Eine System for Cross-domain Identity Management (SCIM) 2.0-Anwendung ist erforderlich, damit Sie angeben können, welche PingFederate-Benutzer und -Gruppen an vCenter Server übertragen werden.

Voraussetzungen

Führen Sie die folgenden Aufgaben aus:

Prozedur

  1. Fügen Sie das vertrauenswürdige vCenter Server-Root-Zertifikat zum PingFederate-Server hinzu.
    Exportieren Sie vorher die vertrauenswürdigen Root-Zertifikate aus vCenter Server. Sie finden das Zertifikat im vCenter Server-Dateisystem unter /var/lib/vmware/vmca/root.cer. Weitere Informationen finden Sie auch im Knowledgebase-Artikel unter https://kb.vmware.com/s/article/2108294.
    1. Melden Sie sich mit einem Administratorkonto bei der Verwaltungskonsole für PingFederate an.
    2. Navigieren Sie zu Security > Certificate & Key Management.
    3. Wählen Sie Trusted CAs aus und klicken Sie dann auf Import, um das SSL-Zertifikat des vCenter Servers hinzuzufügen.
    4. Wenn Ihre PingFederate-Serverinstanz als Container-Image ausgeführt wird, müssen Sie den Server möglicherweise neu starten, um das Zertifikat zum Trust Store hinzuzufügen. Beispiel:
      1. Stellen Sie eine SSH-Verbindung zum PingFederate-Server her.
      2. Wechseln Sie in das Verzeichnis /root/ping.
      3. Führen Sie folgende Befehle aus:
        docker-compose down
docker-compose up
  2. Erstellen Sie die SP-Verbindung.
    1. Melden Sie sich mit einem Administratorkonto bei der Verwaltungskonsole für PingFederate an.
    2. Navigieren Sie zu Applications > Integration > SP Connections.
    3. Klicken Sie auf Create Connection.
    4. Wählen Sie Use a template for this connection und dann im Dropdown-Menü SCIM Connector aus.
      Falls die Option „SCIM Connector“ im Dropdown-Menü nicht angezeigt wird, prüfen Sie, ob Sie die .jar-Datei „SCIM Connector“ im richtigen Ordner ( /opt/out auf dem PingFederate-Server) abgelegt haben.
    5. Klicken Sie auf Weiter.
    6. Wählen Sie ausschließlich Outbound Provisioning aus und klicken Sie auf Next.
    7. Auf der Registerkarte General Info:
      • Partner's Entity ID (Connection ID): Aktualisieren Sie SCIM Connector mit einem Namen Ihrer Wahl.
      • Connection Name: Geben Sie einen Namen ein.
      • Base URL: Geben Sie die HTTPS-Adresse des vCenter Server ein, in dem Sie den externen PingFederate-Identitätsanbieter konfigurieren. Beispiel: https://vcenter1.example.com.
    8. Klicken Sie auf Weiter.
    9. Klicken Sie auf Configure Provisioning.
      Auf der Registerkarte Target:
      • SCIM URL: Geben Sie den Usergroup-Endpoint ein.

        Dies ist die Mandanten-URL, die Sie unter Benutzerbereitstellung auf der Seite Konfiguration von vCenter Server erhalten haben. Beispiel: https://vcenter1.example.com/usergroup/t/CUSTOMER/scim/v2

      • Authentication Method: Wählen Sie im Dropdown-Menü OAuth 2 Bearer Token aus.
      • Access Token: Fügen Sie das von vCenter Server generierte geheime Token ein, das Sie zuvor gespeichert haben. Weitere Informationen finden Sie in Schritt 2 in Konfigurieren des vCenter Server-Identitätsanbieterverbunds für PingFederate.
      • Unique User Identifier: Wählen Sie im Dropdown-Menü userName aus.
      • Filter Expression: Kopieren Sie den folgenden Ausdruck in das Textfeld: externalId eq "%s"
    10. Übernehmen Sie die übrigen Standardwerte für die Konfiguration und klicken Sie auf Next.
      • Provisioning Options: User Create, User Update und User Disable/Delete sind aktiviert.
      • Remove User Action: Disable ist aktiviert.
        Hinweis: Wenn Disable aktiviert ist, werden Benutzer, die aus dem Active Directory gelöscht werden, in VMware Identity Services nicht automatisch als „Deaktiviert“ angezeigt. Dieses Verhalten wird erwartet.
      • Group Name Source: Common name ist ausgewählt.
    11. Klicken Sie auf der Registerkarte Manage Channels auf Create.
      • Auf der Registerkarte Channel Info:
        • Channel Name: Geben Sie einen Namen ein.
        • Akzeptieren Sie die Standardwerte für Max Threads und Timeout (Secs).
    12. Klicken Sie auf Weiter.
      • Auf der Registerkarte Source:
        • Active Data Store: Wählen Sie Ihre Active Directory-Domäne aus.
    13. Klicken Sie auf Weiter.
      • Auf der Registerkarte Source Location:
        • Basis-DN: Geben Sie Ihren Basis-DN ein, um Ihre Benutzer und Gruppen zu finden.
        • Users: Passen Sie den Wert für Ihre Umgebung an. Beispiel:
          • Group DN: Nicht verwenden.
          • Filter: Geben Sie (|(objectClass=person)(objectClass=organizationalPerson)(objectClass=user)) ein.
        • Groups: Passen Sie den Wert für Ihre Umgebung an. Beispiel:
          • Group DN: Nicht verwenden.
          • Filter: Geben Sie (objectClass=group) ein.
    14. Klicken Sie auf Weiter.
    15. Übernehmen Sie die Standardwerte auf der Registerkarte Attribute Mapping.
    16. Klicken Sie auf Weiter.
      Auf der Registerkarte Activation & Summary:
      • Channel Status: Wählen Sie Active aus.
    17. Klicken Sie auf Fertig.
      Die SP-Verbindung wird erstellt und der Bildschirm „SP Connections“ wird angezeigt.
    18. Klicken Sie auf Fertig.
    19. Klicken Sie auf der Registerkarte Outbound Provisioning auf Next.
    20. Prüfen Sie die Übersicht und klicken Sie auf Save.
    21. Damit die Verbindung aktiv wird, stellen Sie den Schieberegler auf Enabled ein.

Ergebnisse

PingFederate überträgt jetzt Benutzer und Gruppen aus dem konfigurierten Datenspeicher in vCenter Server. Die Übertragung kann einige Zeit in Anspruch nehmen. Sie können die übertragenen Benutzer und Gruppen in vSphere Client anzeigen. Navigieren Sie zu Administration > Single Sign-On > Benutzer und Gruppen und wählen Sie die PingFederate-Domäne aus.

Nächste Maßnahme

Fahren Sie mit Konfigurieren von VCenter Server für PingFederate-Autorisierung fort.