Dopo l'installazione o l'aggiornamento a vSphere 8.0 Update 3, è possibile configurare la federazione del provider di identità di vCenter Server per PingFederate come provider di identità esterno.

vCenter Server supporta un solo provider di identità esterno configurato (un'origine) e l'origine identità vsphere.local (origine locale). Non è possibile utilizzare più provider di identità esterni. La federazione del provider di identità di vCenter Server utilizza OpenID Connect (OIDC) per l'accesso degli utenti a vCenter Server.

È possibile configurare i privilegi utilizzando i gruppi e gli utenti di PingFederate tramite le autorizzazioni globali o degli oggetti in vCenter Server. Vedere la documentazione Sicurezza di vSphere per maggiori dettagli sull'aggiunta delle autorizzazioni.

Prerequisiti

Completare le attività seguenti:
Assicurarsi di disporre delle informazioni seguenti dell'applicazione OpenID Connect di PingFederate:
  • Identificatore client
  • Segreto client (visualizzato come segreto condiviso in vSphere Client)
  • Informazioni sul dominio di Active Directory o sul dominio di PingFederate se non si esegue Active Directory

Procedura

  1. Per creare il provider di identità in vCenter Server:
    1. Utilizzare vSphere Client per accedere come amministratore a vCenter Server.
    2. Passare a Home > Amministrazione > Single Sign-On > Configurazione.
    3. Fare clic su Modifica provider e selezionare PingFederate.
      Verrà aperta la procedura guidata Configura provider di identità principale.
    4. Nel pannello Prerequisiti esaminare i requisiti di PingFederate e vCenter Server, nonché gli altri prerequisiti.
    5. Fare clic su Esegui verifiche preliminari.
      Se la verifica preliminare rileva errori, fare clic su Visualizza dettagli ed eseguire i passaggi necessari per risolvere gli errori come indicato.
    6. Al termine della verifica preliminare, fare clic sulla casella di controllo di conferma e quindi su Avanti.
    7. Nel pannello Informazioni directory immettere le informazioni seguenti.
      • Nome directory: nome della directory locale da creare in vCenter Server in cui sono archiviati gli utenti e i gruppi inviati da PingFederate. Ad esempio, vcenter- PingFederate-directory.
      • Nome dominio: immettere i nomi di dominio di PingFederate che contengono gli utenti e i gruppi di PingFederate che si desidera sincronizzare con vCenter Server.

        Dopo aver immesso il nome di dominio di PingFederate, fare clic sull'icona più (+) per aggiungerlo. Se si immettono più nomi di dominio, specificare il dominio predefinito.

    8. Fare clic su Avanti.
    9. Nel pannello OpenID Connect immettere le informazioni seguenti.
      • Interfaccia utente di reindirizzamento: compilata automaticamente. Questa interfaccia utente di reindirizzamento deve corrispondere all'interfaccia che si utilizza nella creazione dell'applicazione OpenID Connect in PingFederate.
      • Nome provider di identità: compilato automaticamente come PingFederate.
      • Identificatore client: ottenuto durante la creazione dell'applicazione OpenID Connect. (PingFederate fa riferimento all'identificatore client come ID client.)
      • Segreto condiviso: ottenuto durante la creazione dell'applicazione OpenID Connect in PingFederate. (PingFederate fa riferimento al segreto condiviso come segreto client.)
      • Indirizzo OpenID: assume il formato https://PingFederate_domain_space/idp/.well-known/openid-configuration.

        Ad esempio, se lo spazio del dominio PingFederate è example.PingFederate.com, l'indirizzo di OpenID è: https://example.PingFederate.com/idp/.well-known/openid-config

      • Certificato SSL: facoltativamente, cercare il certificato SSL di PingFederate, o la catena di certificati se il certificato non è stato emesso da un'autorità di certificazione pubblica nota, da caricare in vCenter Server. Per esportare il certificato SSL di PingFederate, nella console di amministrazione passare a Sicurezza > Certificati server SSL, selezionare il certificato predefinito e quindi Esporta dal menu a discesa Seleziona azione. Per ulteriori informazioni, vedere l'articolo Esportazione di un certificato all'indirizzo https://docs.pingidentity.com/r/en-us/pingfederate-111/nfv1585678806463. È possibile esportare il certificato SSL di PingFederate senza la chiave privata, perché non è necessaria per la configurazione di vCenter Server.
    10. Fare clic su Avanti.
    11. Rivedere le informazioni e fare clic su Fine.
      vCenter Server crea il provider di identità di PingFederate e visualizza le informazioni di configurazione.
  2. In Provisioning utente fare clic su Genera per creare il token segreto, selezionare la durata del token dal menu a discesa e quindi fare clic su Copia negli Appunti. Salvare il token in una posizione sicura.
    Quando si crea una connessione SP di PingFederate (applicazione SCIM), utilizzare il token per sincronizzare gli utenti e i gruppi di PingFederate in VMware Identity Services.

Operazioni successive

Continuare con Creazione dell'applicazione SCIM (connessione SP).