单点登录身份验证
Windchill 可配置为使用 SAML 或 OpenID Connect 协议参与单点登录 (SSO) 用户身份验证。对于单个 Windchill 系统,只能配置一个 SSO 身份验证协议。此外,Windchill 支持使用 OAuth 2.0 通过 Windchill REST Services (WRS) 从客户端安全访问受保护的 Windchill 资源。在此配置中,Windchill 充当资源服务器。建议如果为 Windchill 用户配置了 SSO 身份验证,则一定要使用 OAuth 2.0 基于令牌的功能配置客户端身份验证 (不要在不同的客户端之间配置不同的身份验证方法)。
 |
多重身份验证 (MFA) 在标识提供者中进行配置,且不在 Windchill 应用程序中进行管理。您需要根据需求通过 IdP 实施 MFA;PTC 不负责此实施。
|
对于 SAML 身份验证,PTC 支持将 Shibboleth 服务提供者用作在 PTC HTTP 服务器上配置的 SAML 客户端,以将 Windchill 用户身份验证定向至受信任的标识提供者。有关详情,请参阅安全声明标记语言 (SAML) 身份验证。
对于 OpenID Connect (OIDC) 身份验证,Apache 将通过 Windchill 配置对协议提供必要的支持。有关详情,请参阅支持 OpenID Connect 身份验证。
如果已经为 Windchill 配置 SAML 或 OIDC 身份验证,并且您的站点使用电子签名作为其工作流程的一部分,则可以选择将系统配置为要求用户在提交电子签名之前提供其登录凭据。有关详情,请参阅通过 SAML 进行 SSO 电子签名验证和通过 OIDC 进行 SSO 电子签名验证。
当客户端应用程序正在使用 OAuth 2.0 访问 Windchill 时,必须使用标准 OAuth 授权工作流来获取 OAuth 令牌。对于非交互式客户端 (M2M),Windchill 支持客户端登录凭据流,对于交互式客户端,支持委派的授权代码流。基于 ThingWorx 平台构建的应用程序或混搭将使用委派的授权代码流。如果用户授予应用程序访问其 Windchill 数据的权限,则当请求用户拥有的数据时,应用程序将显示 Windchill 的访问令牌。PTC 产品将作用域作为词缀附加到访问令牌,以进一步保护和管理对资源的访问。在 Windchill 中,作用域必须在 securityContext.properties 文件中进行注册。有关详情,请参阅建立中央授权服务器和配置 OAuth 委派授权。
对于 SSO 配置,PTC 指定使用 PingFederate 作为中央授权服务器 (CAS),以管理参与 SSO 联合的 PTC 产品与身份验证会话管理之间的信任关系。CAS 会发出访问令牌并验证其对受信任应用程序的真实性。有关 PingFederate 安装说明,请参阅 Ping 提供的 PingFederate 帮助文档。
|
|
对于本地部署中使用的第三方授权服务器 (如 PingFederate),PTC 不提供许可证。在本地部署中,可以将 PTC 应用程序与现有单点登录 (SSO) 基础设施相集成,前提是选定解决方案支持标准 IAM 协议,例如 SAML、OIDC 或 OAuth。
对于本地 (非 PTC 云托管) 环境,将 PingFederate 软件用作身份验证配置的一部分时,您将负责采购、部署和维护该软件。对于 PTC 云部署,PTC 会根据需要在 PTC 云服务中提供 PingFederate 许可证。
|
可将 Windchill 配置为同时使用 SAML 身份验证和 OAuth (委派授权或客户端登录凭据),两种方案不会相互排斥。如果已使用 PingFederate 作为 CAS 启用 OAuth 委派授权,则可以选择在 SAML 身份验证方案中将 PingFederate 用作标识提供者 (IdP)。还可以选择在 SAML 配置中使用不同的 IdP,并使用 PingFederate 作为 OAuth 配置中的 CAS。使用 PingFederate 作为 IdP 的可选配置说明包含在安全声明标记语言 (SAML) 身份验证中。
有关支持的 SSO 用例以及在 PTC 产品之间设置 SSO 联合所需配置步骤的完整说明,请参阅 PTC Single Sign-on Architecture and Configuration Overview Guide (《PTC 单点登录架构和配置概述指南》)。