シングルサインオン認証
Windchill は、ユーザー認証用の SAML プロトコルまたは委任認証用の OAuth 2.0 プロトコルを使用してシングルサインオン (SSO) に参加するよう設定できます。
SAML 認証の場合、PTC は PTC HTTP サーバー上で設定されている Shibboleth Service Provider を SAML クライアントとして使用して、Windchill ユーザー認証を信頼済みのアイデンティティプロバイダに送信することをサポートしています。詳細については、Security Assertion Markup Language (SAML) 認証を参照してください。
Windchill で SAML 認証を設定し、サイトでそのワークフロープロセスの一部として電子署名が使用されている場合、オプションでシステムを設定することで、電子署名をサブミットする前に資格証明を提供するようユーザーに求めることができます。詳細については、SSO コンフィギュレーションでの電子署名の検証を参照してください。
OAuth 委任認証の場合、Windchill は、ThingWorx プラットフォーム上に構築されたアプリケーションまたはマッシュアップのリソースプロバイダとして機能します。ユーザーが自分の Windchill データにアクセスすることをアプリケーションに許可した場合、そのアプリケーションはそのユーザーが所有するデータをリクエストする際に Windchill にアクセストークンを提示します。PTC 製品は、リソースへのアクセスをさらに保護および管理するため、アクセストークンにスコープを添付します。Windchill では、securityContext.properties ファイル内でスコープを登録する必要があります。詳細については、中央認証サーバーの確立およびOAuth 委任認証の設定を参照してください。
OAuth 委任認証のシナリオでは、PTC は PingFederate を中央認証サーバー (CAS) として使用して、SSO フェデレーションに参加している PTC 製品間の信頼関係を管理することをサポートしています。CAS は信頼済みのアプリケーションに対してアクセストークンを発行し、それらが本物であるかどうかを検証します。
 |
PTC ダウンロードページでは PingFederate の製品またはライセンスは提供されなくなりました。2022 年 4 月 1 日より、PTC 製品の新規資格に PingFederate ライセンスはデフォルトで含まれません。PingFederate を使用することを選択した新規顧客は、PingIdentity と直接契約して PingFederate ライセンスを購入する必要があります。2022 年 4 月 1 日より前に資格を取得していた PTC の顧客は、PTC テクニカルサポートに連絡することで、PingFederate ライセンスを引き続きリクエストできます (ライセンス更新のリクエストを含む)。
PTC クラウドの顧客には、提供されている PTC 製品の一部として、必要に応じて PingFederate ライセンスが提供されます。
|
インストールの手順については、PingFederate のドキュメントを参照してください。
SAML 認証と OAuth 委任認証のどちらか一方だけでなく両方を使用するように Windchill を設定できます。PingFederate を CAS として使用して OAuth 委任認証を有効にしている場合、SAML 認証のシナリオではオプションで PingFederate をアイデンティティプロバイダ (IdP) として使用できます。OAuth 設定で PingFederate を CAS として使用し、SAML 設定で別の IdP を使用することもできます。PingFederate を IdP として使用する場合のオプションの設定手順がSecurity Assertion Markup Language (SAML) 認証に記載されています。
サポートされる SSO の使用事例、および PTC 製品間の SSO フェデレーションのセットアップに必要な設定ステップの詳細については、PTC Product Platform Single Sign-on Guide を参照してください。