单一登录身份验证
Windchill 可配置为使用 SAML 或 OpenID Connect 协议参与单一登录 (SSO) 用户身份验证。对于单个 Windchill 系统,只能配置一个 SSO 身份验证协议。此外,Windchill 支持使用 OAuth 2.0 通过 Windchill REST Services (WRS) 从客户端安全访问受保护的 Windchill 资源。在此配置中,Windchill 充当资源服务器。建议如果为 Windchill 用户配置了 SSO 身份验证,则一定要使用 OAuth 2.0 基于令牌的功能配置客户端身份验证 (不要在不同的客户端之间配置不同的身份验证方法)。
 |
多因素身份验证 (MFA) 在标识提供者中进行配置,且不在 Windchill 应用程序中进行管理。您需要根据需求通过 IdP 实施 MFA;PTC 不负责此实施。
|
对于 SAML 身份验证,PTC 支持将 Shibboleth Service 提供工具用作在 PTC HTTP Server 上配置的 SAML 客户端,以将 Windchill 用户身份验证定向至受信任的标识提供工具。有关详情,请参阅安全声明标记语言 (SAML) 身份验证。
对于 OpenID Connect (OIDC) 身份验证,Apache 将通过 Windchill 配置对协议提供必要的支持。有关详情,请参阅 OpenID Connect 身份验证支持。
如果已经为 Windchill 配置 SAML 或 OIDC 身份验证,并且您的站点使用电子签名作为其工作流进程的一部分,则可以有选择将系统配置为要求用户在提交电子签名之前提供其凭据。有关详情,请参阅通过 SAML 进行 SSO 电子签名验证和通过 OIDC 进行 SSO 电子签名验证。
当客户端应用程序正在使用 OAuth 2.0 访问 Windchill 时,必须使用标准 OAuth 授权工作流来获取 OAuth 令牌。对于非交互式客户端 (M2M),Windchill 支持客户端登录凭据流,对于交互式客户端,支持委派的授权代码流。基于 ThingWorx 平台构建的应用程序或混搭将使用委派的授权代码流。如果用户授予应用程序访问其 Windchill 数据的权限,则当请求用户拥有的数据时,应用程序将显示 Windchill 的访问令牌。PTC 产品将使用前缀标记访问令牌的范围,以进一步保护和管理对资源的访问。在 Windchill 中,范围必须在 securityContext.properties 文件中进行注册。有关详情,请参阅建立中央授权服务器和配置 OAuth 委派授权。
对于 SSO 配置,PTC 指定使用 PingFederate 作为中央授权服务器 (CAS),以管理参与 SSO 联合的 PTC 产品与身份验证会话管理之间的信任关系。CAS 会发出访问令牌并验证其对受信任应用程序的真实性。有关 PingFederate 安装说明,请参阅 Ping 提供的 PingFederate 帮助文档。
|
|
PTC 的 PTC 下载页面上不再提供 PingFederate 产品或许可证。从 2022 年 4 月 1 日开始,默认情况下,新的 PTC 产品授权将不包括 PingFederate 许可证。选择使用 PingFederate 的新客户必须直接与 PingIdentity 签订合同才能购买 PingFederate 许可证。对于在 2022 年 4 月 1 日之前获得产品授权的 PTC 客户,他们仍可通过联系 PTC 技术支持来请求 PingFederate 许可证,其中包括许可证续订请求。
对于 PTC Cloud 客户,可根据需要获取 PTC 产品服务中提供的 PingFederate 许可证。
|
可将 Windchill 配置为同时使用 SAML 身份验证和 OAuth (委派授权或客户端登录凭据),两种方案不会相互排斥。如果已使用 PingFederate 作为 CAS 启用 OAuth 委派授权,则可以选择在 SAML 身份验证方案中将 PingFederate 用作标识提供工具 (IdP)。还可以选择在 SAML 配置中使用不同的 IdP,并使用 PingFederate 作为 OAuth 配置中的 CAS。使用 PingFederate 作为 IdP 的可选配置说明包含在安全声明标记语言 (SAML) 身份验证中。
有关受支持的 SSO 用例以及在 PTC 产品之间设置 SSO 联合所需配置步骤的完整说明,请参阅 PTC Single Sign-on Architecture and Configuration Overview Guide (《PTC 单一登录架构和配置概述指南》)。