安装或升级到 vSphere 8.0 Update 3 后,可以为 PingFederate(作为外部身份提供程序)配置 vCenter Server 身份提供程序联合。

vCenter Server 仅支持一个已配置的外部身份提供程序(一个源)和 vsphere.local 标识源(本地源)。不能使用多个外部身份提供程序。用户登录到 vCenter Server 时,vCenter Server 身份提供程序联合使用 OpenID Connect (OIDC)。

可以在 vCenter Server 中使用 PingFederate 组和用户通过全局权限或对象权限配置特权。有关添加权限的详细信息,请参见《vSphere 安全性》文档。

前提条件

完成以下任务:
确保您拥有 PingFederate OpenID Connect 应用程序中的以下信息:
  • 客户端标识符
  • 客户端密钥(在 vSphere Client 显示为共享密钥)
  • Active Directory 域信息或 PingFederate 域信息(如果未运行 Active Directory)

过程

  1. 要在 vCenter Server 上创建身份提供程序,请执行以下操作:
    1. 使用 vSphere Client 以管理员身份登录到 vCenter Server
    2. 转至主页 > 系统管理 > Single Sign On > 配置
    3. 单击更改提供程序并选择 PingFederate
      此时将打开 配置主身份提供程序向导。
    4. 必备条件面板中,查看 PingFederate 和 vCenter Server 以及其他要求。
    5. 单击运行预检查
      如果预检查发现错误,请单击 查看详细信息,然后按照指示采取措施,解决错误。
    6. 如果预检查通过,请单击确认复选框,然后单击下一步
    7. 目录信息面板中,输入以下信息。
      • 目录名称:要在 vCenter Server 上创建的本地目录的名称,该目录用于存储从 PingFederate 推送的用户和组。例如,vcenter-PingFederate-directory
      • 域名:输入 PingFederate 域名,其中包含要与 vCenter Server 同步的 PingFederate 用户和组。

        输入 PingFederate 域名后,单击加号图标 (+) 进行添加。如果输入多个域名,请指定默认域。

    8. 单击下一步
    9. OpenID Connect 面板中,输入以下信息。
      • 重定向 UI:自动填写。此重定向 UI 必须与您在 PingFederate 中创建 OpenID Connect 应用程序时使用的内容相匹配。
      • 身份提供程序名称:自动填写为 PingFederate。
      • 客户端标识符:在创建 OpenID Connect 应用程序时获取。(PingFederate 将客户端标识符称为客户端 ID。)
      • 共享密钥:在 PingFederate 中创建 OpenID Connect 应用程序时获取。(PingFederate 将共享密钥称为客户端密钥。)
      • OpenID 地址:采用 https://PingFederate_domain_space/idp/.well-known/openid-configuration 形式。

        例如,PingFederate 域空间为 example.PingFederate.com,则 OpenID 地址为:https://example.PingFederate.com/idp/.well-known/openid-config

      • SSL 证书:(可选)浏览 PingFederate SSL 证书或证书链(如果此证书不是由知名公共证书颁发机构颁发),以上载到 vCenter Server。要导出 PingFederate SSL 证书,请在管理控制台中转到安全 > SSL 服务器证书,选择默认证书,然后从选择操作下拉菜单中选择导出。有关详细信息,请参见 https://docs.pingidentity.com/r/en-us/pingfederate-111/nfv1585678806463 上的“导出证书”一文。您可以导出 PingFederate SSL 证书而不使用私钥,因为 vCenter Server 配置不需要。
    10. 单击下一步
    11. 检查信息,然后单击完成
      vCenter Server 将创建 PingFederate 身份提供程序并显示配置信息。
  2. 用户置备下,单击生成以创建密钥令牌,从下拉列表中选择令牌使用期限,然后单击复制到剪贴板。将令牌保存到安全位置。
    创建 PingFederate SP 连接(SCIM 应用程序)时,可以使用令牌将 PingFederate 用户和组同步到 VMware Identity Services 中。

下一步做什么

继续 创建 SCIM 应用程序(SP 连接)