Nach der Installation von oder dem Upgrade auf vSphere 8.0 Update 3 können Sie den vCenter Server-Identitätsanbieterverbund für PingFederate als externen Identitätsanbieter konfigurieren.

vCenter Server unterstützt nur einen konfigurierten externen Identitätsanbieter (eine Quelle) und die Identitätsquelle „vsphere.local“ (lokale Quelle). Sie können nicht mehrere externe Identitätsanbieter verwenden. Der vCenter Server-Identitätsanbieterverbund verwendet OpenID Connect (OIDC) für die Benutzeranmeldung bei vCenter Server.

Sie können Berechtigungen mithilfe von PingFederate-Gruppen und -Benutzern über globale oder Objektberechtigungen in vCenter Server konfigurieren. Weitere Informationen zum Hinzufügen von Berechtigungen finden Sie in der vSphere-Sicherheit-Dokumentation.

Voraussetzungen

Führen Sie die folgenden Aufgaben aus:
Stellen Sie sicher, dass Sie über die folgenden Informationen aus der PingFederate OpenID Connect-Anwendung verfügen:
  • Clientbezeichner
  • Geheimer Clientschlüssel (im vSphere Client als gemeinsamer geheimer Schlüssel angezeigt)
  • Active Directory-Domäneninformationen oder PingFederate-Domäneninformationen, wenn Sie nicht Active Directory ausführen

Prozedur

  1. So erstellen Sie den Identitätsanbieter in vCenter Server:
    1. Verwenden Sie den vSphere Client, um sich als Administrator bei vCenter Server anzumelden.
    2. Navigieren Sie zu Startseite > Verwaltung > Single Sign-On > Konfiguration.
    3. Klicken Sie auf Anbieter ändern und wählen Sie PingFederate aus.
      Der Assistent Hauptidentitätsanbieter konfigurieren wird geöffnet.
    4. Überprüfen Sie im Bereich Voraussetzungen die PingFederate-, vCenter Server- und andere Anforderungen.
    5. Klicken Sie auf Vorabprüfungen ausführen.
      Wenn bei der Vorabprüfung Fehler gefunden werden, klicken Sie auf Details anzeigen und führen Sie Schritte aus, um die angegebenen Fehler zu beheben.
    6. Wenn die Vorabprüfung erfolgreich abgeschlossen ist, klicken Sie auf das Bestätigungskontrollkästchen und dann auf Weiter.
    7. Geben Sie m Bereich Verzeichnisinformationen die folgenden Informationen ein:
      • Verzeichnisname: Name des lokalen Verzeichnisses, das in vCenter Server erstellt werden soll und die von PingFederate übertragenen Benutzer und Gruppen speichert. Beispiel: vcenter-PingFederate-directory.
      • Domänenname(n): Geben Sie die PingFederate-Domänennamen ein, die die PingFederate-Benutzer und -Gruppen enthalten, die Sie mit vCenter Server synchronisieren möchten.

        Nachdem Sie Ihren PingFederate-Domänennamen eingegeben haben, klicken Sie auf das Pluszeichen (+), um ihn hinzuzufügen. Wenn Sie mehrere Domänennamen eingeben, geben Sie die Standarddomäne an.

    8. Klicken Sie auf Weiter.
    9. Geben Sie m Bereich OpenID Connect die folgenden Informationen ein:
      • Umleitungs-URI: Wird automatisch ausgefüllt. Der Umleitungs-URI muss mit dem übereinstimmen, was Sie beim Erstellen der OpenID Connect-Anwendung in PingFederate verwenden.
      • Name des Identitätsanbieters: Wird automatisch als PingFederate ausgefüllt.
      • Clientbezeichner: Wurde beim Erstellen der OpenID Connect-Anwendung erhalten. (In PingFederate wird der Clientbezeichner als Client-ID bezeichnet.)
      • Gemeinsamer geheimer Schlüssel: Wurde beim Erstellen der OpenID Connect-Anwendung in PingFederate erhalten. (In PingFederate wird der gemeinsame geheime Schlüssel als Clientschlüssel bezeichnet.)
      • OpenID-Adresse: Weist das Format https://PingFederate_domain_space/idp/.well-known/openid-configuration auf.

        Wenn Ihr PingFederate-Domänenbereich beispielsweise example.PingFederate.com ist, lautet die OpenID-Adresse: https://example.PingFederate.com/idp/.well-known/openid-config

      • SSL-Zertifikat: Suchen Sie optional nach dem PingFederate-SSL-Zertifikat oder der -Zertifikatskette, wenn dieses Zertifikat nicht von einer bekannten, öffentlichen Zertifizierungsstelle ausgestellt wurde, um es auf vCenter Server hochzuladen. Um das PingFederate-SSL-Zertifikat zu exportieren, navigieren Sie in der Verwaltungskonsole zu Sicherheit > SSL-Serverzertifikate, wählen Sie das Standardzertifikat aus und wählen Sie dann im Dropdown-Menü Aktion auswählen die Option Exportieren aus. Weitere Informationen finden Sie im Artikel „Exportieren eines Zertifikats“ unter https://docs.pingidentity.com/r/en-us/pingfederate-111/nfv1585678806463. Sie können das PingFederate-SSL-Zertifikat ohne den privaten Schlüssel exportieren, da er für die Konfiguration der vCenter Server nicht benötigt wird.
    10. Klicken Sie auf Weiter.
    11. Überprüfen Sie die Informationen und klicken Sie auf Beenden.
      vCenter Server erstellt den PingFederate-Identitätsanbieter und zeigt die Konfigurationsinformationen an.
  2. Klicken Sie unter Benutzerbereitstellung auf Generieren um das geheime Token zu erstellen, wählen Sie die Token-Lebensdauer im Dropdown-Menü aus und klicken Sie dann auf In Zwischenablage kopieren. Speichern Sie das Token an einem sicheren Ort.
    Wenn Sie die PingFederate-SP-Verbindung (SCIM-Anwendung) erstellen, verwenden Sie das Token, um die PingFederate-Benutzer und -Gruppen in VMware Identity Services zu synchronisieren.

Nächste Maßnahme

Fahren Sie mit Erstellen der SCIM-Anwendung (SP-Verbindung) fort.