單一登入驗證器
若在 ThingWorx 中啟用單一登入 (SSO),ThingworxSSOAuthenticator 會用來授權使用者。系統會根據擷取自識別提供者的屬性來建立和更新使用者帳戶。使用此驗證器來定義所授權使用者的預設設定,或是識別套用至使用者設定的屬性值。ThingworxSSOAuthenticator 進行的設定授權不會刪除使用者帳戶。如需該功能的資訊,請參閱 SCIM 授權。
先決條件
您必須在 ThingWorx 中啟用 SSO。如需詳細資訊,請參閱單一登入驗證和 PTC IAM 說明中心。
• 當 PingFederate 為 CAS 時,會在 PingFederate 原則合約中對應屬性。
作為 SSO 組態的一部份,授權伺服器 (PingFederate) 可部署和配置為將 SAML 驗證請求重新導向至您的識別提供者。您在 PingFederate 中建立 SP 連線讓 ThingWorx 向其傳送它的 SAML 驗證請求。原則契約是 PingFederate 用來將宣告屬性從識別提供者傳遞至服務提供者 (ThingWorx) 的機制。您必須在 PingFederate 中的原則契約裡列出下列組態表中識別的任何屬性,以便可在連線之間傳遞它們。
在 PingFederate 中,可針對 ThingWorx 用來連線至 PingFederate 的 SP 連線建立一份原則契約。原則契約供您在其中對應要從識別提供者傳遞至 ThingWorx 的屬性。如需詳細資訊,請參閱建立 PingFederate 連線。
如需詳細資訊,請參閱以下 PingFed 網站:
◦ PingFederate 文件集:將 IdP 橋接至 SP https://docs.pingidentity.com/bundle/pingfederate-100/page/ffk1564002971738.html
◦ PingFederate 文件集:聯合中心與驗證原則契約 https://docs.pingidentity.com/bundle/pingfederate-100/page/ope1564002971971.html
• 使用 Azure AD 實行 SSO 功能時,請參閱「PTC Identity and Access Management 說明中心」的將 Azure AD 作為 CAS 與 IdP。
• 使用·AD·FS·實行·SSO·功能時,請參閱「PTC·Identity·and·Access·Management·說明中心」的將AD FS 作為 CAS 與 IdP。
 |
將 ThingWorx 配置為與 Atlas IAM CAS 伺服器搭配使用時,例如 Windchill+ 客戶,無需任何先決條件。可立即使用驗證器。Atlas IAM CAS 伺服器已配置完畢。
|
有關疑難排解和支援的詳細信息,請參閱 IAM 支援網站。
下列組態表中的選項可讓您指定驗證器的行為。
使用者授權
|
「啟用使用者建立」
|
選取後可允許根據擷取自授權伺服器的認證在 ThingWorx 中建立使用者帳戶。如果使用者嘗試登入 ThingWorx 但尚未建立 ThingWorx 使用者帳戶,那麼這項設定允許根據儲存在識別提供者中的使用者資料來建立 ThingWorx 使用者帳戶。
|
|
「啟用使用者修改」
|
選取後可允許修改存在於 ThingWorx 中的使用者帳戶。若您之前建立使用者來將 ThingWorx 使用者資料與識別提供者中的使用者帳戶資料進行同步處理,在初次登入之後,請務必允許在後續的登入事件期間對帳戶進行日後更新。
|
|
「必須提供所有認證屬性」
|
若啟用,則必須耗用 (套用至使用者) 由識別提供者傳回的所有認證屬性。若未耗用任何項目,便不會建立/更新使用者且登入會失敗。
預設並未選取此選項。
|
|
「驗證器變更時終止使用者工作階段」
|
若啟用,所授權使用者的所有使用中工作階段將在儲存 ThingWorx SSO 驗證器組態時終止。
這不適用於在「使用者授權排除清單」中指定的使用者。
預設並未選取此選項。
|
使用者授權排除清單
指定應從以下的「使用者預設值」組態中排除的任何使用者。
|
|
使用者依預設會新增至此清單。如果您嘗試移除這些使用者,系統會在重新整理頁面時,自動重新新增這些使用者。
• ThingWorx 管理員
• 進階使用者
• 系統使用者
|
使用者預設值
這些預設屬性將會套用至所有使用者,但新增至「使用者授權排除清單」中的那些使用者除外。這些屬性會在使用者登入時套用。
|
「描述」
|
輸入您想要用於所授權使用者的描述。例如,您可能希望註記某個使用者帳戶是透過自動授權所建立的。
|
|
混搭
|
指定所授權使用者在登入時將會看到的預設主混搭。
|
|
「行動混搭」
|
指定所授權使用者在登入時將會看到的預設行動混搭。
|
|
「標籤」
|
指定要套用至所授權使用者的預設標籤。此標籤清單將會取代已存在且正在更新之使用者帳戶的任何現有標籤。
|
使用者識別提供者設定
使用此表來識別擷取自識別提供者且應套用至使用者設定的屬性,而不是套用在上方使用者預設值表中定義的設定。在此表中,可針對識別提供者在 SAML 宣告中傳回的使用者屬性指定屬性金鑰。針對該屬性金鑰傳回的值會套用至使用者的設定。在此表中定義的項目將會取代在「使用者預設值」表中指定的預設設定。
|
「描述」
|
輸入一個與應作為描述套用之屬性值相對應的屬性金鑰。
|
||||
|
「主混搭」
|
輸入一個與用來決定主混搭之屬性值相對應的屬性金鑰。
