Das Erstellen der allgemeinen PingFederate-Konfiguration umfasst das Erstellen des Zugriffstokenmanagers, des objectID-Attributs, der OpenID Connect-Richtlinie und der OAuth-Clientanwendung.
Voraussetzungen
Führen Sie die folgende Aufgabe aus:
Melden Sie sich mit einem Administratorkonto bei der PingFederate-Verwaltungskonsole an.
Prozedur
- Erstellen Sie den Zugriffstokenmanager.
- Navigieren Sie zu .
- Klicken Sie auf Neue Instanz erstellen.
- Auf der Registerkarte Typ:
- Instanzname: Geben Sie einen Instanznamen ein. Beispiel: vIDB-Zugriffstokenmanager.
- Instanz-ID: Geben Sie die Instanz-ID ein. Beispiel: vIDB.
- Typ: Wählen Sie JSON Web Token aus.
- Übergeordnete Instanz: Behalten Sie die Standardeinstellung Keine bei.
- Auf der Registerkarte Instanzkonfiguration:
- Zentralen Signaturschlüssel verwenden: Aktivieren Sie das Kontrollkästchen.
Wenn dieses Kontrollkästchen deaktiviert ist, erwartet PingFederate, dass „Aktive Signaturzertifikat-Schlüssel-ID“ konfiguriert wird.
- JWS-Algorithmus: Wählen Sie einen Algorithmus aus. Beispiel: RSA mit SHA-256.
- Klicken Sie unten auf dem Bildschirm auf Erweiterte Felder anzeigen.
- JWT-ID-Anspruchslänge: Fügen Sie eine Zahl größer als Null (0) hinzu. Beispiel: 24. Wenn Sie keinen Wert eingeben, wird der JTI-Anspruch im Zugriffstoken ausgelassen.
- Zentralen Signaturschlüssel verwenden: Aktivieren Sie das Kontrollkästchen.
- Klicken Sie auf Weiter.
- Auf der Registerkarte Zugriffstoken-Attributvertrag:
- Fügen Sie im Textfeld Vertrag erweitern die folgenden Ansprüche hinzu, die im Ping-Zugriffstoken generiert werden sollen. Klicken Sie auf Hinzufügen, nachdem Sie jeden Anspruch eingegeben haben.
- aud
- iss
- exp
- iat
- userName
- Attributname des Antragstellers: Wählen Sie einen Anspruch aus, der zu Überprüfungszwecken verwendet werden soll. Beispiel: iss.
- Fügen Sie im Textfeld Vertrag erweitern die folgenden Ansprüche hinzu, die im Ping-Zugriffstoken generiert werden sollen. Klicken Sie auf Hinzufügen, nachdem Sie jeden Anspruch eingegeben haben.
- Klicken Sie zweimal auf Weiter um die Registerkarten Ressourcen-URIs und Zugriffssteuerung zu überspringen.
- Klicken Sie auf Speichern.
- Fügen Sie das objectGUID-Attribut hinzu.
- Navigieren Sie zu .
- Klicken Sie auf der Registerkarte LDAP-Konfiguration unten auf Erweitert.
- Verwenden Sie auf der Registerkarte LDAP-Binärattribute im Namensfeld Binärattribut die Option objectGUID und klicken Sie auf Hinzufügen.
- Klicken Sie auf Speichern.
- Erstellen Sie die OpenID Connect-Richtlinie.
- Navigieren Sie zu .
- Klicken Sie auf Richtlinie hinzufügen.
- Auf der Registerkarte Richtlinie verwalten:
- Richtlinien-ID: Geben Sie eine Richtlinien-ID ein. Beispiel: OIDC.
- Name: Geben Sie einen Richtliniennamen ein. Beispiel: OIDC-Richtlinie.
- Zugriffstokenmanager: Wählen Sie den zuvor erstellten Zugriffstokenmanager aus. Beispiel: vIDB-Zugriffstokenmanager.
- Klicken Sie auf Weiter.
- Auf der Registerkarte Attributvertrag:
- Klicken Sie auf Löschen um alle Attribute außer sub zu entfernen. Andernfalls müssen Sie die Attribute zu einem späteren Zeitpunkt einem Wert auf der Registerkarte Vertragserfüllung zuordnen.
- Klicken Sie auf Weiter und dann erneut auf Weiter, um die Registerkarte Attributgeltungsbereich zu überspringen.
- Klicken Sie auf der Registerkarte Attributquellen und Benutzersuche auf Attributquelle hinzufügen.
