添加 OpenID Connection 站点
使用
FactoryTalk Administration Console
在 FactoryTalk Security 中配置和绑定 OpenID Connect 应用程序,以从 OpenID Connect(OIDC)身份提供程序(Identity Provider,IDP)接收信息。通过 OIDC IDP,可以增强 FactoryTalk Security 身份验证体验,以使用 OIDC IDP 支持的任何多因素身份验证类型。有关更多信息,请参阅 OIDC IDP 指令。FactoryTalk Services Platform 支持以下 OIDC IDP 类型:
要添加 OpenID Connection 站点
- 在 FactoryTalk Administration Console 的浏览器窗格中,展开身份验证服务。
- 右键单击OIDC 站点,选择新建,然后选择以下项之一:重要提示: OIDC 站点类型应与 OIDC 服务器配置匹配。
- 新建本地 OIDC 站点FactoryTalk Security 可以对接与本地 Microsoft Active Directory 结合使用的本地 OIDC IDP 应用程序(如 HID Global 的 HID® DigitalPersona®)进行用户身份验证,以支持各种身份验证机制,例如指纹扫描。本地 OIDC 身份验证仅支持 Windows 关联用户。
- 新建 OKTA OIDC Web 应用程序FactoryTalk Security 与 OKTA OIDC Web 应用程序集成,支持授权代码流等身份验证机制。有关详细信息,请参阅 OKTA 和 OAuth 社区站点。
- 新建 OKTA OIDC 单页应用程序FactoryTalk Security 可以对接 OKTA OIDC 单页应用程序集成进行用户身份验证,以支持各种身份验证机制,例如 PKCE 流。有关详细信息,请参阅 OKTA 和 OAuth 社区站点。
- 新的 MyRockwellFactoryTalk Security 可以对接 MyRockwell Auth0 应用程序进行用户身份验证。
- 当对话框打开时,配置以下各项
- 名称:指定 OIDC 站点的名称。站点名称应唯一。
- 描述:输入 OIDC 站点的描述。
- 客户端信息以下信息来自 OIDC 服务器:
- 客户端 ID:为客户端发出的唯一标识符。它在 OIDC 服务器上注册。
- 客户端密钥:为客户端发出的客户端密钥。它在 OIDC 服务器上注册。此值仅为 OIDC IDP 和您的应用程序集成已知晓。小贴士: 客户端密钥处于隐藏状态。要更改现有 OIDC 站点的客户端密钥,请右键单击该 OIDC 站点,选择属性,然后选择客户端密钥旁边的
。 - 范围:访问请求的范围。可以根据您的 OIDC 服务器设置调整此值,以便 FactoryTalk Security 可接收用户信息。使用逗号分隔每个范围的值。Openid 为预先定义信息。默认值为最小范围。
- 域:它仅适用于本地 OIDC 站点。您的 OIDC 服务器所在的 Windows 域,例如 test.com。
- 启用 PKCE:它仅适用于 OKTA 和 MyRockwell OIDC 站点。代码交换证明密钥(PKCE)指示是否需要 PKCE 代码质询来验证客户端请求。是否启用 PKCE 取决于 OIDC 服务器配置。
- 端点信息以下端点信息来自 OIDC IDP 配置。在创建 OIDC 站点之前,必须配置 OIDC 服务器。在 OIDC 身份验证和授权期间,端点 URL 会与 OIDC IDP 进行通信。
- 授权端点 URL:用于身份验证和授权的授权端点。它返回授予客户端的授权。
- 令牌端点 URL:用于令牌交换的令牌端点。它返回访问令牌、ID 令牌和(可选)刷新令牌。
- 用户信息端点 URL:仅本地 OIDC 站点需要此信息。它返回一个包含有关用户的声明的响应。
- OKTA API 密钥: API 密钥是 OKTA 提供的一个选项,用于对外部应用程序的用户进行身份验证,以使用 OKTA API 从关联的 OKTA 应用程序获取信息。是否启用 OKTA API 密钥取决于 OIDC 服务器的配置。小贴士:
- FactoryTalk Services Platform 使用身份验证代码流执行身份验证。
- 在 OIDC 服务器中将回调 URL 注册为 http://localhost。
提供反馈