ID プロバイダでの ThingWorx 管理者エイリアスの作成
PTC 製品プラットフォームのアーキテクチャは、PingFederate がユーザー認証のリクエストをリダイレクトする ID プロバイダ (エンタープライズディレクトリサービス) が存在することを想定しています。Ping Federate はユーザーデータにアクセスしません。ID プロバイダ (IdP) が、ユーザーが認証されていることを示す SAML アサーションを送信します。この検証に基づいて、PingFederate は、ユーザーが認証済みであることを示す SAML アサーションを ThingWorx に返します。
CAS または IdP から ThingWorx に返される SAML アサーションは、"Administrator" であることが必要です。IdP が自身の管理者ログイン用にユーザー名 "Administrator" を使用している場合は、次の手順を実行してください。
1. 別のユーザー名 (たとえば、twxadmin) で IdP にアカウントを作成します。
2. そのユーザー名と uid "Administrator" の間に SAML 属性マッピングを作成します。CAS (PingFederate) 内、またはユーザーを認証する際に CAS が参照する IdP 内で、SAML 属性をマッピングできます。
これにより、ThingWorx に送信される SAML アサーションが、ThingWorx の必要とする uid を持つようになります。
3. ログインページで、代替の ThingWorx 管理者ユーザー名を入力します。
このエイリアスの ThingWorx 管理者ユーザーは、委任認証には使用できません。ユーザーアカウントの作成および属性のマッピングについては、IdP と PingFederate の製品マニュアルを参照してください。
管理者ユーザーによって委任承認を使用するには、次の手順を実行します。
1. ThingWorx でローカルにユーザーを作成します。
2. このユーザーを ThingWorx 管理者グループに追加します。
3. このユーザーを ThingworxSSOAuthenticator のユーザープロビジョニング除外リストに追加します。
4. ユーザーログインを認証する際に CAS が参照するフェデレーション IdP に、このユーザーを追加します。
5. 管理者アカウントからの委任認証をテストする必要があるときは、このユーザーアカウントを使用します。