单一登录身份验证
可将 Windchill 配置为参与单一登录 (SSO),使用 SAML 协议进行用户身份验证,或使用 OAuth 2.0 协议进行委派授权。
对于 SAML 身份验证,PTC 支持将 Shibboleth Service 提供工具用作在 PTC HTTP Server 上配置的 SAML 客户端,以将
Windchill 用户身份验证定向至受信任的标识提供工具。有关详细信息,请参阅
安全声明标记语言 (SAML) 身份验证。
如果已经为
Windchill 配置 SAML 身份验证,并且您的站点使用电子签名作为其工作流进程的一部分,则可以有选择将系统配置为要求用户在提交电子签名之前提供其凭据。有关详细信息,请参阅
eSignature Validation for SSO Configurations。
对于 OAuth 委派授权,
Windchill 充当在
ThingWorx 平台上构建的应用程序或混搭的资源提供者。如果用户授予应用程序访问其
Windchill 数据的权限,则当请求用户拥有的数据时,应用程序将显示
Windchill 的访问令牌。PTC 产品将使用前缀标记访问令牌的范围,以进一步保护和管理对资源的访问。在
Windchill 中,范围必须在
securityContext.properties 文件中进行注册。有关详细信息,请参阅
建立中央授权服务器和
配置 OAuth 委派授权。
在 OAuth 委派授权方案中,PTC 支持使用 PingFederate 作为中央授权服务器 (CAS) 来管理参与 SSO 联合的 PTC 产品之间的信任关系。CAS 会发出访问令牌并验证其对受信任应用程序的真实性。具有有效维护协议或订阅许可证的
Windchill 客户无需支付额外费用即可使用 PingFederate 许可证。从 PTC 软件下载网站 (网址为
https://support.ptc.com/appserver/auth/it/esd/index.jsp) 下载支持的 PingFederate 版本。按照 ZIP 文件中包含的说明部署 PingFederate 许可证文件。有关安装说明,请参阅 PingFederate 文档。
可将
Windchill 配置为同时使用 SAML 身份验证和 OAuth 委派授权,两种方案不会相互排斥。如果已使用 PingFederate 作为 CAS 启用 OAuth 委派授权,则可以选择在 SAML 身份验证方案中将 PingFederate 用作标识提供工具 (IdP)。还可以选择在 SAML 配置中使用不同的 IdP,并使用 PingFederate 作为 OAuth 配置中的 CAS。使用 PingFederate 作为 IdP 的可选配置说明包含在
安全声明标记语言 (SAML) 身份验证中。