安装或升级到 vSphere 8.0 Update 3 后,可以为 PingFederate(作为外部身份提供程序)配置 vCenter Server 身份提供程序联合。

为 PingFederate 配置 vCenter Server 身份提供程序的简要步骤

为 PingFederate 配置 vCenter Server 涉及以下简要步骤:

  1. 在 PingFederate 上,创建 vCenter Server/VMware Identity Services 特定配置,包括 PingFederate 工作流的范围和通用配置。
  2. 在 PingFederate 上,创建全局项目,包括密码授权流配置和授权代码流配置。
  3. 在 PingFederate 上,安装 SCIM 置备程序。
  4. vCenter Server 上,创建 PingFederate 身份提供程序。
  5. 在 PingFederate 上,创建 SCIM 应用程序(SP 连接)。
  6. vCenter Server 上,授权 PingFederate 用户。
注: 本文档中的说明为 PingFederate 服务器创建了一个典型设置。您的环境可能会有所不同,因此可以进行不同的选择。

为 PingFederate 配置 vCenter Server 身份提供程序的必备条件

PingFederate 要求:

  • 您已安装内部部署 PingFederate 服务器。
  • 从配置 PingFederate 身份提供程序的 vCenter Server,您必须获取可信根证书并将其导入 PingFederate 服务器。
  • (可选)如果 PingFederate SSL 证书或证书链是自签名证书(即,不是由知名公共证书颁发机构颁发),则可能需要将该证书导入到 vCenter Server。如果 PingFederate SSL 证书或证书链中的一个证书是由知名证书颁发机构颁发的,vCenter Server 会自动信任该证书,您无需导入该证书。如果要对 PingFederate 服务器 SSL 证书使用一个或多个中间签名机构,请包括整个证书链。

    要导出 PingFederate SSL 证书,在 PingFederate 管理控制台中,转到安全性 > SSL 服务器证书,选择默认证书,然后从选择操作下拉菜单中选择导出

    作为配置身份提供程序工作流的一部分,可以使用 OpenID Connect 面板中的 vSphere Client 导入 PingFederate SSL 证书。

  • 要执行 OIDC 登录并管理用户和组权限,必须创建以下 PingFederate 应用程序。
    • 以 OpenID Connect 作为登录方法的 PingFederate 本机应用程序。本机应用程序必须包含以下授权类型:授权代码、刷新令牌和资源所有者密码。
    • 具有 OAuth 2.0 持有者令牌的跨域身份管理系统 (SCIM) 2.0 应用程序(在 PingFederate 中,称为“SP 连接”),用于在 PingFederate 服务器与 vCenter Server 之间执行用户和组同步。
  • 您已确定要与 vCenter Server 共享的 PingFederate 用户和组。此共享是一种 SCIM 操作(而不是 OIDC 操作)。

PingFederate 连接要求:

  • vCenter Server 必须能够连接到 PingFederate 发现端点,以及在发现端点元数据中通告的授权、令牌、JWKS 和任何其他端点。
  • PingFederate 必须能够与 vCenter Server 连接,以发送用于 SCIM 置备的用户和组数据。

vCenter Server 要求:

  • vSphere 8.0 Update 3
  • 在要创建 PingFederate 标识源的 vCenter Server 上,确认已激活 VMware Identity Services。
    注: 安装或升级到 vSphere 8.0 Update 1 或更高版本时,默认激活 VMware 身份服务器。可以使用 vCenter Server 管理界面确认 VMware Identity Services 的状态。请参见 停止和启动 VMware Identity Services

vSphere 特权要求:

  • 您必须具有 VcIdentityProviders.管理特权,才能创建、更新或删除联合身份验证所需的 vCenter Server 身份提供程序。要限制用户只能查看身份提供程序配置信息,请分配 VcIdentityProviders.读取特权。

增强型链接模式要求:

  • 可以在增强型链接模式配置中为 PingFederate 配置 vCenter Server 身份提供程序联合。在增强型链接模式配置下配置 PingFederate 时,可以将 PingFederate 身份提供程序配置为使用单个 vCenter Server 系统上的 VMware Identity Services。例如,如果增强型链接模式配置包含两个 vCenter Server 系统,则仅使用一个 vCenter Server 及其 VMware Identity Services 实例与 PingFederate 服务器进行通信。如果此 vCenter Server 系统变得不可用,可以在 ELM 配置中的其他 vCenter Server 上配置 VMware Identity Services,以便与 PingFederate 服务器进行交互。有关详细信息,请参见增强型链接模式配置中的外部身份提供程序激活过程
  • PingFederate 配置为外部身份提供程序时,增强型链接模式配置中的所有 vCenter Server 系统必须至少运行 vSphere 8.0 Update 3。