シングルサインオン認証
Windchill は、ユーザー認証用の SAML プロトコルまたは委任認証用の OAuth 2.0 プロトコルを使用してシングルサインオン (SSO) に参加するよう設定できます。
SAML 認証の場合、PTC は PTC HTTP サーバー上で設定されている Shibboleth Service Provider を SAML クライアントとして使用して、
Windchill ユーザー認証を信頼済みのアイデンティティプロバイダに送信することをサポートしています。詳細については、
Security Assertion Markup Language (SAML) 認証を参照してください。
Windchill で SAML 認証を設定し、サイトでそのワークフロープロセスの一部として電子署名が使用されている場合、オプションでシステムを設定することで、電子署名をサブミットする前に資格証明を提供するようユーザーに求めることができます。詳細については、
SSO コンフィギュレーションでの電子署名の検証を参照してください。
OAuth 委任認証の場合、
Windchill は、
ThingWorx プラットフォーム上に構築されたアプリケーションまたはマッシュアップのリソースプロバイダとして機能します。ユーザーが自分の
Windchill データにアクセスすることをアプリケーションに許可した場合、そのアプリケーションはそのユーザーが所有するデータをリクエストする際に
Windchill にアクセストークンを提示します。PTC 製品は、リソースへのアクセスをさらに保護および管理するため、アクセストークンにスコープを添付します。
Windchill では、
securityContext.properties ファイル内でスコープを登録する必要があります。詳細については、
中央認証サーバーの確立および
OAuth 委任認証の設定を参照してください。
OAuth 委任認証のシナリオでは、PTC は PingFederate を中央認証サーバー (CAS) として使用して、SSO フェデレーションに参加している PTC 製品間の信頼関係を管理することをサポートしています。CAS は信頼済みのアプリケーションに対してアクセストークンを発行し、それらが本物であるかどうかを検証します。PingFederate のライセンスは、有効なメンテナンス契約またはサブスクリプションライセンスを持つ
Windchill の顧客に追加費用なしで提供されています。サポートされているバージョンの PingFederate を PTC ソフトウェアダウンロード Web サイト
https://support.ptc.com/appserver/auth/it/esd/index.jsp からダウンロードしてください。この ZIP ファイルに含まれている手順に従って PingFederate ライセンスファイルを展開してください。インストールの手順については、PingFederate のドキュメントを参照してください。
SAML 認証と OAuth 委任認証のどちらか一方だけでなく両方を使用するように
Windchill を設定できます。PingFederate を CAS として使用して OAuth 委任認証を有効にしている場合、SAML 認証のシナリオではオプションで PingFederate をアイデンティティプロバイダ (IdP) として使用できます。OAuth 設定で PingFederate を CAS として使用し、SAML 設定で別の IdP を使用することもできます。PingFederate を IdP として使用する場合のオプションの設定手順が
Security Assertion Markup Language (SAML) 認証に記載されています。
サポートされる SSO の使用事例、および PTC 製品間の SSO フェデレーションのセットアップに必要な設定ステップの詳細については、
PTC Product Platform Single Sign-on Guide を参照してください。