La création de la configuration commune pour PingFederate inclut la création du gestionnaire de jetons d'accès, de l'attribut objectID, de la stratégie OpenID Connect et de l'application cliente OAuth.

Conditions préalables

Effectuez les tâches suivantes :

Connectez-vous à la console d'administration PingFederate avec un compte administrateur.

Procédure

  1. Créez le gestionnaire de jetons d'accès.
    1. Accédez à Applications > Oauth > Gestion des jetons d'accès.
    2. Cliquez sur Créer une instance.
    3. Sur l'onglet Type :
      • Nom de l'instance : entrez un nom d'instance. Par exemple, Gestionnaire de jetons d'accès vIDB.
      • ID d'instance : entrez l'ID d'instance. Par exemple, vIDB.
      • Type : sélectionnez Jetons Web JSON.
      • Instance parente : conservez la valeur par défaut, Aucune.
    4. Dans l'onglet Configuration de l'instance :
      • Utiliser la clé de signature centralisée : cochez la case.

        Si cette case n'est pas cochée, PingFederate s'attend à ce que « ID de clé de certificat de signature active » soit configuré.

      • Algorithme JWS : sélectionnez un algorithme. Par exemple, RSA en utilisant SHA-256.
      • En bas de l'écran, cliquez sur Afficher les champs avancés.
        • Longueur de la réclamation de l'ID JWT : ajoutez un nombre supérieur à zéro (0). Par exemple, 24. Si vous n'entrez pas de valeur, la réclamation JTI est omise dans le jeton d'accès.
    5. Cliquez sur Suivant.
    6. Dans l'onglet Contrat d'attribut de jeton d'accès :
      • Dans la zone de texte Étendre le contrat, ajoutez les réclamations suivantes à générer dans le jeton d'accès Ping. Cliquez sur Ajouter après avoir entré chaque réclamation.
        • aud
        • iss
        • exp
        • iat
        • userName
      • Nom d'attribut du sujet : sélectionnez une réclamation à utiliser à des fins d'audit. Par exemple, iss.
    7. Cliquez deux fois sur Suivant pour ignorer les onglets URI de ressources et Contrôle d'accès.
    8. Cliquez sur Enregistrer.
  2. Ajoutez l'attribut objectGUID.
    1. Accédez à Système > Centres de données > Votre banque de données > Configuration LDAP.
    2. Dans l'onglet Configuration LDAP, cliquez sur Avancée en bas.
    3. Dans l'onglet Attributs binaires LDAP, dans le champ de nom Attribut binaire, utilisez objectGUID et cliquez sur Ajouter.
    4. Cliquez sur Enregistrer.
  3. Créez la stratégie OpenID Connect.
    1. Accédez à Applications > Oauth > Gestion des stratégies OpenID Connect.
    2. Cliquez sur Ajouter une stratégie.
    3. Dans l'onglet Gérer la stratégie :
      • ID de stratégie : entrez un ID de stratégie. Par exemple, OIDC.
      • Nom : entrez un nom de stratégie. Par exemple, stratégie OIDC.
      • Gestionnaire de jetons d'accès : sélectionnez le gestionnaire de jetons d'accès que vous avez créé précédemment. Par exemple, Gestionnaire de jetons d'accès vIDB.
    4. Cliquez sur Suivant.
    5. Dans l'onglet Contrat d'attribut :
      • Cliquez sur Supprimer pour supprimer tous les attributs, à l'exception de sub. Sinon, vous devez mapper les ultérieurement attributs à une valeur dans l'onglet Réalisation du contrat.
    6. Cliquez sur Suivant, puis de nouveau sur Suivant pour ignorer l'onglet Portée des attributs.
    7. Dans l'onglet Sources d'attributs et recherche d'utilisateur, cliquez sur Ajouter une source d'attribut.
      Après avoir entré les informations dans chaque onglet qui suit, cliquez sur Suivant pour avancer.
      • Banque de données :
        • ID de source d'attribut : entrez un ID de source d'attribut. Par exemple, vIDBLDAP.
        • Description de la source d'attribut : entrez une description. Par exemple : vIDBLDAP.
        • Banque de données active : sélectionnez votre nom de domaine Active Directory ou OpenLDAP dans le menu déroulant.
      • Recherche d'annuaire LDAP :
        • Nom unique de base : entrez votre nom unique de base pour rechercher vos utilisateurs et vos groupes.
        • Portée de la recherche : conservez la valeur par défaut, Sous-arborescence.
        • Attributs à renvoyer à partir de la recherche : sélectionnez <Afficher tous les attributs> et sélectionnez objectGUID.

          Cliquez sur Ajouter un attribut .

      • Types de codage d'attributs binaires LDAP :
        • ObjectGUID : sélectionnez Hex pour le type de codage Attribut.
      • Filtre LDAP :
        • Filtre : entrez un filtre. Par exemple, userPrincipalName=${userName}.
    8. Sur la page Résumé, cliquez sur Terminé.
    9. Cliquez sur Suivant pour avancer et, dans l'onglet Réalisation du contrat, mappez le Contrat d'attribut pour le jeton d'ID :
      Contrat d'attribut Source Valeur
      sub Sélectionnez l'ID de source d'attribut précédemment créé. Dans cette documentation, l'exemple utilisé est vIDBLDAP. objectGUID
    10. Cliquez sur Suivant, puis de nouveau sur Suivant pour ignorer l'onglet Critères d'assurance.
    11. Cliquez sur Enregistrer.
  4. Créez l'application cliente OAuth.
    1. Accédez à Applications > Oauth > Clients.
    2. Cliquez sur Ajouter un client.
    3. Sur la page Clients | Clients :
      • ID de client : entrez l'ID de client. Par exemple, vIDB.
        Note : Copiez et enregistrez l'ID de client pour une utilisation ultérieure lors de la création du fournisseur d'identité vCenter Server pour PingFederate.
      • Nom : entrez un nom. Par exemple, vIDB.
      • Authentification du client : sélectionnez Clé secrète client.
        • Clé secrète client : vous pouvez entrer votre propre clé secrète client ou en générer une. Lorsque vous quittez cette page, vous ne pouvez pas afficher à nouveau la clé secrète. Vous pouvez avez uniquement modifier la clé secrète.
          Note : Copiez et enregistrez la clé secrète pour l'utiliser ultérieurement lors de la création du fournisseur d'identité vCenter Server.
      • URI de redirection : entrez le ou les URI de redirection au format :https://vCenter_Server_FQDN:port/federation/t/CUSTOMER/auth/response/oauth2.
        • Cliquez sur Ajouter.
      • Types d'octroi autorisés : vérifiez le code d'autorisation, le jeton d'actualisation, les informations d'identification de client et les informations d'identification par mot de passe.
      • Gestionnaire de jetons d'accès par défaut : sélectionnez le gestionnaire de jetons d'accès que vous avez créé précédemment. Par exemple, celui utilisé dans cette documentation est le gestionnaire de jetons d'accès vIDB.
      • OpenID Connect : pour Stratégie, sélectionnez celle que vous avez créée précédemment. Par exemple, celle utilisée dans cette documentation est OIDC.
    4. Cliquez sur Enregistrer.

Que faire ensuite

Continuez avec Créer la configuration du flux d'octroi de mot de passe.