La création d'un système pour l'application SCIM (Cross-domain Identity Management) 2.0 est requise, afin de pouvoir spécifier les utilisateurs et groupes PingFederate à transférer vers vCenter Server.

Conditions préalables

Procédure

  1. Ajoutez le certificat racine approuvé vCenter Server au serveur PingFederate.
    Avant de commencer, exportez le ou les certificats racines approuvés à partir de vCenter Server. Vous pouvez obtenir le certificat à partir du système de fichiers de vCenter Server à l'adresse /var/lib/vmware/vmca/root.cer. Vous pouvez également consulter l'article de la base de connaissances à l'adresse https://kb.vmware.com/s/article/2108294.
    1. Connectez-vous à la console d'administration PingFederate avec un compte administrateur.
    2. Accédez à Sécurité > Gestion des certificats et des clés.
    3. Sélectionnez Autorités de certification approuvées, puis cliquez sur Importer pour ajouter le certificat SSL de vCenter Server.
    4. Si votre instance de serveur PingFederate s'exécute en tant qu'image de conteneur, vous devrez peut-être redémarrer le serveur pour ajouter le certificat au magasin d'approbations. Par exemple :
      1. Connectez-vous au serveur PingFederate à l'aide de SSH.
      2. Passez au répertoire /root/ping.
      3. Exécutez les commandes suivantes :
        docker-compose down
        docker-compose up
  2. Créez la connexion SP.
    1. Connectez-vous à la console d'administration PingFederate avec un compte administrateur.
    2. Accédez à Applications > Intégration > Connexions SP.
    3. Cliquez sur Créer une connexion.
    4. Sélectionnez Utiliser un modèle pour cette connexion, puis sélectionnez Connecteur SCIM dans le menu déroulant.
      Si l'option Connecteur SCIM n'apparaît pas dans le menu déroulant, vérifiez que vous avez placé le fichier .jar de connecteur SCIM dans le dossier approprié (le dossier /opt/out de votre serveur PingFederate).
    5. Cliquez sur Suivant.
    6. Sélectionnez uniquement Provisionnement sortant, puis cliquez sur Suivant.
    7. Dans l'onglet Informations générales :
      • ID d'entité (ID de connexion) du partenaire : mettez à jour Connecteur SCIM avec le nom de votre choix.
      • Nom de connexion : entrez un nom.
      • URL de base : entrez l'adresse HTTPS de l'instance de vCenter Server sur laquelle vous configurez le fournisseur d'identité externe PingFederate, par exemple : https://vcenter1.example.com.
    8. Cliquez sur Suivant.
    9. Cliquez sur Configurer le provisionnement .
      Dans l'onglet Cible :
      • URL SCIM : entrez le point de terminaison du groupe d'utilisateurs.

        Il s'agit de l'URL du locataire obtenue sous Provisionnement d'utilisateur sur la page Configuration de vCenter Server. Par exemple : https://vcenter1.example.com/usergroup/t/CUSTOMER/scim/v2

      • Méthode d'authentification : sélectionnez Jeton du porteur OAuth 2 dans le menu déroulant.
      • Jeton d'accès : collez le jeton secret généré à partir de vCenter Server et que vous devez avoir enregistré précédemment. Reportez-vous à l'étape 2 dans Configurer la fédération de fournisseurs d'identité vCenter Server pour PingFederate.
      • Identifiant d'utilisateur unique : sélectionnez nom d'utilisateur dans le menu déroulant.
      • Expression de filtre : copiez l'expression suivante dans la zone de texte : externalId eq "%s"
    10. Acceptez le reste des valeurs des paramètres de configuration par défaut et cliquez sur Suivant.
      • Options de provisionnement : Création d'utilisateur, Mise à jour d'utilisateur et Désactivation/Suppression d'utilisateur sont cochés.
      • Supprimer l'action de l'utilisateur : Désactiver est sélectionné.
        Note : Si vous sélectionnez Désactiver, lorsque des utilisateurs sont supprimés d'Active Directory, ils ne sont pas automatiquement affichés comme « désactivés » dans VMware Identity Services. C'est le comportement attendu.
      • Source de nom de groupe : Nom commun est sélectionné.
    11. Dans l'onglet Gérer les canaux, cliquez sur Créer.
      • Dans l'onglet Informations sur le canal :
        • Nom de canal : entrez un nom.
        • Acceptez les valeurs par défaut Nombre maximal de threads et Délai d'expiration (s).
    12. Cliquez sur Suivant.
      • Dans l'onglet Source :
        • Banque de données active : choisissez votre domaine Active Directory.
    13. Cliquez sur Suivant.
      • Dans l'onglet Emplacement Source :
        • Nom unique de base : entrez votre nom unique de base pour rechercher vos utilisateurs et vos groupes.
        • Utilisateurs : personnalisez selon votre environnement. Par exemple :
          • Nom unique de groupe : ne l'utilisez pas.
          • Filtre : entrez (|(objectClass=person)(objectClass=organizationalPerson)(objectClass=user)).
        • Groupes : personnalisez selon votre environnement. Par exemple :
          • Nom unique de groupe : ne l'utilisez pas.
          • Filtre : entrez (objectClass=group).
    14. Cliquez sur Suivant.
    15. Acceptez les valeurs par défaut dans l'onglet d'Mappage d'attributs.
    16. Cliquez sur Suivant.
      Dans l'onglet Activation et résumé :
      • État du canal : sélectionnez Actif.
    17. Cliquez sur Effectué.
      La connexion SP est créée et l'écran Connexions SP s'affiche.
    18. Cliquez sur Effectué.
    19. Dans l'onglet Provisionnement sortant, cliquez sur Suivant.
    20. Examinez le résumé, puis cliquez sur Enregistrer.
    21. Pour activer la connexion, faites basculer le curseur sur Activé.

Résultats

PingFederate transfère désormais les utilisateurs et les groupes de la banque de données configurée vers vCenter Server. Patientez pendant que le transfert s'effectue. Vous pouvez afficher les utilisateurs et les groupes transférés dans vSphere Client. Accédez à Administration > Single Sign-On > Utilisateurs et groupes, puis sélectionnez le domaine PingFederate.

Que faire ensuite

Continuez avec Configurer vCenter Server pour l'autorisation PingFederate.