Después de instalar o actualizar a vSphere 8.0 Update 3, puede configurar la federación de proveedores de identidad de vCenter Server para PingFederate como proveedor de identidad externo.

vCenter Server admite solo un proveedor de identidad externo configurado y el origen de identidad vsphere.local (fuente local). No se pueden utilizar varios proveedores de identidad externos. La federación de proveedores de identidad de vCenter Server usa OpenID Connect (OIDC) para los inicios de sesión del usuario en vCenter Server.

Puede configurar privilegios mediante usuarios y grupos de PingFederate a través de permisos globales o de objetos en vCenter Server. Consulte la documentación de Seguridad de vSphere para obtener más información sobre cómo agregar permisos.

Requisitos previos

Realice las siguientes tareas:
Asegúrese de tener la siguiente información de la aplicación PingFederate OpenID Connect:
  • Identificador de cliente
  • Secreto de cliente (que se muestra como secreto compartido en vSphere Client)
  • Información de dominio de Active Directory o información de dominio de PingFederate si no está ejecutando Active Directory

Procedimiento

  1. Para crear el proveedor de identidad en vCenter Server:
    1. Utilice vSphere Client para iniciar sesión como administrador en vCenter Server.
    2. Vaya a Inicio > Administración > Inicio de sesión único > Configuración.
    3. Haga clic en Cambiar proveedor y seleccione PingFederate.
      Se abrirá el asistente Configurar proveedor de identidad principal.
    4. En el panel Requisitos previos, revise los requisitos de PingFederate y de vCenter Server, entre otros.
    5. Haga clic en Ejecutar comprobaciones previas.
      Si la comprobación previa encuentra errores, haga clic en Ver detalles y siga los pasos para resolver los errores como se indica.
    6. Cuando se apruebe la comprobación previa, haga clic en la casilla de confirmación y, a continuación, haga clic en Siguiente.
    7. En el panel Información del directorio, introduzca los siguientes datos.
      • Nombre de directorio: nombre del directorio local que se va a crear en vCenter Server y que almacena los usuarios y los grupos insertados desde PingFederate. Por ejemplo, vcenter-PingFederate-directory.
      • Nombres de dominio: introduzca los nombres de dominio de PingFederate que contienen los usuarios y grupos de PingFederate que desea sincronizar con vCenter Server.

        Después de introducir el nombre de dominio de PingFederate, haga clic en el icono más (+) para agregarlo. Si introduce varios nombres de dominio, especifique el dominio predeterminado.

    8. Haga clic en Siguiente.
    9. En el panel OpenID Connect, introduzca la siguiente información.
      • Interfaz de usuario de redireccionamiento: se rellena automáticamente. Esta interfaz de usuario de redireccionamiento debe coincidir con lo que se utiliza al crear la aplicación OpenID Connect en PingFederate.
      • Nombre del proveedor de identidad: se rellena automáticamente como PingFederate.
      • Identificador de cliente: se obtiene al crear la aplicación OpenID Connect. (PingFederate se refiere al identificador de cliente como ID de cliente).
      • Secreto compartido: se obtiene al crear la aplicación OpenID Connect en PingFederate. (PingFederate se refiere al secreto compartido como secreto de cliente).
      • Dirección de OpenID: tiene el formato https://PingFederate_domain_space/idp/.well-known/openid-configuration.

        Por ejemplo, si su espacio de dominio de PingFederate es example.PingFederate.com, entonces la dirección de OpenID es: https://example.PingFederate.com/idp/.well-known/openid-config

      • Certificado SSL: como opción, si este certificado no ha sido emitido por una entidad de certificación pública y conocida, busque el certificado SSL de PingFederate o la cadena de certificados para cargarlo en vCenter Server. Para exportar el certificado SSL de PingFederate, en la consola de administración, vaya a Seguridad > Certificados de servidor SSL, seleccione el certificado predeterminado y elija Exportar en el menú desplegable Seleccionar acción. Para obtener más información, consulte el artículo Exportar un certificado, en https://docs.pingidentity.com/r/en-us/pingfederate-111/nfv1585678806463. Puede exportar el certificado SSL de PingFederate sin la clave privada, ya que no es necesario para la configuración de vCenter Server.
    10. Haga clic en Siguiente.
    11. Revise la información y haga clic en Finalizar.
      vCenter Server crea el proveedor de identidad de PingFederate y muestra la información de configuración.
  2. En Aprovisionamiento de usuarios, haga clic en Generar para crear el token secreto, seleccione la duración del token en el menú desplegable y, a continuación, haga clic en Copiar en el portapapeles. Guarde el token en una ubicación segura.
    Al crear la conexión de procesador de almacenamiento (SP) de PingFederate (aplicación SCIM), se utiliza el token para sincronizar los usuarios y grupos de PingFederate en VMware Identity Services.

Qué hacer a continuación

Continúe con Crear la aplicación de SCIM (conexión de SP).