Es necesario crear un sistema para la aplicación de administración de identidades entre dominios (SCIM) 2.0, de modo que pueda especificar qué usuarios y grupos de PingFederate desea insertar en vCenter Server.
Requisitos previos
Realice las siguientes tareas:
Procedimiento
- Agregue el certificado raíz de confianza de vCenter Server al servidor PingFederate.
Antes de comenzar, exporte los certificados raíz de confianza desde
vCenter Server. Puede obtener el certificado del sistema de archivos de
vCenter Server en
/var/lib/vmware/vmca/root.cer. O bien, consulte el artículo de la base de conocimientos en
https://kb.vmware.com/s/article/2108294.
- Inicie sesión en la consola de administrador de PingFederate con una cuenta de administrador.
- Vaya a .
- Seleccione CA de confianza y, a continuación, haga clic en Importar para agregar el certificado SSL de vCenter Server.
- Si la instancia del servidor de PingFederate se está ejecutando como una imagen de contenedor, es posible que deba reiniciar el servidor para agregar el certificado al almacén de confianza. Por ejemplo:
- Conéctese al servidor de PingFederate mediante SSH.
- Cambie al directorio /root/ping.
- Ejecute los siguientes comandos:
docker-compose down
docker-compose up
- Cree la conexión de SP.
- Inicie sesión en la consola de administrador de PingFederate con una cuenta de administrador.
- Vaya a .
- Haga clic en Crear conexión.
- Seleccione Usar una plantilla para esta conexión y, a continuación, seleccione Conector de SCIM en el menú desplegable.
Si la opción Conector de SCIM no aparece en el menú desplegable, compruebe que colocó el archivo
.jar del conector de SCIM en la carpeta correcta (la carpeta
/opt/out del servidor PingFederate).
- Haga clic en Siguiente.
- Seleccione solo Aprovisionamiento saliente y, luego, haga clic en Siguiente.
- En la pestaña Información general:
- Id. de entidad del socio (identificador de conexión): actualice Conector de SCIM a un nombre de su elección.
- Nombre de la conexión: introduzca un nombre.
- URL base: introduzca la dirección HTTPS de vCenter Server en la que va a configurar el proveedor de identidad externo de PingFederate, por ejemplo: https://vcenter1.example.com.
- Haga clic en Siguiente.
- Haga clic en Configurar aprovisionamiento.
- Acepte el resto de los valores de configuración predeterminados y haga clic en Siguiente.
- Opciones de aprovisionamiento: Creación de usuario, Actualización de usuario y Deshabilitación/Eliminación de usuario están marcadas.
- Eliminar acción del usuario: la opción Deshabilitar está seleccionada.
Nota: Con
Deshabilitar seleccionada, cuando los usuarios se eliminan de Active Directory, no se muestran automáticamente como "deshabilitados" en VMware Identity Services. Se trata del comportamiento esperado.
- Origen del nombre del grupo: la opción Nombre común está seleccionada.
- En la pestaña Administrar canales, haga clic en Crear.
- En la pestaña Información del canal:
- Nombre del canal: introduzca un nombre.
- Acepte los valores predeterminados de Subprocesos máx. y Tiempo de espera (segundos).
- Haga clic en Siguiente.
- En la pestaña Origen:
- Almacén de datos activo: elija el dominio de Active Directory.
- Haga clic en Siguiente.
- En la pestaña Ubicación de origen:
- DN base: introduzca el DN base para buscar usuarios y grupos.
- Usuarios: personalice en función de su entorno. Por ejemplo:
- DN de grupo: no utilizar.
- Filtro: introduzca (|(objectClass=person)(objectClass=organizationalPerson)(objectClass=user)).
- Grupos: personalice en función de su entorno. Por ejemplo:
- DN de grupo: no utilizar.
- Filtro: introduzca (objectClass=group).
- Haga clic en Siguiente.
- Acepte los valores predeterminados en la pestaña Asignación de atributos.
- Haga clic en Siguiente.
En la pestaña
Activación y resumen:
- Estado del canal: seleccione Activo.
- Haga clic en Listo.
Se crea la conexión de SP y se muestra la pantalla Conexiones de SP.
- Haga clic en Listo.
- En la pestaña Aprovisionamiento saliente, haga clic en Siguiente.
- Revise el resumen y, luego, haga clic en Guardar.
- Para activar la conexión, active el control deslizante Habilitado.
Resultados
PingFederate ahora inserta usuarios y grupos del almacén de datos configurados a vCenter Server. Deje algún tiempo para que se produzca la inserción. Puede ver los usuarios y grupos insertados en vSphere Client. Vaya a y seleccione el dominio PingFederate.