Après l'installation ou la mise à niveau vers vSphere 8.0 Update 3, vous pouvez configurer la fédération de fournisseur d'identité vCenter Server pour PingFederate en tant que fournisseur d'identité externe.

vCenter Server ne prend en charge qu'un seul fournisseur d'identité externe configuré (une source) et la source d'identité vsphere.local (source locale). Vous ne pouvez pas utiliser plusieurs fournisseurs d'identité externes. La Fédération de fournisseur d'identité vCenter Server utilise OpenID Connect (OIDC) pour la connexion de l'utilisateur à vCenter Server.

Vous pouvez configurer des privilèges à l'aide de groupes et d'utilisateurs PingFederate via des autorisations globales ou d'objets dans vCenter Server. Pour plus d'informations sur l'ajout d'autorisations, consultez la documentation de Sécurité vSphere.

Conditions préalables

Effectuez les tâches suivantes :
Assurez-vous que vous disposez des informations suivantes de l'application PingFederate OpenID Connect :
  • Identificateur de client
  • Clé secrète du client (indiquée comme secret partagé dans vSphere Client)
  • Informations de domaine Active Directory, ou informations de domaine PingFederate si vous n'exécutez pas Active Directory

Procédure

  1. Pour créer le fournisseur d'identité sur vCenter Server :
    1. Utilisez vSphere Client pour vous connecter en tant qu'administrateur à vCenter Server.
    2. Accédez à Accueil > Administration > Single Sign-On > Configuration.
    3. Cliquez sur Changer de fournisseur et sélectionnez PingFederate.
      L'assistant Configurer le fournisseur d'identité principal s'ouvre.
    4. Dans le panneau Conditions préalables, vérifiez les conditions requises pour PingFederate et vCenter Server, ainsi que les autres conditions requises.
    5. Cliquez sur Exécuter les vérifications préalables.
      Si la vérification préalable détecte des erreurs, cliquez sur Afficher les détails et prenez des mesures pour résoudre les erreurs comme indiqué.
    6. Lorsque la vérification préalable réussit, cochez la case de confirmation, puis cliquez sur Suivant.
    7. Dans le panneau Informations de l'annuaire, entrez les informations suivantes.
      • Nom de l'annuaire : nom de l'annuaire local à créer sur vCenter Server qui stocke les utilisateurs et les groupes envoyés à partir de PingFederate. Par exemple, vcenter- PingFederate-directory.
      • Nom(s) de domaine : entrez les noms de domaine PingFederate qui contiennent les utilisateurs et les groupes PingFederate que vous souhaitez synchroniser avec vCenter Server.

        Après avoir entré votre nom de domaine PingFederate, cliquez sur l'icône Plus (+) pour l'ajouter. Si vous entrez plusieurs noms de domaine, spécifiez le domaine par défaut.

    8. Cliquez sur Suivant.
    9. Dans le panneau OpenID Connect, entrez les informations suivantes.
      • Interface utilisateur de redirection : renseignée automatiquement. Cette interface utilisateur de redirection doit correspondre à ce que vous utilisez lors de la création de l'application OpenID Connect dans PingFederate.
      • Nom du fournisseur d'identité : renseigné automatiquement comme PingFederate.
      • Identifiant du client : obtenu lors de la création de l'application OpenID Connect. (PingFederate fait référence à l'identificateur de client en tant qu'ID de client.)
      • Secret partagé : obtenu lorsque vous avez créé l'application OpenID Connect dans PingFederate. (PingFederate fait référence au secret partagé en tant que secret client.)
      • Adresse OpenID : prend la forme https://PingFederate_domain_space/idp/.well-known/openid-configuration.

        Par exemple, si votre espace de domaine PingFederate est example.PingFederate.com, l'adresse OpenID est : https://example.PingFederate.com/idp/.well-known/openid-config

      • Certificat SSL : vous pouvez éventuellement rechercher le certificat SSL PingFederate ou la chaîne de certificats, si ce certificat n'a pas été émis par une autorité de certification publique connue, à télécharger vers vCenter Server. Pour exporter le certificat SSL PingFederate, dans la console d'administration, accédez à Sécurité > Certificats de serveur SSL, sélectionnez le certificat par défaut, puis sélectionnez Exporter dans le menu déroulant Sélectionner une action. Pour plus d'informations, reportez-vous à l'article, Exportation d'un certificat, à la page https://docs.pingidentity.com/r/en-us/pingfederate-111/nfv1585678806463. Vous pouvez exporter le certificat SSL PingFederate sans la clé privée, car il n'est pas nécessaire pour la configuration de vCenter Server.
    10. Cliquez sur Suivant.
    11. Passez vos informations en revue et cliquez sur Terminer.
      vCenter Server crée le fournisseur d'identité PingFederate et affiche les informations de configuration.
  2. Sous Provisionnement d'utilisateur, cliquez sur Générer pour créer le jeton secret, sélectionnez la durée de vie du jeton dans le menu déroulant, puis cliquez sur Copier dans le Presse-papiers. Enregistrez le jeton dans un emplacement sécurisé.
    Lorsque vous créez l'application PingFederate SP Connection (application SCIM), vous utilisez le jeton pour synchroniser les utilisateurs et les groupes PingFederate dans VMware Identity Services.

Que faire ensuite

Continuez avec Créer l'application SCIM (connexion SP).