使用 PingFederate 配置应用程序访问控制
MATLAB® Production Server™ 管理员可以使用 Ping Identity® 中的 PingFederate® 将所部署应用程序的访问权限限制为仅限特定用户或用户组。要启用应用程序访问控制,请咨询 PingFederate 管理员以配置 PingFederate 并指定访问控制策略规则。
前提条件
请参阅 PingFederate 文档以配置 OAuth 用例、客户端和端点,以及配置 OpenID® 提供方信息:
在仪表板中配置 PingFederate
使用 PingFederate 注册应用程序后,在仪表板的 Application Access Control 选项卡中为 PingFederate 创建配置。点击 Create 并选择 PingFederate。
在 Create Identity Provider for Application Access Control 中,输入特定于应用程序和特定于身份提供方的值。点击 Create。如果服务器在 Windows® 虚拟机上运行,保存值可能需要长达 30 秒的时间。
下表描述了您必须输入的值。
字段 值 Name 您的 PingFederate 配置的名称。
App ID JWT 的预期接收方。接收方协助验证 JWT 中的 aud 声明。 JWT Issuer 身份提供方的 JWT 发行方元数据。元数据字符串必须与 JWT 中的 iss 声明匹配。 JWKS URI 用于检索 JSON Web 密钥集 (JWKS) 的 URI。
指定访问控制策略规则
通过定义访问控制策略规则来指定特定用户或用户组可以访问的应用程序。要定义规则,请点击仪表板 Application Access Control 选项卡中 Access Control Policy 下的 Add Rule。然后,指定以下信息。
| 字段 | 值 |
|---|---|
| Rule ID | 规则的名称 |
| Description | 规则的说明 |
| Users | 允许访问所部署应用程序的用户名 |
| Groups | 允许访问所部署应用程序的组 ID(如果适用) |
| Applications | 您想要允许指定用户组访问的应用程序。 要选择所有应用程序,请选择 |
启用应用程序访问控制
配置身份提供方并指定访问控制策略规则后,您必须通过从仪表板中选择 Yes 选项来启用仪表板访问控制。
生成访问令牌
启用应用程序访问控制后,访问控制策略规则中指定的用户可以生成持有者访问令牌。有关生成访问令牌的更多信息,请参阅 PingFederate OAuth 2.0 开发人员指南。
客户端程序在使用 MATLAB Production Server RESTful API 向服务器发出请求时,在 HTTP 授权标头中使用此访问令牌。此标头的格式为 Authorization:Bearer <access token>。
