创建 SCIM 应用程序（SP 连接）

需要创建一个跨域身份管理系统 (SCIM) 2.0 应用程序，以便可以指定要推送到 vCenter Server 的 PingFederate 用户和组。

前提条件

完成以下任务：

过程

将 vCenter Server 可信根证书添加到 PingFederate 服务器。
开始之前，从 vCenter Server 导出可信根证书。可以从 /var/lib/vmware/vmca/root.cer 上的 vCenter Server 的文件系统中获取证书。或者，请参见知识库文章，网址为 https://kb.vmware.com/s/article/2108294。
1. 使用管理员帐户登录到 PingFederate 管理控制台。
2. 转到安全性 > 证书和和密钥管理。
3. 选择可信 CA，然后单击导入以添加 vCenter Server 的 SSL 证书。
4. 如果 PingFederate 服务器实例正在作为容器映像运行，您可能需要重新启动服务器以将证书添加到信任存储。例如：
  1. 使用 SSH 连接到 PingFederate 服务器。
  2. 更改为 /root/ping 目录：
  3. 运行以下命令：
```
docker-compose down
docker-compose up
```
创建 SP 连接。
1. 使用管理员帐户登录到 PingFederate 管理控制台。
2. 转到应用程序 > 集成 > SP 连接。
3. 单击创建连接。
4. 选择为此连接使用模板，然后从下拉列表中选择 SCIM Connector。
  如果下拉列表中未显示 SCIM Connector 选项，请检查是否已将 SCIM Connector .jar 文件放置在正确的文件夹（PingFederate 服务器的 /opt/out 文件夹）中。
5. 单击下一步。
6. 仅选择出站置备，然后单击下一步。
7. 在常规信息选项卡上：
  - 合作伙伴的实体 ID (连接 ID)：将 SCIM Connector 更新为您选择的名称。
  - 连接名称：输入名称。
  - 基本 URL：输入要在其中配置 PingFederate 外部身份提供程序的 vCenter Server 的 HTTPS 地址，例如：https://vcenter1.example.com。
8. 单击下一步。
9. 单击配置置备。
  在目标选项卡上：
  - SCIM URL：输入用户组端点。
    这是在 vCenter Server 的配置页面上的用户置备下获取的租户 URL。例如：https://vcenter1.example.com/usergroup/t/CUSTOMER/scim/v2
  - 身份验证方法：从下拉列表中选择 OAuth 2 持有者令牌。
  - 访问令牌：粘贴从 vCenter Server 生成且之前应已保存的密钥令牌。请参见为 PingFederate 配置 vCenter Server 身份提供程序联合中的步骤 2。
  - 唯一用户标识符：从下拉列表中选择 userName。
  - 筛选表达式：将以下表达式复制到文本框中：externalId eq "%s"
10. 接受其余默认配置设置值，然后单击下一步。
  - 置备选项：已选中用户创建、用户更新和用户禁用/删除。
  - 移除用户操作：已选择禁用。
    注：选择禁用后，从 Active Directory 中删除用户时，这些用户不会在 VMware Identity Services 中自动显示为“已禁用”。这是预期的行为。
    
    在 Active Directory 中，用户的属性变为 "active"="false"，而不是在下一个置备周期中删除用户。
    
    在下一个置备周期中在 Active Directory 中创建或更新另一个用户，并且您遵循https://support.pingidentity.com/s/article/After-deleting-an-AD-user-account-SaaS-provisioner-does-not-remove-the-user-in-the-next-provisioning-cycle-when-Group-DN-is-specified中的解决办法之前，该用户不会在 VMware Identity Services 中显示为“已禁用”。
  - 组名称源：已选择通用名。
11. 在管理通道选项卡上，单击创建。
  - 在通道信息选项卡上：
    - 通道名称：输入名称。
    - 接受最大线程数和超时(秒) 默认值。
12. 单击下一步。
  - 在源选项卡上：
    - 活动数据存储：选择 Active Directory 域。
13. 单击下一步。
  - 在源位置选项卡上：
    - 基本 DN：输入基本 DN 以查找用户和组。
    - 用户：根据您的环境自定义。例如：
      
      组 DN：不使用。
      
      筛选器：输入 (|(objectClass=person)(objectClass=organizationalPerson)(objectClass=user))。
    - 组：根据您的环境进行自定义。例如：
      
      组 DN：不使用。
      
      筛选器：输入 (objectClass=group)。
14. 单击下一步。
15. 接受属性映射选项卡上的默认值。
16. 单击下一步。
  在激活与摘要选项卡上：
  - 通道状态：选择活动。
17. 单击完成。
  将创建 SP 连接并显示 SP 连接屏幕。
18. 单击完成。
19. 在出站置备选项卡上，单击下一步。
20. 检查摘要，然后单击保存。
21. 要使连接处于活动状态，请切换启用滑块。

结果

现在，PingFederate 将用户和组从配置的数据存储推送到 vCenter Server。请留出一些时间来完成推送。您可以在 vSphere Client 中查看推送的用户和组。转到管理 > Single Sign On > 用户和组，然后选择 PingFederate 域。

下一步做什么

继续为 PingFederate 授权配置 vCenter Server。