Étapes de haut niveau pour configurer le fournisseur d'identité vCenter Server pour PingFederate

La configuration de vCenter Server pour PingFederate implique les étapes de haut niveau suivantes :

1. Sur PingFederate, création de la configuration spécifique de vCenter Server/VMware Identity Services, notamment les portées et la configuration commune des workflows PingFederate.
2. Sur PingFederate, création des éléments globaux, notamment la configuration du flux d'octroi de mot de passe et la configuration du flux de code d'autorisation.
3. Sur PingFederate, installation du provisionneur SCIM.
4. Sur vCenter Server, création du fournisseur d'identité PingFederate.
5. Sur PingFederate, création de l'application SCIM (connexion SP).
6. Sur vCenter Server, autorisation des utilisateurs PingFederate.

Conditions préalables à la configuration du fournisseur d'identité vCenter Server pour PingFederate

Conditions requises de PingFederate :

• Vous avez installé un serveur PingFederate sur site.
• À partir de l'instance de vCenter Server sur laquelle vous configurez le fournisseur d'identité PingFederate, vous devez obtenir les certificats racines approuvés et les importer dans le serveur PingFederate.
• Vous devrez éventuellement importer le certificat SSL PingFederate, ou la chaîne de certificats, dans vCenter Server, si ce certificat est auto-signé (c'est-à-dire qu'il n'est pas émis par une autorité de certification publique connue). Si le certificat SSL PingFederate ou l'un des certificats de la chaîne a été émis par une autorité de certification connue, vCenter Server approuve automatiquement ce certificat et vous n'avez pas besoin de l'importer. Si vous utilisez une ou plusieurs autorités de signature intermédiaires pour votre certificat SSL de serveur PingFederate, incluez la chaîne complète de certificats.

  Pour exporter le certificat SSL PingFederate, dans la console d'administration de PingFederate, accédez à Sécurité > Certificats de serveur SSL, sélectionnez le certificat par défaut, puis sélectionnez Exporter dans le menu déroulant Sélectionner une action.

  Importez le certificat SSL PingFederate à l'aide de vSphere Client dans le panneau OpenID Connect dans le cadre du workflow de configuration du fournisseur d'identité.

• Pour effectuer des connexions OIDC et gérer les autorisations d'utilisateur et de groupe, vous devez créer les applications PingFederate suivantes.
  • Une application native PingFederate avec OpenID Connect comme méthode d'authentification. L'application native doit inclure les types d'attribution de code d'autorisation, de jeton d'actualisation et de mot de passe du propriétaire de la ressource.
  • Une application de système pour la gestion des identités inter-domaines (SCIM, System for Cross-domain Identity Management) 2.0 (dans PingFederate, cela s'appelle Connexion SP) avec un jeton de support OAuth 2.0 pour effectuer la synchronisation des utilisateurs et des groupes entre le serveur PingFederate et l'instance de vCenter Server.
• Vous avez identifié les utilisateurs et les groupes PingFederate que vous souhaitez partager avec l'instance de vCenter Server. Ce partage est une opération SCIM (pas une opération OIDC).

Exigences de connectivité de PingFederate :

• vCenter Server doit pouvoir se connecter au point de terminaison de détection PingFederate, de même que l'autorisation, le jeton, JWKS et tout autre point de terminaison annoncé dans les métadonnées du point de terminaison de détection.
• PingFederate doit également pouvoir se connecter à l'instance de vCenter Server pour envoyer des données d'utilisateur et de groupe pour le provisionnement SCIM.

Configuration requise de vCenter Server :

• vSphere 8.0 Update 3
• Sur l'instance de vCenter Server dans laquelle vous souhaitez créer la source d'identité PingFederate, vérifiez que VMware Identity Services est activé.
  Note : Lorsque vous installez vSphere 8.0 Update 1 ou version ultérieure ou effectuez la mise à niveau vers celui-ci, VMware Identity Services est activé par défaut. Vous pouvez utiliser l'interface de gestion de vCenter Server pour confirmer l'état de VMware Identity Services. Reportez-vous à la section Arrêter et démarrer VMware Identity Services.

Conditions requises pour les privilèges vSphere :

• Vous devez disposer du privilège VcIdentityProviders.Gérer pour créer, mettre à jour ou supprimer un fournisseur d'identité vCenter Server requis pour l'authentification fédérée. Pour limiter un utilisateur à l'affichage des informations de configuration du fournisseur d'identité uniquement, attribuez le privilège VcIdentityProviders.Lire.

Conditions requises pour Enhanced Linked Mode :

• Vous pouvez configurer la fédération de fournisseur d'identité de vCenter Server pour PingFederate dans une configuration Enhanced Linked Mode. Lorsque vous configurez PingFederate dans une configuration Enhanced Link Mode, configurez le fournisseur d'identité PingFederate pour utiliser VMware Identity Services sur un système vCenter Server unique. Par exemple, si votre configuration Enhanced Link Mode se compose de deux systèmes vCenter Server, seuls un système vCenter Server et son instance de VMware Identity Services sont utilisés pour communiquer avec le serveur PingFederate. Si ce système vCenter Server devient indisponible, vous pouvez configurer VMware Identity Services sur d'autres systèmes vCenter Server dans la configuration ELM pour interagir avec votre serveur PingFederate. Pour plus d'informations, consultez Processus d'activation des fournisseurs d'identité externes dans des configurations Enhanced Linked Mode.
• Lors de la configuration de PingFederate en tant que fournisseur d'identité externe, tous les systèmes vCenter Server dans une configuration Enhanced Linked Mode doivent exécuter au moins vSphere 8.0 Update 3.