Nachdem Sie die Informationen auf allen folgenden Registerkarten eingegeben haben, klicken Sie zum Fortfahren auf Weiter.
- Datenspeicher:
- Attributquellen-ID: Geben Sie eine Attributquellen-ID ein. Beispiel: vIDBLDAP.
- Attributquellen-Beschreibung: Geben Sie eine Beschreibung ein. Beispiel: vIDBLDAP.
- Aktiver Datenspeicher: Wählen Sie ihren Active Directory- oder OpenLDAP-Domänennamen aus dem Dropdown-Menü aus.
- LDAP-Verzeichnissuche:
- Basis-DN: Geben Sie Ihren Basis-DN ein, um Ihre Benutzer und Gruppen zu finden.
- Suchbereich: Behalten Sie die Standardeinstellung Unterstruktur bei.
- Von der Suche zurückgegebene Attribute: Wählen Sie <Alle Attribute anzeigen> und dann objectGUID aus.
Klicken Sie auf Attribute hinzufügen.
- Kodierungstypen für LDAP-Binärattribute:
- ObjectGUID: Wählen Sie Hex für den Attribut-Kodierungstyp aus.
- LDAP-Filter:
- Filter: Geben Sie einen Filter ein. Beispiel: userPrincipalName=${userName}.
- Datenspeicher:
- Klicken Sie auf der Seite Übersicht auf Fertig
- Klicken Sie auf Weiter, um fortzufahren, und ordnen Sie auf der Registerkarte Vertragserfüllung den Attributvertrag für das ID-Token zu:
Attributvertrag Quelle Wert sub Wählen Sie die zuvor erstellte Attributquellen-ID aus. In dieser Dokumentation wird als Beispiel vIDBLDAP verwendet. objectGUID - Klicken Sie auf Weiter und dann erneut auf Weiter, um die Registerkarte Versicherungskriterien zu überspringen.
- Klicken Sie auf Speichern.
- Erstellen Sie die OAuth-Clientanwendung.
- Navigieren Sie zu .
- Klicken Sie auf Client hinzufügen.
- Auf der Seite Clients | Client:
- Client-ID: Geben Sie die Client-ID ein. Beispiel: vIDB.
Hinweis: Kopieren und speichern Sie die Client-ID für die spätere Verwendung beim Erstellen des vCenter Server-Identitätsanbieters für PingFederate.
- Name: Geben Sie einen Namen ein. Beispiel: vIDB.
- Clientauthentifizierung: Wählen Sie Geheimer Clientschlüssel aus.
- Geheimer Clientschlüssel: Sie können Ihren eigenen geheimen Clientschlüssel eingeben oder einen geheimen Schlüssel generieren. Nachdem Sie diese Seite verlassen, können Sie den geheimen Schlüssel nicht mehr anzeigen. Sie haben nur die Möglichkeit, den geheimen Schlüssel zu ändern.
Hinweis: Kopieren und speichern Sie den geheimen Schlüssel für die spätere Verwendung beim Erstellen des vCenter Server-Identitätsanbieters.
- Geheimer Clientschlüssel: Sie können Ihren eigenen geheimen Clientschlüssel eingeben oder einen geheimen Schlüssel generieren. Nachdem Sie diese Seite verlassen, können Sie den geheimen Schlüssel nicht mehr anzeigen. Sie haben nur die Möglichkeit, den geheimen Schlüssel zu ändern.
- Umleitungs-URIs: Geben Sie die Umleitungs-URIs im folgenden Format ein: https://vCenter_Server_FQDN:p ort/federation/t/CUSTOMER/auth/response/oauth2.
- Klicken Sie auf Hinzufügen.
- Zulässige Gewährungstypen: Überprüfen Sie Autorisierungscode, Aktualisierungstoken, Client-Anmeldedaten und Ressourcenbesitzerkennwort.
- Standard-Zugriffstokenmanager: Wählen Sie den zuvor erstellten Zugriffstokenmanager aus. In dieser Dokumentation wird beispielsweise der vIDB-Zugriffstokenmanager verwendet.
- OpenID Connect: Wählen Sie bei Richtlinie die zuvor erstellte Richtlinie aus. In dieser Dokumentation wird beispielsweise OIDC verwendet.
- Client-ID: Geben Sie die Client-ID ein. Beispiel: vIDB.
- Klicken Sie auf Speichern.
Nächste Maßnahme
Fahren Sie mit Erstellen der Ablaufkonfiguration für die Kennworterteilung fort.