インストールおよびアップグレード > 高度な展開の検討事項 > 認証 > Windchill における代替認証の設定 > シングルサインオン認証 > SSO コンフィギュレーションでの電子署名の検証 > 電子署名の再認証の設定
  
電子署名の再認証の設定
電子署名の再認証機能の目的は、Windchill の外部から電子署名の承認を実行するメカニズムを提供することです。電子署名アクティビティを承認する前に、Windchill 側で自分自身を再認証する必要があります。
認証に必要なコンフィギュレーションを設定するには、以下の手順に従います。
1. 以下を実行して SSO を設定します。
* 
Windchill で SSO を有効にするためのコンフィギュレーションに加えてこれらのコンフィギュレーションが必要です。このコンフィギュレーションで修正した各ファイルのバックアップを作成することをお勧めします。
SSO を有効にするために適用されるコンフィギュレーションについては、ヘルプセンターのシングルサインオン認証のセクションを参照してください。
SSO を有効にするために適用されるコンフィギュレーションについては、Windchill Installation and Configuration Guide - Update Existing Installation の「シングルサインオン認証」のセクションを参照してください。
a. 指定された *.conf ファイルに以下のエントリを追加することで Apache を設定します。
a. {WT_HOME}/HTTPServer/conf/conf.d/00-1mod_shib.conf<Location/reauthsecure> section: の後ろ
<LocationMatch ^/+Windchill/TokenGenerator?>
AuthType shibboleth
ShibRequestSetting applicationId jwt
ShibUseHeaders on # mod_jk doesn't pass environment, so useHeaders is required
require shib-session
</LocationMatch>
b. {WT_HOME}/HTTPServer/conf/conf.d/30-app-Windchill-1Auth.conf<LocationMatch ^/+Windchill/reauthsecure?> セクションの後ろ:
<LocationMatch ^/+Windchill/TokenGenerator?>
AuthType shibboleth
ShibRequestSetting applicationId jwt
ShibUseHeaders on # mod_jk doesn't pass environment, so useHeaders is required
require shib-session
</LocationMatch>
b. 以下の説明に従って Shibboleth2 を設定します。
a. PingFederate サイトで作成された SP 接続名を以下のコンフィギュレーションで entityID として指定します。以下のセクションを <ApplicationDefaults> セクション内に追加します。
<ApplicationOverride id="jwt" entityID="PTC-QA-Jaguar-B77"
REMOTE_USER="uid eppn persistent-id targeted-id"
cipherSuites="ECDHE+AESGCM:ECDHE:!aNULL:!eNULL:!LOW:!EXPORT:!RC4:!SHA:!SSLv2">
<Sessions lifetime="5" timeout="5" checkAddress="false"
relayState="ss:mem" handlerURL="/TokenGenerator/Shibboleth.sso"
maxTimeSinceAuthn="2" handlerSSL="false" cookieProps="https"
redirectLimit="exact" postData="ss:mem"
postExpire="true" postLimit="512000" postTemplate="postTemplate.html">
<SSO entityID="DEVOPS-844-UPGRADE" discoveryProtocol="SAMLDS"
discoveryURL="https://ds.example.org/DS/WAYF" forceAuthn="true"
postArtifact="true" template="bindingTemplate.html"
outgoingBindings="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST">
SAML2 SAML1
</SSO>
<!-- SAML and local-only logout. -->
<Logout>SAML2 Local</Logout>
<!-- Extension service that generates "approximate" metadata
based on SP configuration. -->
<Handler type="MetadataGenerator" Location="/Metadata"
signing="false"/>
<!-- Status reporting service. -->
<Handler type="Status" Location="/Status" acl="127.0.0.1 ::1"/>
<!-- Session diagnostic service. -->
<Handler type="Session" Location="/Session"
showAttributeValues="true"/>
<!-- JSON feed of discovery information. -->
<Handler type="DiscoveryFeed" Location="/DiscoFeed"/>
</Sessions>
</ApplicationOverride>
b. 以下の属性を <Sessions> セクションに追加します。
<Sessions lifetime="28800" timeout="3600" relayState="ss:mem"
checkAddress="false" handlerSSL="false"
cookieProps="https" redirectLimit="exact" postData="ss:mem"
postExpire="true" postLimit="512000"
postTemplate="postTemplate.html">
c. 以下のエントリを <HOST> セクションに追加します。
<Host name="sp.example.org">
<Path name="secure" authType="shibboleth"
requireSession="true"/>
<Path name="reauthsecure" authType="shibboleth"
requireSession="true" forceAuthn="true"
applicationId="reauthsecure" />
<Path name="TokenGenerator" authType="Shibboleth"
requireSession="true" forceAuthn="true" applicationId="jwt" />
</Host>
d. postTemplate.html のコンテンツを以下のコードに置き換えます。
<html>
<head>
</head>
<body onload="submit();">
<script language="Javascript">
function submit() {
document.forms[0].submit();
}
</script>
<noscript>
<p>A form submission to this site was interrupted by the login
process.
If you would like to complete it now, submit this form.</p>
</noscript>
<form method="POST" action="<shibmlp action/>">
<shibmlpfor PostedData>
<input type="hidden" name="<shibmlp $name/>" value="<shibmlp
$value/>"/>
</shibmlpfor>
</form>
</body>
</html>
c. JWT トークン生成用に PingFederate を設定します。
a. PingFederate にログインします。
b. 「SP Connection」 > 「Browser SSO」 > 「Configure Browser SSO」 > 「Protocol Settings」 > 「Configure Protocol Settings」の順にクリックします。
c. 「Assertion consumer Service URL」をクリックします。
d. 「Binding」として POST を選択し、「EndPoint URL」として "/TokenGenerator/Shibboleth.sso/SAML2/POST を選択します。
e. 「Add」「Save」「Done」の順にクリックします。
2. site.xconf ファイルの wt.idp.allowlisturls property で、ThingWorx または ThingWorx Navigate などの外部アプリケーションの URL を指定します。
3. このコンフィギュレーションを有効にするため、Shibboleth デーモン、Apache、および Windchill サーバーを再起動します。