管理验证服务
FactoryTalk Services Platform 支持通过 Microsoft Entra ID(也称为 Azure AD)和 OpenID Connect(OIDC)身份提供程序(Identity Provider,IDP)(如 OKTA 和 MyRockwell)进行身份验证。这两种服务均提供多种方法来验证用户的身份,并验证服务请求是否由该用户发出。在此身份验证过程中可以使用各种因素,例如生物特征、ID 卡或验证码。创建站点后,可从基于云的身份验证服务中将用户组添加到 FactoryTalk 系统,以允许组中的用户帐户访问 FactoryTalk 系统。
FactoryTalk Services Platform 支持单次登录。启用单次登录功能后,用户可在给定计算机上按 FactoryTalk Directory 登录一次,以使用启用了 FactoryTalk 的应用程序(例如 Studio 5000 Logix Designer)。可通过两种方法启动单次登录。
- 一种方法是通过计算机登录过程,用户通常执行该过程以使用计算机。
- 第二种方法是使用登录 FactoryTalk系统托盘小程序。基于云的身份验证服务必须使用这种方法。使用 Microsoft Entra ID 或 OIDC 时,必须使用系统托盘小程序登录,这样单次登录功能才能正常发挥作用。
使用的身份验证服务会影响单次登录功能的工作方式。下表显示了身份验证服务如何支持单次登录。
身份验证服务 | 对单次登录的影响 |
密码 | 对于 Windows 关联用户和 FactoryTalk 用户,完全支持单次登录。添加 Microsoft Entra ID 和 OpenID Connect 身份验证服务对这项现有功能没有影响。 |
Microsoft Entra ID | 使用 Microsoft Entra ID 单次登录取决于用户的身份验证方式。 Windows 登录 如果 Microsoft Entra ID 用户先前已登录计算机(从而创建 Microsoft 关联用户),则对单次登录的支持有限。使用 Windows 登录时,FactoryTalk Services Platform 无法确定 Microsoft Entra ID 用户的 Microsoft Entra ID 组成员身份。这会阻止 FactoryTalk Services Platform 评估为此用户使用 Microsoft Entra ID 组的安全访问控制列表。 如果 Microsoft Entra ID 用户尚未登录计算机,则 FactoryTalk Services Platform 单次登录将不起作用。 使用系统托盘小程序登录 FactoryTalk Microsoft Entra ID 用户使用此方法登录将获得完全支持。可以确定 Microsoft Entra ID 用户在 Microsoft Entra ID 组和域组中的成员资格,并且可以评估所有安全访问控制列表。 |
OpenID Connect | 使用此身份验证服务时,单次登录支持仅限于以下方式。 使用系统托盘小程序登录 FactoryTalk OpenID Connect 用户使用此方法登录将获得完全支持。可以确定 OpenID Connect 用户在 OpenID Connect 组和域组中的成员资格,并可评估所有安全访问控制列表。 |
如何使用系统托盘小程序登录 FactoryTalk
FactoryTalk Services Platform
间接支持使用 Azure、OKTA 和 MyRockwell 等基于云的身份验证服务进行单次登录。要使用单次登录,用户必须首先通过系统托盘登录/注销小程序登录 FactoryTalk
Directory。完成此步骤后,Studio 5000 Logix Designer
、FactoryTalk View
Studio 等应用程序可以在启动时使用单次登录进行身份验证。FactoryTalk Services Platform
不支持在启动系列应用程序时,使用当前已通过身份验证的 Windows 用户进行自动身份验证。提供反馈