在 PingFederate 中创建授权代码流涉及创建和配置 IdP 适配器。

前提条件

完成以下任务:

使用管理员帐户登录到 PingFederate 管理控制台。

过程

  1. 创建 IdP 适配器。
    1. 转到身份验证 > 集成 > IdP 适配器
    2. 单击创建新实例
    3. 类型选项卡上:
      • 实例名称:输入名称,例如,HTML Form Auth Adapter。
      • 实例 ID:输入 ID,例如,HTMLFormAuthAdapter。
      • 类型:选择“HTML 表单 IdP 适配器”。
      • 父实例:选择
    4. 单击下一步
    5. IdP 适配器选项卡上:
      密码凭据验证器实例下,单击 向“凭据验证器”添加一个新行。,然后选择一个验证器(在本文档中,使用 vIDB 验证器),然后单击 更新
    6. IdP 适配器选项卡上:
      • 领域:选择 USER_KEY
    7. 单击下一步
    8. 单击下一步,以跳过扩展合同选项卡。
    9. 适配器属性选项卡上:
      • 唯一用户密钥属性:选择用户名并选中假名
    10. 单击下一步,以跳过适配器合同映射选项卡,然后单击保存
  2. 创建 IdP 适配器授权映射。
    1. 转到身份验证 > OAuth > IdP 适配器授权映射
    2. 源适配器实例:选择刚创建的适配器实例,然后单击添加映射
    3. 属性源和用户查找页面上,单击添加属性源
    4. 为每个选项卡输入如下信息,然后单击下一步以继续操作。
      • 数据存储选项卡上:
        • 属性源 ID:输入带有字母数字值的 ID。
        • 属性源描述。输入说明。
        • 活动数据存储:选择正在使用的 Active Directory。
      • LDAP 目录搜索选项卡上:
        • 基本 DN:输入基本 DN 以查找用户和组。
        • 搜索范围:使用默认值“子树”。
        • 要从搜索返回的属性:选择 <显示所有属性>,然后加载后,从属性列表中选择 userPrincipalName
    5. 单击添加属性,然后单击下一步
    6. LDAP 筛选器选项卡上:
      • 筛选器:输入筛选器。例如,userPrincipalName=${username}
    7. 单击下一步,然后单击保存
    8. IdP 适配器授权映射 | IdP 适配器映射页面上,完成 IdP 授予映射的创建。
      合同履行查找选项卡上,使用下表。
      合同
      USER_KEY 选择之前创建的源。 主体 DN
      USER_NAME 选择之前创建的源。 userPrincipalName
    9. 单击下一步,然后单击保存
      创建的 IdP 适配器授权映射显示为 Adapter Name”到永久授权合同
  3. 将 IdP 适配器映射到访问令牌管理器。
    1. 转到应用程序 > Oauth > 访问令牌映射
      • 上下文:选择 IdP 适配器: Adapter Name
      • 访问令牌管理器:选择之前创建的访问令牌管理器实例。例如,在本文档中,它是 vIDB Access Token Manager。
    2. 单击添加映射
      如果不执行此映射,PingFederate 将生成以下日志文件消息:

      没有可供选择的映射身份验证源。请先映射 IdP 适配器或 IdP 连接。

    3. 跳过属性源和用户查找选项卡,然后在合同履行选项卡上,使用下表。
      合同
      aud 无映射 -
      exp 无映射 -
      iat 无映射 -
      iss 无映射 -
      userName 适配器 username
    4. 单击下一步,以跳过保险条件选项卡,然后单击保存

下一步做什么

继续安装 SCIM 置备程序