如果您是搭配 Active Directory 使用固定驗證，請經由目錄服務配置使用者授權。如需詳細資訊，請參閱管理 Active Directory 中的使用者。

如果啟用單一登入 (SSO) 驗證，則可透過 ThingworxSSOAuthenticator 自動啟用授權。系統會透過授權伺服器 (例如 PingFederate) 來擷取使用者屬性，該授權伺服器在 ThingWorx 與識別提供者之間以代理程式的形式運作。我們將此視為「及時」授權，因為會在使用者登入到 ThingWorx 中時建立 (如果使用者帳戶尚未存在於 ThingWorx 中) 和更新使用者帳戶。使用者屬性包括在用於驗證的識別提供者回應中。使用 IdP 管理員以瞭解使用者，並確保 ThingWorx 中的使用者帳戶會在發生登入事件時更新。在預設情況下，ThingWorx 只會耗用使用者名稱屬性來建立使用者。欲耗用的任何其他屬性都必須在授權伺服器中進行配置，以便它們能夠傳入識別提供者回應，然後對應至使用者延伸功能內容。

需要額外的組態才能管理與此方法搭配使用的授權設定。詳情請參閱單一登入驗證。

在 ThingWorx 中，ThingworxSSOAuthenticator 授權只能用於建立和更新使用者帳戶，但無法刪除。

如果使用 Azure AD 實行 SSO 功能，請參閱「PTC Identity and Access Management 說明中心」的將 Azure AD 作為 CAS 與 IdP。

如果使用·AD·FS·實行·SSO·功能，請參閱「PTC·Identity·and·Access·Management·說明中心」的將 AD FS 作為 CAS 與 IdP。

SCIM 是一種自動化方法，可同步處理識別提供者中使用者帳戶的變更，以便推送至 ThingWorx 中的使用者帳戶。您可以啟用 SCIM 授權來補充使用 SSO 驗證配置 SAML 授權設定。SCIM 授權也可以獨立於 SSO 驗證啟用。SCIM 自動化並非指隨著 SAML 授權發生使用者帳戶及時更新，而是指根據對識別提供者中使用者帳戶的變更來將使用者帳戶變更自動授權至 ThingWorx。

欲配置 SCIM 授權，請參閱下列主題。

如果您同時使用 SAML 和 SCIM 授權，則您用於這兩者的組態必須是相符的，這樣它們才會以具邏輯的方式耗用使用者屬性。比如說，確認 ThingWorx 和 IdP 群組在 ThingworxSSOAuthenticator 和 SCIM 子系統中以相同的方式對應。如果使用者在 IdP 中所屬的某個群組對應至 SCIM 子系統和 ThingworxSSOAuthenticator 中的不同 ThingWorx 群組，那麼在依 SCIM 或 SAML 授權更新使用者帳戶時，可將使用者新增至不同的 ThingWorx 群組。

如需對應至 SCIM 1.1 結構描述資源類型之 ThingWorx 使用者延伸功能內容的清單，請參閱建立資料存放區通道。在 ThingworxSSOAuthenticator 中配置 SAML 授權時，「使用者延伸功能授權名稱」表會對應從 SAML 屬性傳遞至 ThingWorx 使用者延伸功能內容的使用者中繼資料值。同時使用 SCIM 和 SAML 授權時，您必須確保針對擷取自 IdP 的每個使用者中繼資料值，在 ThingworxSSOAuthenticator 使用者延伸功能授權名稱表中都有配置一個對應的 SAML 屬性對應。若未在 ThingworxSSOAuthenticator 中對應使用者延伸功能中繼資料，那麼當使用者登入且 SAML 授權發生時，系統將會清除該使用者延伸功能值，因為從 SAML 宣告中沒有擷取到該使用者延伸功能的任何值。

使用以下適當的部份，配置 ThingWorx UserExtension 物件，以符合您在要授權的 CAS 中配置的屬性：

欲將使用者屬性列在 Azure AD 中，請選取您的企業應用程式，並導覽至 Provisioning > Mappings > Provision Azure Active Directory Users > Attribute Mapping。如需詳細資訊，請參閱 ThingWorx 至 SCIM 的對應表。

確保您要授權至 ThingWorx 之 IdP 中儲存的每個使用者屬性都會列在要授權的 CAS 中。