Utilizzo di SCIM con ThingWorx

Definizione del modello ThingWorx in Composer > Protezione > Provisioning > Utilizzo di SCIM con ThingWorx

System for Cross-Domain Identity Management (SCIM) è un metodo standardizzato e automatizzato che consente di mantenere le identità utenti sincronizzate in sistemi e archivi dati diversi.

Per default, SCIM non viene avviato e viene disattivato all'avvio di Platform. I relativi stati enable e started sono controllati dalla configurazione di platform-settings.json.

Gli endpoint SCIM per la gestione di utenti e gruppi richiedono l'immissione di credenziali con diritti di amministratore. Gli endpoint SCIM sono accessibili solo quando sono configurati per essere attivati e quando è attivata l'autenticazione SSO.

Per ulteriori informazioni, vedere http://www.simplecloud.info.

ThingWorx supporta gli elementi riportati di seguito.

• SCIM 1.1

• Provisioning in uscita

• Creazione, aggiornamento ed eliminazione di utenti o gruppi

• Configurazione di impostazioni di default per gli utenti e i gruppi con provisioning SCIM

Ad esempio, si consideri lo scenario seguente.

• L'oggetto SCIM "Sally" può contenere qualsiasi numero di attributi utili (nome utente, e-mail, numero di telefono e così via).

• Se si verifica qualche modifica (ad esempio Sally ottiene una promozione), SCIM può aggiornare automaticamente i rispettivi attributi utente ThingWorx in modo appropriato. Quando Sally lascia la società e viene rimossa dal directory server, il suo account utente ThingWorx viene eliminato o disattivato.

Alcuni attributi gruppo e utente potrebbero richiedere una configurazione aggiuntiva, che può essere eseguita quando si gestisce il provisioning in uscita da PingFederate. Per ulteriori informazioni, vedere il Knowledge Center Ping Identity Specify custom SCIM attributes.

La mappatura di metadati tra le proprietà dell'estensione dell'utente ThingWorx e lo schema SCIM 1.1 è fissa. Per ulteriori informazioni, vedere Creare un canale nell'archivio dati.

Autenticazione

Quando l'SSO è attivato, ThingWorx richiede i token OAuth per il provisioning tramite SCIM.

Per ulteriori informazioni, vedere il Knowledge Center Ping Identity: Manage outbound provisioning options in a connection.

Prerequisiti di SCIM

1. Scaricare e installare PingFederate. Per ulteriori informazioni, vedere "PingFederate Software Download" nella PTC Single Sign-on Architecture and Configuration Overview Guide.

2. Configurare l'SSO per ThingWorx:

◦ PTC Single Sign-on Architecture and Configuration Overview Guide

◦ Autenticazione Single Sign-On

Impostazione di SCIM

Una volta completati i prerequisiti, eseguire i passi illustrati di seguito.

1. Importare il certificato SSL di PingFederate nell'archivio certificati JVM. I certificati sono disponibili nella console amministrativa di PingFederate in Server Configuration > Certificate Management.

2. Attivare il provisioning in uscita.

3. Nella console amministrativa di PingFederate eseguire le operazioni descritte di seguito.

a. Aggiungere il protocollo LDAP come archivio dati.

b. Configurare un'istanza di convalida credenziali password.

c. Creare un nuovo client OAuth per SCIM.

d. Definire una connessione SP per SCIM.

e. Creare un canale nell'archivio dati.

4. Aggiungere le impostazioni SCIM a platform-settings.json e sso-settings.json: Impostazioni della piattaforma SCIM.

5. Configurare il sottosistema SCIM in ThingWorx: Sottosistema SCIM.