Allgemeine Schritte zum Konfigurieren des vCenter Server-Identitätsanbieters für PingFederate

Die Konfiguration von vCenter Server umfasst die folgenden allgemeinen Schritte:

1. Erstellen Sie auf PingFederate die vCenter Server/VMware Identity Services-spezifische Konfiguration, einschließlich der Geltungsbereiche und der allgemeinen Konfiguration für PingFederate-Workflows.
2. Erstellen Sie auf PingFederate globale Elemente, einschließlich der Konfiguration des Kennwortzuteilungs- und des Autorisierungscode-Ablaufs.
3. Installieren Sie auf PingFederate den SCIM-Provisioner.
4. Erstellen Sie auf vCenter Server den PingFederate-Identitätsanbieter.
5. Erstellen Sie auf PingFederate die SCIM-Anwendung (SP-Verbindung).
6. Autorisieren Sie auf vCenter Server PingFederate-Benutzer.

Voraussetzungen für die Konfiguration des vCenter Server-Identitätsanbieters für PingFederate

Anforderungen für PingFederate:

• Sie haben einen lokalen PingFederate-Server installiert.
• Sie müssen die vertrauenswürdigen Root-Zertifikate von dem vCenter Server abrufen, auf dem Sie den PingFederate-Identitätsanbieter konfigurieren, und dann in den PingFederate-Server importieren.
• Optional müssen Sie möglicherweise das PingFederate-SSL-Zertifikat oder die Zertifikatskette in den vCenter Server importieren, wenn dieses Zertifikat selbstsigniert ist (also nicht von einer bekannten, öffentlichen Zertifizierungsstelle ausgestellt wurde). Wenn das PingFederate-SSL-Zertifikat oder eines der Zertifikate in der Kette von einer bekannten Zertifizierungsstelle ausgestellt wurde, vertraut vCenter Server diesem Zertifikat automatisch, und Sie müssen es nicht importieren. Wenn Sie eine oder mehrere Zwischensignierstellen für das SSL-Zertifikat des PingFederate-Servers verwenden, schließen Sie die gesamte Zertifikatskette ein.

  Um das PingFederate-SSL-Zertifikat zu exportieren, navigieren Sie in der PingFederate-Verwaltungskonsole zu Sicherheit > SSL-Serverzertifikate, wählen Sie das Standardzertifikat aus und wählen Sie dann im Dropdown-Menü Aktion auswählen die Option Exportieren aus.

  Sie importieren das PingFederate-SSL-Zertifikat mithilfe des vSphere Client im Bereich OpenID Connect, als Teil des Workflows zum Konfigurieren des Identitätsanbieters.

• Zum Durchführen von OIDC-Anmeldungen und Verwalten von Benutzer- und Gruppenberechtigungen müssen Sie die folgenden PingFederate-Anwendungen erstellen.
  • Eine native PingFederate-Anwendung mit OpenID Connect als Anmeldemethode. Die native Anwendung muss die Gewährungstypen Autorisierungscode, Aktualisierungstoken und Ressourcenbesitzerkennwort enthalten.
  • Eine SCIM (System for Cross-domain Identity Management) 2.0-Anwendung (in PingFederate; wird als „SP-Verbindung“ bezeichnet) mit einem OAuth-2.0-Bearer-Token zum Durchführen von Benutzer- und Gruppensynchronisierungen zwischen dem PingFederate-Server und dem vCenter Server.
• Sie haben die PingFederate-Benutzer und -Gruppen identifiziert, die Sie für vCenter Server freigeben möchten. Diese Freigabe ist ein SCIM-Vorgang (kein OIDC-Vorgang).

PingFederate-Konnektivitätsanforderungen:

• vCenter Server muss in der Lage sein, eine Verbindung mit dem Ermittlungs-Endpoint für PingFederate sowie mit der Autorisierung, dem Token, JWKS und allen anderen Endpoints, die in den Metadaten des Ermittlungs-Endpoints angegeben wurden, herzustellen.
• PingFederate muss auch in der Lage sein, eine Verbindung mit vCenter Server herzustellen, um Benutzer- und Gruppendaten für die SCIM-Bereitstellung zu senden.

vCenter Server-Anforderungen

• vSphere 8.0 Update 3
• Vergewissern Sie sich auf dem vCenter Server, auf dem Sie die PingFederate-Identitätsquelle erstellen möchten, dass die VMware Identity Services aktiviert sind.
  Hinweis: Wenn Sie vSphere 8.0 Update 1 oder höher installieren oder ein Upgrade darauf durchführen, werden VMware Identity Services standardmäßig aktiviert. Sie können die vCenter Server-Verwaltungsschnittstelle verwenden, um den Status der VMware Identity Services zu überprüfen. Weitere Informationen hierzu finden Sie unter Beenden und Starten der VMware Identity Services.

vSphere-Berechtigungsanforderungen:

• Sie benötigen die Berechtigung VcIdentityProviders.Verwalten zum Erstellen, Aktualisieren oder Löschen eines vCenter Server-Identitätsanbieters, der für die Verbundauthentifizierung erforderlich ist. Um die Rechte eines Benutzers auf die Ansicht der Konfigurationsinformationen für den Identitätsanbieter zu beschränken, weisen Sie ihm das Recht VcIdentityProviders.Lesen zu.

Anforderungen für den erweiterten verknüpften Modus:

• Sie können den vCenter Server-Identitätsanbieterverbund für PingFederate in einer Konfiguration des erweiterten verknüpften Modus konfigurieren. Wenn Sie PingFederate in einer Konfiguration des erweiterten verknüpften Modus konfigurieren, konfigurieren Sie den PingFederate-Identitätsanbieter für die Verwendung von VMware Identity Services auf einem einzelnen vCenter Server-System. Wenn Ihre Konfiguration des erweiterten verknüpften Modus beispielsweise aus zwei vCenter Server-Systemen besteht, wird nur ein vCenter Server und dessen Instanz der VMware Identity Services für die Kommunikation mit dem PingFederate-Server verwendet. Wenn dieses vCenter Server-System nicht mehr verfügbar ist, können Sie VMware Identity Services auf einem anderen vCenter Server in der ELM-Konfiguration konfigurieren, um mit Ihrem PingFederate-Server zu interagieren. Weitere Informationen finden Sie unter Aktivierungsvorgang für externe Identitätsanbieter in Konfigurationen des erweiterten verknüpften Modus.
• Wenn Sie PingFederate als externen Identitätsanbieter konfigurieren, müssen alle vCenter Server-Systeme in einer Konfiguration des erweiterten verknüpften Modus mindestens vSphere 8.0 Update 3 ausführen.