La creación de la configuración común para PingFederate incluye la creación del administrador de tokens de acceso, el atributo objectID, la directiva de OpenID Connect y la aplicación cliente de OAuth.
Requisitos previos
Realice la siguiente tarea:
Inicie sesión en la consola de administrador de PingFederate con una cuenta de administrador.
Procedimiento
- Cree el administrador de tokens de acceso.
- Vaya a .
- Haga clic en Crear nuevas licencias.
- En la pestaña Tipo:
- Nombre de instancia, introduzca un nombre de instancia. Por ejemplo, vIDB Access Token Manager.
- Id. de instancia: introduzca el identificador de instancia. Por ejemplo, vIDB.
- Tipo: seleccione JSON Web Tokens.
- Instancia principal: deje el valor predeterminado, Ninguna.
- En la pestaña Configuración de instancia:
- Usar clave de firma centralizada, seleccione la casilla de verificación.
Si se deja esta casilla de verificación sin seleccionar, PingFederate esperará que se configure "Identificador de clave de certificado de firma activa".
- Algoritmo de JWS: seleccione un algoritmo. Por ejemplo, RSA con SHA-256.
- En la parte inferior de la pantalla, haga clic en Mostrar campos avanzados.
- Longitud de notificación de identificador de JWT: agregue un número mayor que cero (0). Por ejemplo, 24. Si no introduce un valor, la notificación JTI se omite en el token de acceso.
- Usar clave de firma centralizada, seleccione la casilla de verificación.
- Haga clic en Siguiente.
- En la pestaña Contrato de atributo de token de acceso:
- En el cuadro de texto Ampliar el contrato, agregue las siguientes notificaciones que se generarán en el token de acceso de ping. Haga clic en Agregar después de introducir cada notificación.
- aud
- iss
- exp
- iat
- userName
- Nombre de atributo del sujeto: seleccione una notificación que se utilizará para fines de auditoría. Por ejemplo, iss.
- En el cuadro de texto Ampliar el contrato, agregue las siguientes notificaciones que se generarán en el token de acceso de ping. Haga clic en Agregar después de introducir cada notificación.
- Haga clic en Siguiente dos veces para omitir las pestañas URI de recurso y Control de acceso.
- Haga clic en Guardar.
- Agregue el atributo objectGUID.
- Vaya a .
- En la pestaña Configuración de LDAP, haga clic en Avanzada en la parte inferior.
- En la pestaña Atributos binarios de LDAP, en el campo de nombre Atributo binario, utilice objectGUID y haga clic en Agregar.
- Haga clic en Guardar.
- Cree la directiva de OpenID Connect.
- Vaya a .
- Haga clic en Agregar directiva.
- En la pestaña Gestionar directiva:
- Id. de directiva: introduzca un identificador de directiva. Por ejemplo, OIDC.
- Nombre: introduzca un nombre de directiva. Por ejemplo, Directiva de OIDC.
- Administrador de tokens de acceso: seleccione el administrador de tokens de acceso que creó anteriormente. Por ejemplo, vIDB Access Token Manager.
- Haga clic en Siguiente.
- En la pestaña Contrato de atributo:
- Haga clic en Eliminar para eliminar todos los atributos, excepto sub. De lo contrario, debe asignar los atributos a un valor en la pestaña Cumplimiento de contrato más adelante.
- Haga clic en Siguiente y, a continuación, haga clic de nuevo en Siguiente para omitir la pestaña Ámbito de atributos.
- En la pestaña Orígenes de atributos y búsqueda de usuarios, haga clic en Agregar origen de atributo.
Después de introducir la información en cada pestaña que aparece a continuación, haga clic en Siguiente para avanzar.
- Almacén de datos:
- Id. de origen de atributo: introduzca un identificador de origen de atributo. Por ejemplo, vIDBLDAP.
- Descripción del origen del atributo: introduzca una descripción. Por ejemplo: vIDBLDAP.
- Almacén de datos activo: seleccione Active Directory o el nombre de dominio de OpenLDAP en el menú desplegable.
- Búsqueda del directorio LDAP:
- DN base: introduzca el DN base para buscar usuarios y grupos.
- Ámbito de búsqueda: deje el valor predeterminado, Subtree.
- Atributos para devolver desde la búsqueda: seleccione <Mostrar todos los atributos> y seleccione objectGUID.
Haga clic en Agregar atributo.
- Tipos de codificación de atributos binarios de LDAP:
- ObjectGUID: seleccione Hex para el Tipo de codificación de atributo.
- Filtro LDAP:
- Filtro: introduzca un filtro. Por ejemplo, userPrincipalName=${userName}.
- Almacén de datos:
- En la página Resumen, haga clic en Listo.
- Haga clic en Siguiente para avanzar y, en la pestaña Cumplimiento de contrato, asigne el Contrato de atributos para el token de identificador:
Contrato de atributo Origen Valor sub Seleccione el identificador de origen del atributo creado anteriormente. En esta documentación, el ejemplo utilizado es vIDBLDAP. objectGUID - Haga clic en Siguiente y, a continuación, haga clic en Siguiente de nuevo para omitir la pestaña Criterios de seguro.
- Haga clic en Guardar.
- Cree la aplicación cliente de OAuth.
- Vaya a .
- Haga clic en Agregar cliente.
- En la página Clientes | Cliente:
- ID de cliente: introduzca el identificador de cliente. Por ejemplo, vIDB.
Nota: Copie y guarde el ID de cliente si desea usarlo más adelante al crear el proveedor de identidad de vCenter Server para PingFederate.
- Nombre: introduzca un nombre. Por ejemplo, vIDB.
- Autenticación de cliente: seleccione Secreto de cliente.
- Secreto de cliente: puede introducir su propio secreto de cliente o generar un secreto. Una vez que abandone esta página, no podrá ver el secreto generado. Solo tiene la opción de cambiar el secreto.
Nota: Copie y guarde el secreto para usarlo más adelante al crear el proveedor de identidad de vCenter Server.
- Secreto de cliente: puede introducir su propio secreto de cliente o generar un secreto. Una vez que abandone esta página, no podrá ver el secreto generado. Solo tiene la opción de cambiar el secreto.
- URI de redireccionamiento: introduzca los URI de redireccionamiento con el formato https://vCenter_Server_FQDN:port/federation/t/CUSTOMER/auth/response/oauth2.
- Haga clic en Agregar.
- Tipos de concesión permitidos: compruebe el Código de autenticación, Token de actualización, Credenciales de cliente y Credenciales de contraseña de propietario del origen.
- Administrador de tokens de acceso predeterminado: seleccione el administrador de tokens de acceso que creó anteriormente. Por ejemplo, el que se utiliza en esta documentación es vIDB Access Token Manager.
- OpenID Connect: para Directiva, seleccione la que creó anteriormente. Por ejemplo, la que se utiliza en esta documentación es OIDC.
- ID de cliente: introduzca el identificador de cliente. Por ejemplo, vIDB.
- Haga clic en Guardar.
Qué hacer a continuación
Continúe con Crear la configuración de flujo de concesión de contraseña.