|
||||
|
「行動混搭」
|
輸入一個與用來決定行動混搭之屬性值相對應的屬性金鑰。
|
||||
|
「標籤」
|
輸入一個與用來決定對使用者套用哪些標籤之屬性值相對應的屬性金鑰。
|
||||
|
「群組」
|
輸入一個與用來決定將所授權使用者新增至哪個 ThingWorx 群組之屬性值相對應的屬性金鑰。
|
所授權使用者的預設群組
指定應將自動授權使用者新增至的群組。此群組清單將會取代任何現有的群組成員資格。
識別提供者群組對應
此表將 IdP 群組名稱對應至對應 ThingWorx 群組名稱。
例如,您可能希望授權群組在 ThingWorx 中的名稱與 IdP 中的指定名稱不同。一旦對應好名稱,對 IdP 中的群組所做的任何變更都會反映在所對應的 ThingWorx 群組中。
使用者延伸功能授權名稱
此表用來設定使用者延伸功能內容的值。如需有關這些內容的詳細資訊,請參閱使用者。
每個表格項目都有三欄:
|
「內容名稱」
|
識別使用者延伸功能內容
|
||
|
「預設值」
|
可讓您指定在授權使用者帳戶時依預設將套用至內容的值。
|
||
|
「識別提供者屬性」
|
可讓您指定在 SAML 宣告中傳回的自訂屬性。所傳回屬性的值將作為內容值來套用。若已定義此欄位,它會取代「預設值」中的設定。
|
|
|
如果您也正在使用 SCIM 授權,則應使用此表來確保透過 SCIM 結構描述屬性從授權伺服器或 IdP 傳回的任何使用者延伸功能屬性值都有一個 SAML 宣告。如需詳細資訊,請參閱授權。
|
若在 ThingWorx 中啟用 SSO,ThingworxSSOAuthenticator 即會啟用並且會是預設的驗證器。若未在 ThingWorx 中啟用 SSO,便會禁用驗證器。若啟用 SSO,則會禁用下列登入驗證器:
• ThingworxAppKeyAuthenticator
• ThingworxBasicAuthenticator
• ThingworxFormAuthenticator
• ThingworxHttpBasicAuthenticator
請注意,下列驗證器有可供配置選項來啟用它們。但是,SSO 會取代該選項,而且它們在 SSO 啟用時始終禁用。
• ThingworxMobileAuthorizationAuthenticator
• ThingworxMobileTokenAuthenticator
• 自訂驗證器
下表針對在 ThingworxSSOAuthenticator 中選取的選項造成 ThingWorx 中使用者狀態變更,以及使用者登入時在授權伺服器或 IdP 中的狀態提供相關資訊。授權伺服器或 IdP 中的使用者狀態在這些情況下並不會變更;只有他們在 ThingWorx 中的狀態會受到影響。附加 [主要] 的項目是影響使用者登入後在 ThingWorx 中狀態的主要因素。
|
AS 或 IdP 中的使用者狀態
|
登入前在 ThingWorx 中的使用者狀態
|
ThingworxSSOAuthenticator 選項
|
登入後在 ThingWorx 中的使用者狀態
|
|---|---|---|---|
|
不存在
|
不存在
|
任何組態
|
• 不存在
• 無法用來登入
|
|
不存在
|
• 存在 (由 Thingworx 管理員手動建立)
• [主要] 密碼已設定且在 Thingworx 中
|
• 啟用使用者授權建立
• 啟用使用者授權修改
• [主要] 已列在使用者授權排除清單中
|
• 存在
• 未修改
• 無法用來登入
|
|
不存在
|
• 存在 (由 Thingworx 管理員手動建立)
• [主要] 密碼未設定或不在 Thingworx 中
|
• 啟用使用者授權建立
• 啟用使用者授權修改
• [主要] 已列在使用者授權排除清單中
|
• 存在
• 未修改
• 無法用來登入
|
|
不存在
|
存在 (由 Thingworx 管理員手動建立)
|
• 啟用使用者授權建立
• 啟用使用者授權修改
• [主要] 未列在使用者授權排除清單中
|
• 存在
• 未修改
• 無法用來登入
|
|
• 存在
• [主要] 已禁用
|
不存在
|
• 啟用使用者授權建立
• 啟用使用者授權修改
• 未列在使用者授權排除清單中
|
• 不存在
• 無法用來登入
|
|
• 存在
• [主要] 已鎖定
|
不存在
|
• 啟用使用者授權建立
• 啟用使用者授權修改
• 未列在使用者授權排除清單中
|
• 不存在
• 無法用來登入
|
|
存在
|
不存在
|
• [主要] 禁用使用者授權建立
• 啟用使用者授權修改
• 未列在使用者授權排除清單中
|
• 不存在
• 無法用來登入
|
|
存在
|
不存在
|
• [主要] 啟用使用者授權建立
• 啟用使用者授權修改
• [主要] 未列在使用者授權排除清單中
|
• 存在 (已建立)
• 以成員身份新增至對應的群組
• 已新增預設的使用者設定
• 可用來登入
|
|
存在
|
存在
|
• 啟用使用者授權建立
• [主要] 啟用使用者授權修改
• [主要] 未列在使用者授權排除清單中
• [主要] 已配置使用者預設設定
|
• 已修改使用者
• 以成員身份新增至對應的群組或從中移除
• 已新增預設的使用者設定
• 可用來登入
|
|
存在
|
存在
|
• 啟用使用者授權建立
• [主要] 啟用使用者授權修改
• [主要] 已列在使用者授權排除清單中
• [主要] 已配置使用者預設設定
|
• 未修改使用者
• 可用來登入
|