单一登录身份验证
可将 Windchill 配置为参与单一登录 (SSO),使用 SAML 协议进行用户身份验证,或使用 OAuth 2.0 协议进行委派授权。
对于 SAML 身份验证,PTC 支持将 Shibboleth Service 提供工具用作在 PTC HTTP Server 上配置的 SAML 客户端,以将 Windchill 用户身份验证定向至受信任的标识提供工具。有关详细信息,请参阅安全声明标记语言 (SAML) 身份验证。
如果已经为 Windchill 配置 SAML 身份验证,并且您的站点使用电子签名作为其工作流进程的一部分,则可以有选择将系统配置为要求用户在提交电子签名之前提供其凭据。有关详细信息,请参阅 eSignature Validation for SSO Configurations。
对于 OAuth 委派授权,Windchill 充当在 ThingWorx 平台上构建的应用程序或混搭的资源提供者。如果用户授予应用程序访问其 Windchill 数据的权限,则当请求用户拥有的数据时,应用程序将显示 Windchill 的访问令牌。PTC 产品将使用前缀标记访问令牌的范围,以进一步保护和管理对资源的访问。在 Windchill 中,范围必须在 securityContext.properties 文件中进行注册。有关详细信息,请参阅建立中央授权服务器和配置 OAuth 委派授权。
在 OAuth 委派授权方案中,PTC 支持使用 PingFederate 作为中央授权服务器 (CAS) 来管理参与 SSO 联合的 PTC 产品之间的信任关系。CAS 会发出访问令牌并验证其对受信任应用程序的真实性。
 |
PTC 的 PTC 下载页面上不再提供 PingFederate 产品或许可证。从 2022 年 4 月 1 日开始,默认情况下,新的 PTC 产品授权将不包括 PingFederate 许可证。选择使用 PingFederate 的新客户必须直接与 PingIdentity 签订合同才能购买 PingFederate 许可证。对于在 2022 年 4 月 1 日之前获得产品授权的 PTC 客户,他们仍可通过联系 PTC 技术支持来请求 PingFederate 许可证,其中包括许可证续订请求。
如果需要,PTC Cloud 客户将获得作为 PTC 许可证的一部分而提供的 PingFederate 许可证。
|
有关安装说明,请参阅 PingFederate 文档。
可将 Windchill 配置为同时使用 SAML 身份验证和 OAuth 委派授权,两种方案不会相互排斥。如果已使用 PingFederate 作为 CAS 启用 OAuth 委派授权,则可以选择在 SAML 身份验证方案中将 PingFederate 用作标识提供工具 (IdP)。还可以选择在 SAML 配置中使用不同的 IdP,并使用 PingFederate 作为 OAuth 配置中的 CAS。使用 PingFederate 作为 IdP 的可选配置说明包含在安全声明标记语言 (SAML) 身份验证中。
有关受支持的 SSO 用例以及在 PTC 产品之间设置 SSO 联合所需配置步骤的完整说明,请参阅 PTC Single Sign-on Architecture and Configuration Overview Guide (《PTC 单一登录架构和配置概述指南》)。