シングルサインオン認証
Windchill は、SAML または Open ID Connect プロトコルを使用してシングルサインオン (SSO) ユーザー認証に参加するように設定できます。1 つの Windchill システムに設定できる SSO 認証プロトコルは 1 つだけです。さらに、Windchill では、OAuth 2.0 を使用して、保護されている Windchill リソースへの Windchill REST Services (WRS) を介したクライアントからのアクセスを確保できます。このコンフィギュレーションでは、Windchill はリソースサーバーとして機能します。Windchill ユーザーに対して SSO 認証が設定されている場合、OAuth 2.0 トークンベースの機能を使用してクライアント認証を設定することをお勧めします (複数の異なるクライアント間で複数の異なる認証メソッドを設定しないでください)。
|
多要素認証 (MFA) は、ID プロバイダで設定され、Windchill アプリケーションによって管理されません。ユーザーの要件に従って IdP を介して MFA を実装する必要があります。PTC はこの実装に対して責任を負いません。
|
SAML 認証の場合、PTC は PTC HTTP サーバー上で設定されている Shibboleth Service Provider を SAML クライアントとして使用して、
Windchill ユーザー認証を信頼済みのアイデンティティプロバイダに送信することをサポートしています。詳細については、
Security Assertion Markup Language (SAML) 認証を参照してください。
Open ID Connect (OIDC) 認証の場合、Apache によって Windchill コンフィギュレーション介して必要なプロトコルのサポートが提供されます。詳細については、
OpenID Connect 認証のサポートを参照してください。
Windchill で SAML 認証または OIDC 認証のどちらかを設定し、サイトでそのワークフロープロセスの一部として電子署名が使用されている場合、オプションでシステムを設定することで、電子署名をサブミットする前に資格証明を提供するようユーザーに求めることができます。詳細については、
「SSO コンフィギュレーションでの電子署名の検証」および
「OIDC による SSO での電子署名の検証」を参照してください。
クライアントアプリケーションが OAuth 2.0 を使用して
Windchill にアクセスしている場合、標準の OAuth 付与フローを使用して OAuth トークンを取得する必要があります。Windchill では、非対話型クライアント (M2M) のクライアント資格証明フローと対話型クライアントの委任認証コードフローの両方がサポートされています。ThingWorx Platform 上に構築されたアプリケーションまたはマッシュアップは、委任認証コードフローを使用します。ユーザーが自分の
Windchill データにアクセスすることをアプリケーションに許可した場合、そのアプリケーションはそのユーザーが所有するデータをリクエストする際に
Windchill にアクセストークンを提示します。PTC 製品は、リソースへのアクセスをさらに保護および管理するため、アクセストークンにスコープを添付します。
Windchill では、
securityContext.properties ファイル内でスコープを登録する必要があります。詳細については、
中央認可サーバーの確立および
OAuth 委任認証の設定を参照してください。
SSO コンフィギュレーションの場合、PTC は、PingFederate を中央認証サーバー (CAS) として使用して、SSO フェデレーションに参加している PTC 製品と認証セッション管理の間の信頼関係を管理するように指定しています。CAS は信頼済みのアプリケーションに対してアクセストークンを発行し、それらが本物であるかどうかを検証します。PingFederate のインストール手順については、Ping 提供の PingFederate のヘルプドキュメントを参照してください。
|
PTC ダウンロードページでは PingFederate の製品またはライセンスは提供されなくなりました。2022 年 4 月 1 日より、PTC 製品の新規資格に PingFederate ライセンスはデフォルトで含まれません。PingFederate を使用することを選択した新規顧客は、PingIdentity と直接契約して PingFederate ライセンスを購入する必要があります。2022 年 4 月 1 日より前に資格を取得していた PTC の顧客は、PTC テクニカルサポートに連絡することで、PingFederate ライセンスを引き続きリクエストできます (ライセンス更新のリクエストを含む)。
PTC クラウドの顧客には、提供されている PTC 製品の一部として、必要に応じて PingFederate ライセンスが提供されます。
|
SAML 認証と OAuth (委任認証またはクライアント資格証明) のどちらか一方だけではなく両方を使用するように
Windchill を設定できます。PingFederate を CAS として使用して OAuth 委任認証を有効にしている場合、SAML 認証のシナリオではオプションで PingFederate をアイデンティティプロバイダ (IdP) として使用できます。OAuth 設定で PingFederate を CAS として使用し、SAML 設定で別の IdP を使用することもできます。PingFederate を IdP として使用する場合のオプションの設定手順が
Security Assertion Markup Language (SAML) 認証に記載されています。
サポートされる SSO の使用事例、および PTC 製品間の SSO フェデレーションのセットアップに必要な設定ステップの詳細については、
PTC Product Platform Single Sign-on Guide を参照してください。
SSO を設定する際のセキュリティのベストプラクティス
下記の推奨事項は、OWASP ガイドラインに基づいています。これらの推奨事項により、安全にセッションを管理できます。
トークンのコンフィギュレーション設定は、Windchill で直接管理されるのではなく、認証サーバーで SSO 管理者によって管理されます。
• OAuth トークンの長さは、標準に従っている必要があります。OAuth トークンの長さは、認証サーバー側で設定します。推奨値は 128 バイトです。
• OAuth 2.0 トークンの有効期限は、できるだけ短くする必要があります。推奨値は 30 分です。
セッションタイムアウトのコンフィギュレーションは、サービスプロバイダ (SP) 側で行われます。
• タイムアウト値は、できるだけ小さくする必要があります。推奨値は 30 分です。