为 PingFederate 创建通用配置包括创建访问令牌管理器、objectID 属性、OpenID Connect 策略和 OAuth 客户端应用程序。

前提条件

完成以下任务:

使用管理员帐户登录到 PingFederate 管理控制台。

过程

  1. 创建访问令牌管理器。
    1. 转到应用程序 > Oauth > 访问令牌管理
    2. 单击创建新实例
    3. 类型选项卡上:
      • 实例名称:输入实例名称。例如,vIDB Access Token Manager。
      • 实例 ID:输入实例 ID。例如,vIDB。
      • 类型:选择 JSON Web 令牌
      • 父实例:保留默认值“”。
    4. 实例配置选项卡上:
      • 使用集中式签名密钥:选中复选框。

        保持该复选框未选中将导致 PingFederate 需要配置“活动签名证书密钥 ID”。

      • JWS 算法:选择一种算法。例如,使用 SHA-256 的 RSA
      • 在屏幕底部,单击显示高级字段
        • JWT ID 声明长度:添加大于零 (0) 的数字。例如,24。如果未输入值,访问令牌中将忽略 JTI 声明。
    5. 单击下一步
    6. 访问令牌属性合同选项卡上:
      • 扩展合同文本框中,添加要在 Ping 访问令牌中生成的以下声明。输入每个声明后,单击添加
        • aud
        • iss
        • exp
        • iat
        • userName
      • 主体属性名称:选择一个要用于审核的声明。例如,iss
    7. 单击下一步两次,以跳过资源 URI访问控制选项卡。
    8. 单击保存
  2. 添加 objectGUID 属性。
    1. 转到系统 > 数据存储 > 您的数据存储 > LDAP 配置
    2. LDAP 配置选项卡上,单击底部的高级
    3. LDAP 二进制属性选项卡上的二进制属性名称字段中,使用 objectGUID,然后单击添加
    4. 单击保存
  3. 创建 OpenID Connect 策略。
    1. 转到应用程序 > OAuth > OpenID Connect 策略管理
    2. 单击添加策略
    3. 管理策略选项卡上:
      • 策略 ID:输入策略 ID。例如,OIDC。
      • 名称:输入策略名称。例如,OIDC Policy。
      • 访问令牌管理器:选择之前创建的访问令牌管理器。例如,vIDB Access Token Manager。
    4. 单击下一步
    5. 属性合同选项卡上:
      • 单击删除以移除除 sub 外的所有属性。否则,必须稍后将属性映射到合同履行选项卡中的值。
    6. 单击下一步,然后再次单击下一步以跳过属性范围选项卡。
    7. 属性源和用户查找选项卡上,单击添加属性源
      在随后的每个选项卡上输入信息后,单击 下一步以继续操作。
      • 数据存储
        • 属性源 ID:输入属性源 ID。例如,vIDBLDAP。
        • 属性源描述:输入描述。例如:vIDBLDAP。
        • 活动数据存储:从下拉列表中选择 Active Directory 或 OpenLDAP 域名。
      • LDAP 目录搜索
        • 基本 DN:输入基本 DN 以查找用户和组。
        • 搜索范围:保留默认值“子树”。
        • 要从搜索返回的属性:选择 <显示所有属性>,然后选择 objectGUID

          单击添加属性

      • LDAP 二进制属性编码类型
        • ObjectGUID:为属性编码类型选择十进制
      • LDAP 筛选器
        • 筛选器:输入筛选器。例如,userPrincipalName=${userName}
    8. 摘要页面上,单击完成
    9. 单击下一步以继续操作,然后在合同履行选项卡上,映射 ID 令牌的属性合同
      属性合同
      sub 选择之前创建的属性源 ID。在本文档中,使用的示例为 vIDBLDAP。 objectGUID
    10. 单击下一步,然后再次单击下一步以跳过保险标准选项卡。
    11. 单击保存
  4. 创建 OAuth 客户端应用程序。
    1. 转到应用程序 > OAuth > 客户端
    2. 单击添加客户端
    3. 客户端 | 客户端页面上:
      • 客户端 ID:输入客户端 ID。例如,vIDB。
        注: 复制并保存客户端 ID,以供稍后在为 PingFederate 创建 vCenter Server 身份提供程序时使用。
      • 名称:输入名称。例如,vIDB。
      • 客户端身份验证:选择客户端密钥
        • 客户端密钥:可以输入自己的客户端密钥,也可以生成密钥。离开此页面后,将无法再次查看密钥。只能选择更改密钥。
          注: 复制并保存密钥,以供稍后在创建 vCenter Server 身份提供程序时使用。
      • 重定向 URI:输入以下格式的重定向 URI:https://vCenter_Server_FQDN:port/federation/t/CUSTOMER/auth/response/oauth2
        • 单击添加
      • 允许的授权类型:选中授权代码刷新令牌客户端凭据资源所有者密码凭据
      • 默认访问令牌管理器:选择之前创建的访问令牌管理器。例如,本文档中使用的是 vIDB 访问令牌管理器。
      • OpenID Connect:对于策略,选择之前创建的策略。例如,本文档中使用的是 OIDC。
    4. 单击保存

下一步做什么

继续创建密码授权流配置