Después de instalar o actualizar a vSphere 8.0 Update 3, puede configurar la federación de proveedores de identidad de vCenter Server para PingFederate como proveedor de identidad externo.

Pasos detallados de configuración del proveedor de identidad de vCenter Server para PingFederate

La configuración de vCenter Server para PingFederate implica los siguientes pasos detallados:

  1. En PingFederate, cree la configuración específica de vCenter Server/VMware Identity Services, incluidos los ámbitos y la configuración común para los flujos de trabajo de PingFederate.
  2. En PingFederate, cree elementos globales, como la configuración de flujo de concesión de contraseña y la configuración de flujo de código de autorización.
  3. En PingFederate, instale el aprovisionador de SCIM.
  4. En vCenter Server, cree el proveedor de identidad de PingFederate.
  5. En PingFederate, cree la aplicación SCIM (conexión de SP).
  6. En vCenter Server, autorice a los usuarios de PingFederate.
Nota: Con las instrucciones de esta documentación, se crea una configuración típica para el servidor PingFederate. El entorno puede ser diferente y, por lo tanto, es posible que usted realice diferentes selecciones.

Requisitos previos para configurar el proveedor de identidad de vCenter Server para PingFederate

Requisitos de PingFederate:

  • Instaló un servidor PingFederate local.
  • Desde la instancia de vCenter Server donde configura el proveedor de identidad de PingFederate, debe obtener los certificados raíz de confianza e importarlos al servidor PingFederate.
  • De forma opcional, es posible que deba importar el certificado SSL de PingFederate, o cadena de certificados, a vCenter Server, si ese certificado está autofirmado (es decir, no emitido por una entidad de certificación pública conocida). Si el certificado SSL de PingFederate o uno de los certificados de la cadena fue emitido por una entidad de certificación conocida, vCenter Server automáticamente confía en ese certificado y no es necesario importarlo. Si utiliza una o varias entidades de firma intermedias para el certificado SSL del servidor PingFederate, incluya la cadena completa de certificados.

    Para exportar el certificado SSL de PingFederate, en la consola administrativa de PingFederate, vaya a Seguridad > Certificados de servidor de SSL, seleccione el certificado predeterminado y elija Exportar en el menú desplegable Seleccionar acción.

    El certificado SSL de PingFederate se importa mediante vSphere Client en el panel OpenID Connect como parte del flujo de trabajo de configuración del proveedor de identidad.

  • Para realizar inicios de sesión en OIDC y administrar permisos de usuario y grupo, debe crear las siguientes aplicaciones de PingFederate.
    • Una aplicación nativa de PingFederate con OpenID Connect como método de inicio de sesión. La aplicación nativa debe incluir los tipos de concesión de código de autorización, token de actualización y contraseña del propietario del recurso.
    • Una aplicación de Sistema para la administración de identidades entre dominios (SCIM) (en PingFederate, se denomina Conexión de SP) 2.0 con un token de portador OAuth 2.0 para realizar la sincronización de usuarios y grupos entre el servidor de PingFederate y vCenter Server.
  • Identificó los usuarios y grupos de PingFederate que desea compartir con vCenter Server. Este uso compartido es una operación SCIM (no una operación OIDC).

Requisitos de conectividad de PingFederate:

  • vCenter Server debe poder conectarse al endpoint de detección de PingFederate y a los endpoints de autorización, token, JWKS y de cualquier otra índole que estén anunciado en los metadatos de endpoint de detección.
  • PingFederate debe poder conectarse con vCenter Server para enviar datos de usuarios y grupos para el aprovisionamiento de SCIM.

Requisitos de vCenter Server:

  • vSphere 8.0 Update 3
  • En la instancia de vCenter Server donde desea crear el origen de identidad de PingFederate, compruebe que VMware Identity Services esté activado.
    Nota: Al instalar o actualizar a vSphere 8.0 Update 1 o una versión posterior, los servidores de identidad de VMware se activan de forma predeterminada. Puede utilizar la interfaz de administración de vCenter Server para confirmar el estado de VMware Identity Services. Consulte Detener e iniciar VMware Identity Services.

Requisitos de privilegios de vSphere:

  • Debe tener el privilegio VcIdentityProviders.Administrar para crear, actualizar o eliminar un proveedor de identidad de vCenter Server que es necesario para la autenticación federada. Para limitar un usuario de forma que solamente pueda ver la información de configuración del proveedor de identidad, asigne el privilegio VcIdentityProviders.Leer.

Requisitos de Enhanced Linked Mode:

  • Puede configurar la federación de proveedores de identidad de vCenter Server para PingFederate en una configuración de Enhanced Linked Mode. Cuando configure PingFederate en Enhanced Link Mode, se configurará el proveedor de identidad de PingFederate de modo que utilice VMware Identity Services en un único sistema de vCenter Server. Por ejemplo, si la configuración de Enhanced Mode Link consta de dos sistemas de vCenter Server, solo se utilizará una instancia de vCenter Server y su instancia de VMware Identity Services para comunicarse con el servidor PingFederate. Si este sistema de vCenter Server deja de estar disponible, puede configurar VMware Identity Services en otra instancia de vCenter Server de la configuración de ELM para interactuar con el servidor de PingFederate. Para obtener más información, consulte Proceso de activación para proveedores de identidad externos en configuraciones de Enhanced Linked Mode.
  • Al configurar PingFederate como proveedor de identidad externo, todos los sistemas de vCenter Server en una configuración de Enhanced Linked Mode deben ejecutar al menos vSphere 8.0 Update 3.