Es necesario crear un sistema para la aplicación de administración de identidades entre dominios (SCIM) 2.0, de modo que pueda especificar qué usuarios y grupos de PingFederate desea insertar en vCenter Server.

Requisitos previos

Realice las siguientes tareas:

Procedimiento

  1. Agregue el certificado raíz de confianza de vCenter Server al servidor PingFederate.
    Antes de comenzar, exporte los certificados raíz de confianza desde vCenter Server. Puede obtener el certificado del sistema de archivos de vCenter Server en /var/lib/vmware/vmca/root.cer. O bien, consulte el artículo de la base de conocimientos en https://kb.vmware.com/s/article/2108294.
    1. Inicie sesión en la consola de administrador de PingFederate con una cuenta de administrador.
    2. Vaya a Seguridad > Administración de certificados y claves.
    3. Seleccione CA de confianza y, a continuación, haga clic en Importar para agregar el certificado SSL de vCenter Server.
    4. Si la instancia del servidor de PingFederate se está ejecutando como una imagen de contenedor, es posible que deba reiniciar el servidor para agregar el certificado al almacén de confianza. Por ejemplo:
      1. Conéctese al servidor de PingFederate mediante SSH.
      2. Cambie al directorio /root/ping.
      3. Ejecute los siguientes comandos:
        docker-compose down
docker-compose up
  2. Cree la conexión de SP.
    1. Inicie sesión en la consola de administrador de PingFederate con una cuenta de administrador.
    2. Vaya a Aplicaciones > Integración > Conexiones de SP.
    3. Haga clic en Crear conexión.
    4. Seleccione Usar una plantilla para esta conexión y, a continuación, seleccione Conector de SCIM en el menú desplegable.
      Si la opción Conector de SCIM no aparece en el menú desplegable, compruebe que colocó el archivo .jar del conector de SCIM en la carpeta correcta (la carpeta /opt/out del servidor PingFederate).
    5. Haga clic en Siguiente.
    6. Seleccione solo Aprovisionamiento saliente y, luego, haga clic en Siguiente.
    7. En la pestaña Información general:
      • Id. de entidad del socio (identificador de conexión): actualice Conector de SCIM a un nombre de su elección.
      • Nombre de la conexión: introduzca un nombre.
      • URL base: introduzca la dirección HTTPS de vCenter Server en la que va a configurar el proveedor de identidad externo de PingFederate, por ejemplo: https://vcenter1.example.com.
    8. Haga clic en Siguiente.
    9. Haga clic en Configurar aprovisionamiento.
      En la pestaña Destino:
      • URL de SCIM: introduzca el endpoint del grupo de usuarios.

        Esta es la URL de tenant que se obtiene en Aprovisionamiento del usuario en la página Configuración de vCenter Server. Por ejemplo: https://vcenter1.example.com/usergroup/t/CUSTOMER/scim/v2

      • Método de autenticación: seleccione el token de portador de OAuth 2 en el menú desplegable.
      • Token de acceso: pegue el token secreto que se generó desde vCenter Server y que debería haber guardado previamente. Consulte el paso 2 de Configurar la federación de proveedores de identidad de vCenter Server para PingFederate.
      • Identificador de usuario único: seleccione userName en el menú desplegable.
      • Expresión de filtro: copie la siguiente expresión en el cuadro de texto: externalId eq "%s".
    10. Acepte el resto de los valores de configuración predeterminados y haga clic en Siguiente.
      • Opciones de aprovisionamiento: Creación de usuario, Actualización de usuario y Deshabilitación/Eliminación de usuario están marcadas.
      • Eliminar acción del usuario: la opción Deshabilitar está seleccionada.
        Nota: Con Deshabilitar seleccionada, cuando los usuarios se eliminan de Active Directory, no se muestran automáticamente como "deshabilitados" en VMware Identity Services. Se trata del comportamiento esperado.
      • Origen del nombre del grupo: la opción Nombre común está seleccionada.
    11. En la pestaña Administrar canales, haga clic en Crear.
      • En la pestaña Información del canal:
        • Nombre del canal: introduzca un nombre.
        • Acepte los valores predeterminados de Subprocesos máx. y Tiempo de espera (segundos).
    12. Haga clic en Siguiente.
      • En la pestaña Origen:
        • Almacén de datos activo: elija el dominio de Active Directory.
    13. Haga clic en Siguiente.
      • En la pestaña Ubicación de origen:
        • DN base: introduzca el DN base para buscar usuarios y grupos.
        • Usuarios: personalice en función de su entorno. Por ejemplo:
          • DN de grupo: no utilizar.
          • Filtro: introduzca (|(objectClass=person)(objectClass=organizationalPerson)(objectClass=user)).
        • Grupos: personalice en función de su entorno. Por ejemplo:
          • DN de grupo: no utilizar.
          • Filtro: introduzca (objectClass=group).
    14. Haga clic en Siguiente.
    15. Acepte los valores predeterminados en la pestaña Asignación de atributos.
    16. Haga clic en Siguiente.
      En la pestaña Activación y resumen:
      • Estado del canal: seleccione Activo.
    17. Haga clic en Listo.
      Se crea la conexión de SP y se muestra la pantalla Conexiones de SP.
    18. Haga clic en Listo.
    19. En la pestaña Aprovisionamiento saliente, haga clic en Siguiente.
    20. Revise el resumen y, luego, haga clic en Guardar.
    21. Para activar la conexión, active el control deslizante Habilitado.

Resultados

PingFederate ahora inserta usuarios y grupos del almacén de datos configurados a vCenter Server. Deje algún tiempo para que se produzca la inserción. Puede ver los usuarios y grupos insertados en vSphere Client. Vaya a Administración > Inicio de sesión único > Usuarios y grupos y seleccione el dominio PingFederate.

Qué hacer a continuación

Continúe con Configurar vCenter Server para la autorización de PingFederate.