问协议) 或 Active Directory 进行身份验证,以及通过 SSO (单一登录) 配置进行身份验证。
组件
• 目录服务 - 维护公司的用户列表及其身份验证和授权凭据。Microsoft 的 Active Directory、OpenLDAP 和 Apache Directory Server 是目录服务的常见实现。
• 中央身份验证服务器 (CAS) - 第三方工具,可用于管理联合中用户的身份验证,以允许用户通过仅登录一次来访问多个应用程序中的数据。PTC 支持在此角色中配置 PingFederate。
PingFederate 是由 PTC 作为其 SSO 解决方案一部分提供的第三方产品。PingFederate 作为授权服务器可促进 SAML 声明和 OAuth 访问令牌的交换。
• 标识提供工具 (IdP) - 用于管理用户标识数据并提供用户信息的第三方工具。IdP 可以是用户管理系统或存储用户名、密码和其他凭据的 Active Directory。在对用户进行身份验证时,CAS 会参考 IdP。
• 服务提供者 - 请求受保护信息的应用程序。其通常为 ThingWorx 服务器。
• 资源提供者 - 保留受保护信息的应用程序。其可以是 ThingWorx 本身,也可以是其他应用程序,如 Windchill。
参考
• 身份验证器 - ThingWorx 中的身份验证机制。
• 目录服务身份验证 - 配置 ThingWorx 以通过目录服务进行身份验证。
• 单一登录身份验证 - 配置 ThingWorx 以使用 SAML 身份验证和 OAuth 委派授权。
基本身份验证构架
ThingWorx 的基本身份验证使用由 Tomcat Servlet 容器实现的标准 HTTP 基本身份验证方法。
从部署角度来看,硬件或软件组件无其他需求。然而,这是所支持的最不安全的身份验证形式。
组件列表 | 组件数 |
|---|---|
ThingWorx Foundation 服务器 | 1 |
数据库 | 1 |
通过 LDAP 进行身份验证的架构
另一个常见的身份验证部署是将公司的公司 LDAP 服务器用作身份验证源。
在这种情况下,ThingWorx 配置为连接到 LDAP 服务器以完成授权和身份验证任务。
组件列表 | 组件数 |
|---|---|
ThingWorx Foundation 服务器 | 1 |
数据库 | 1 |
LDAP 服务器 | 1 |
使用 PingFederate 进行 SSO 身份验证的架构
ThingWorx 9.0 提供了与 PingFederate 的集成,您可对其进行配置,以便在多个软件系统之间提供单一登录身份验证方案。
下图说明了高可用性配置中的 PingFederate 系统:
组件列表 | 组件数 |
|---|---|
ThingWorx Foundation 服务器 | 1 |
ThingWorx 数据库 | 1 |
PingFederate 服务器 | 1 |
标识提供工具服务 (IdP) | 1 |
目录服务器 (LDAP) | 1 |