Pour que PingFederate s'authentifie avec vCenter Server, configurez le flux d'octroi de mot de passe.

Conditions préalables

Effectuez les tâches suivantes :

Connectez-vous à la console d'administration PingFederate avec un compte administrateur.

Procédure

  1. Créez le validateur d'informations d'identification de mot de passe.
    1. Accédez à Système > Banques de données et d'informations d'identification > Validateurs d'informations d'identification de mot de passe.
    2. Cliquez sur Créer une instance.
    3. Sur la page Validateurs d'informations d'identification de mot de passe | Créer une instance, entrez les informations comme suit pour chaque onglet, puis cliquez sur Suivant pour avancer.
      • Sur l'onglet Type :
        • Nom de l'instance : entrez le nom de l'instance. Par exemple, Validateur vIDB
        • ID d'instance : entrez l'ID d'instance. Par exemple, vIDB.
        • Type : sélectionnez Validateur d'informations d'identification de mot de passe de nom d'utilisateur LDAP.
      • Dans l'onglet Configuration de l'instance :
        • Banque de données LDAP : sélectionnez la banque de données que vous utilisez.
        • Base de recherches : entrez votre nom unique de base pour rechercher vos utilisateurs et vos groupes.
        • Filtre de recherche : entrez un filtre. Par exemple, userPrincipalName=${username}.
        • Portée de la recherche : sélectionnez Sous-arborescence.
      • Dans l'onglet Contrat étendu :
        • Par défaut, les éléments suivants sont ajoutés :
          • DN
          • e-mail
          • givenName
          • username
    4. Cliquez sur Suivant, puis sur Enregistrer.
  2. Mappez le validateur dans les paramètres du serveur d'autorisation.
    1. Accédez à Système > Paramètres Oauth > Paramètres du serveur d'authentification.
    2. Dans Validateur d'informations d'identification de mot de passe, sélectionnez celui que vous avez créé précédemment. Par exemple, cette documentation utilise le validateur vIDB.
    3. Cliquez sur Enregistrer.
  3. Créez le mappage d'octroi des informations d'identification du propriétaire de la ressource.
    1. Accédez à Authentification > Oauth > Mappage des informations d'identification du propriétaire de la ressource.
    2. Dans la fenêtre Mappage d'octroi des informations d'identification du propriétaire de la ressource :
      • Instance de validateur de mot de passe de la source : sélectionnez celle que vous avez créée précédemment et cliquez sur Ajouter un mappage.
    3. Dans la page Mappage de l'octroi des informations d'identification du propriétaire de la ressource | Mappage des informations d'identification du propriétaire de la ressource, cliquez sur Suivant pour ignorer l'onglet Sources d'attributs et recherche d'utilisateur.
    4. Dans l'onglet Réalisation du contrat :
      • Pour USER_KEY, sélectionnez Validateur d'informations d'identification de mot de passe et, pour Valeur, sélectionnez nom d'utilisateur.
    5. Cliquez sur Suivant pour ignorer l'onglet Critères d'assurance, puis cliquez sur Enregistrer.
  4. Créer le mappage de jeton d'accès : mappez le validateur d'informations d'identification de mot de passe au gestionnaire de jetons d'accès.
    Ce mappage est nécessaire pour le workflow d'octroi de mot de passe. Si le mappage n'existe pas, PingFederate consigne l'erreur suivante :

    Aucun gestionnaire de jetons d'accès n'est disponible pour le client et le contexte d'authentification sélectionnés.

    1. Accédez à Applications > Mappages de jetons d'accès.
      • Contexte : sélectionnez celui que vous avez créé précédemment. Par exemple, cette documentation utilise le validateur vIDB.
      • Gestionnaire de jetons d'accès : sélectionnez celui précédemment créé. Par exemple, cette documentation utilise le gestionnaire de jetons d'accès vIDB.
    2. Cliquez sur Ajouter un mappage.
    3. Cliquez sur Suivant pour ignorer l'onglet Sources d'attributs et recherche d'utilisateur.
    4. Dans l'onglet Réalisation du contrat, utilisez le tableau suivant.
      Contrat Source Valeur
      aud Contexte ID de client précédemment créé. Par exemple, l'ID utilisé dans cette documentation est vIDB.
      exp Aucun mappage -
      iat Expression Entrez les informations suivantes :

      @org.jose4j.jwt.NumericDate@now().getValue()
      iss Expression

      (Si elle n'est pas visible, reportez-vous à la documentation de PingFederate à l'adresse https://docs.pingidentity.com/r/en-us/pingfederate-120/pf_enable_disable_express.)

      		 Entrez les informations suivantes : 
      #tmp=#this.get("context.HttpRequest").getObjectValue().getRequestURL().toString(), #url=new java.net.URL(#tmp), #protocol=#url.getProtocol(), #host=#url.getHost(),#port=#url.getPort(), #result=(#port != -1) ? @java.lang.String@format("%s://%s:%d", #protocol, #host, #port) : @java.lang.String@format("%s://%s", #protocol, #host, #port)
      userName Aucun mappage

      -

      Ce contrat est utilisé ultérieurement dans le filtre LDAP pour le workflow Stratégie OIDC pour le code d'autorisation. Pour le workflow PingFederate, il n'est pas nécessaire.
    5. Cliquez sur Suivant pour ignorer l'onglet Critères d'assurance, puis cliquez sur Enregistrer.

Que faire ensuite

Continuez avec Créer la configuration du flux de code d'autorisation.