Para que PingFederate se autentique con vCenter Server, configure el flujo de concesión de contraseña.

Requisitos previos

Realice las siguientes tareas:

Inicie sesión en la consola de administrador de PingFederate con una cuenta de administrador.

Procedimiento

  1. Cree el validador de credenciales de contraseña.
    1. Vaya a Sistema > Almacenamiento de datos y credenciales > Validadores de credenciales de contraseña.
    2. Haga clic en Crear nuevas licencias.
    3. En la página Validadores de credenciales de contraseña | Crear nueva instancia, introduzca la información de la siguiente manera para cada pestaña y, a continuación, haga clic en Siguiente para avanzar.
      • En la pestaña Tipo:
        • Nombre de instancia: introduzca el nombre de la instancia. Por ejemplo, Validador vIDB.
        • Id. de instancia: introduzca el identificador de instancia. Por ejemplo, vIDB.
        • Tipo: seleccione Validador de credenciales de contraseña de nombre de usuario de LDAP.
      • En la pestaña Configuración de instancia:
        • Almacén de datos de LDAP: seleccione el almacén de datos que está utilizando.
        • Buscar base: introduzca el DN base para buscar usuarios y grupos.
        • Filtro de búsqueda: introduzca un filtro. Por ejemplo, userPrincipalName=${username}.
        • Ámbito de búsqueda: seleccione subárbol.
      • En la pestaña Contrato ampliado:
        • De forma predeterminada, se agrega lo siguiente:
          • DN
          • email
          • givenName
          • username
    4. Haga clic en Siguiente, y, a continuación, haga clic en Guardar.
  2. Asigne el validador en la configuración del servidor de autorización.
    1. Vaya a Sistema > Ajustes de Oauth > Ajustes del servidor de autorización.
    2. En Validador de credenciales de contraseña, seleccione el que creó anteriormente. Por ejemplo, en esta documentación se utiliza el validador vIDB.
    3. Haga clic en Guardar.
  3. Cree la asignación de concesión de credenciales del propietario del recurso.
    1. Vaya a Autenticación > Oauth > Asignación de credenciales del propietario del recurso.
    2. En la ventana Asignación de credenciales del propietario del recurso:
      • Instancia del validador de contraseña de origen: seleccione la que creó anteriormente y haga clic en Agregar asignación.
    3. En la página Asignación de concesión de credenciales del propietario del recurso | Asignación de credenciales del propietario del recurso, haga clic en Siguiente para omitir la pestaña Orígenes de atributos y búsqueda de usuarios.
    4. En la pestaña Cumplimiento del contrato:
      • En USER_KEY, seleccione Validador de credenciales de contraseña y en Valor, seleccione username.
    5. Haga clic en Siguiente para omitir la pestaña Criterios de seguro y, a continuación, haga clic en Guardar.
  4. Crear la asignación de token de acceso: asigne el validador de credenciales de contraseña al administrador de tokens de acceso.
    Esta asignación es necesaria para el flujo de trabajo de la concesión de contraseña. Si la asignación no existe, PingFederate registra el siguiente error:

    No hay administradores de token de acceso disponibles para el cliente y el contexto de autenticación seleccionados.

    1. Vaya a Aplicaciones > Asignación de token de acceso.
      • Contexto: seleccione el que creó anteriormente. Por ejemplo, en esta documentación se utiliza el validador vIDB.
      • Administrador de tokens de acceso: seleccione el que creó anteriormente. Por ejemplo, en esta documentación se utiliza el administrador de tokens de acceso vIDB.
    2. Haga clic en Agregar asignación.
    3. Haga clic en Siguiente para omitir la pestaña Orígenes de atributos y búsqueda de usuarios.
    4. En la pestaña Cumplimiento del contrato, utilice la siguiente tabla.
      Contrato Origen Valor
      aud Contexto El identificador de cliente creado previamente. Por ejemplo, el identificador utilizado en esta documentación es vIDB.
      exp Sin asignación -
      iat Expresión Introduzca lo siguiente:

      @org.jose4j.jwt.NumericDate@now().getValue()
      iss Expresión

      (Si no está visible, consulte la documentación de PingFederate en https://docs.pingidentity.com/r/en-us/pingfederate-120/pf_enable_disable_express).

      		 Introduzca lo siguiente: 
      #tmp=#this.get("context.HttpRequest").getObjectValue().getRequestURL().toString(), #url=new java.net.URL(#tmp), #protocol=#url.getProtocol(), #host=#url.getHost(),#port=#url.getPort(), #result=(#port != -1) ? @java.lang.String@format("%s://%s:%d", #protocol, #host, #port) : @java.lang.String@format("%s://%s", #protocol, #host, #port)
      userName Sin asignación

      -

      Este contrato se utiliza más adelante en el filtro de LDAP para el flujo de trabajo de la directiva de OIDC para el código de autorización. En el caso del flujo de trabajo de PingFederate, no es necesario.
    5. Haga clic en Siguiente para omitir la pestaña Criterios de seguro y, a continuación, haga clic en Guardar.

Qué hacer a continuación

Continúe con Crear la configuración del flujo de código de autorización.