Damit sich PingFederate bei vCenter Server authentifizieren kann, müssen Sie den Ablauf für die Kennworterteilung einrichten.

Voraussetzungen

Führen Sie die folgenden Aufgaben aus:

Melden Sie sich mit einem Administratorkonto bei der PingFederate-Verwaltungskonsole an.

Prozedur

  1. Erstellen Sie den Validator für das Kennwort/die Anmeldedaten.
    1. Navigieren Sie zu System > Data & Credential Stores > Password Credential Validators.
    2. Klicken Sie auf Neue Instanz erstellen.
    3. Geben Sie auf der Seite Password Credential Validators | Create New Instance auf allen Registerkarten die folgenden Informationen ein und klicken Sie dann auf Next, um fortzufahren.
      • Auf der Registerkarte Typ:
        • Instance Name: Geben Sie den Namen der Instanz ein. Beispielsweise „vIDB Validator“.
        • Instanz-ID: Geben Sie die Instanz-ID ein. Beispiel: vIDB.
        • Type: Wählen Sie LDAP Username Password Credential Validator aus.
      • Auf der Registerkarte Instanzkonfiguration:
        • LDAP Datastore: Wählen Sie den verwendeten Datenspeicher aus.
        • Search Base: Geben Sie Ihren Basis-DN ein, über die Ihre Benutzer und Gruppen gefunden werden.
        • Search Filter: Geben Sie einen Filter ein. Beispiel: userPrincipalName=${username}.
        • Scope of Search: Wählen Sie als Suchbereich Subtree aus.
      • Auf der Registerkarte Extended Contract:
        • Standardmäßig werden folgende Angaben hinzugefügt:
          • DN
          • email
          • givenName
          • username
    4. Klicken Sie auf Weiter und dann auf Speichern.
  2. Ordnen Sie in den Einstellungen für den Autorisierungsserver den Validator zu.
    1. Navigieren Sie zu System > OAuth Settings > Authorization Server Settings.
    2. Wählen Sie unter Password Credentials Validator den zuvor erstellten Validator aus. In dieser Dokumentation wird beispielsweise „vIDB Validator“ verwendet.
    3. Klicken Sie auf Speichern.
  3. Erstellen Sie die Zuordnung von Berechtigungen für Ressourceneigentümer-Anmeldeinformationen (Resource Owner Credentials Grant Mapping).
    1. Navigieren Sie zu Authentication > OAuth > Resource Owner Credentials Mapping.
    2. Gehen Sie Folgendes im Fenster Resource Owner Credentials Grant Mapping ein:
      • Source Password Validator Instance: Wählen Sie die zuvor erstellte Instanz aus und klicken Sie auf Add Mapping.
    3. Klicken Sie auf der Seite Resource Owner Credentials Grant Mapping | Resource Owner Credentials Mapping auf Next, um die Registerkarte Attribute Sources & User Lookup zu überspringen.
    4. Verfahren Sie auf der Registerkarte Contract Fulfillment wie folgt:
      • Wählen Sie für USER_KEY Password Credentials Validator aus und für Value username.
    5. Klicken Sie auf Weiter, um die Registerkarte Versicherungskriterien zu überspringen, und klicken Sie dann auf Speichern.
  4. Erstellen Sie die Zugriffstoken-Zuordnung – Ordnen Sie den Password Credentials Validator dem Access Token Manager zu.
    Diese Zuordnung ist für den Workflow der Kennworterteilung erforderlich. Wenn keine Zuordnung vorhanden ist, protokolliert PingFederate einen wie folgt beschriebenen Fehler:

    Für den ausgewählten Client und den Authentifizierungskontext sind keine Zugriffstoken-Manager verfügbar.

    1. Navigieren Sie zu Applications > Access Token Mappings.
      • Context: Wählen Sie den zuvor erstellten Kontext aus. In dieser Dokumentation wird beispielsweise „vIDB Validator“ verwendet.
      • Access Token Manager: Wählen Sie den zuvor erstellten Zugriffstoken-Manager aus. Diese Dokumentation verwendet beispielsweise „vIDB Access Token Manager“.
    2. Klicken Sie auf Zuordnung hinzufügen.
    3. Klicken Sie auf Next, um die Registerkarte Attribute Sources & User Lookup zu überspringen.
    4. Verwenden Sie auf der Registerkarte Contract Fulfilment die folgende Tabelle.
      Vertrag Quelle Wert
      aud Kontext Die zuvor erstellte Client-ID. In dieser Dokumentation wird beispielsweise die ID „vIDB“ verwendet.
      exp Keine Zuordnung -
      iat Expression Geben Sie Folgendes ein:

      @org.jose4j.jwt.NumericDate@now().getValue()
      iss Expression

      (Falls keine Anzeige erfolgt, finden Sie weitere Informationen in der Dokumentation zu PingFederate unter https://docs.pingidentity.com/r/en-us/pingfederate-120/pf_enable_disable_express.)

      		 Geben Sie Folgendes ein: 
      #tmp=#this.get("context.HttpRequest").getObjectValue().getRequestURL().toString(), #url=new java.net.URL(#tmp), #protocol=#url.getProtocol(), #host=#url.getHost(),#port=#url.getPort(), #result=(#port != -1) ? @java.lang.String@format("%s://%s:%d", #protocol, #host, #port) : @java.lang.String@format("%s://%s", #protocol, #host, #port)
      userName Keine Zuordnung

      -

      Dieser Vertrag wird später im LDAP-Filter im Workflow für die OIDC-Richtlinie für den Autorisierungscode (OIDC Policy for Authorization Code) verwendet. Für den PingFederate-Workflow ist er nicht erforderlich.
    5. Klicken Sie auf Weiter, um die Registerkarte Versicherungskriterien zu überspringen, und klicken Sie dann auf Speichern.

Nächste Maßnahme

Fahren Sie mit Erstellen der Konfiguration des Autorisierungscode-Ablaufs fort.