La creazione di un'applicazione System for Cross-Domain Identity Management (SCIM) 2.0 è necessaria per poter specificare di quali utenti e gruppi di PingFederate eseguire il push in vCenter Server.

Prerequisiti

Completare le attività seguenti:

Procedura

  1. Aggiunta del certificato root attendibile di vCenter Server nel server PingFederate.
    Prima di iniziare, esportare i certificati root attendibili da vCenter Server. È possibile ottenere il certificato dal file system di vCenter Server all'indirizzo /var/lib/vmware/vmca/root.cer. In alternativa, vedere l'articolo della Knowledge Base all'indirizzo https://kb.vmware.com/s/article/2108294.
    1. Accedere alla console di amministrazione di PingFederate con un account amministratore.
    2. Passare a Sicurezza > Gestione chiavi e certificati.
    3. Selezionare CA attendibili e quindi fare clic su Importa per aggiungere il certificato SSL di vCenter Server.
    4. Se l'istanza del server PingFederate viene eseguita come immagine di container, potrebbe essere necessario riavviare il server per aggiungere il certificato all'archivio di attendibilità. Ad esempio:
      1. Connettersi al server PingFederate tramite SSH.
      2. Passare alla directory /root/ping.
      3. Eseguire i comandi seguenti:
        docker-compose down
docker-compose up
  2. Creare la connessione SP.
    1. Accedere alla console di amministrazione di PingFederate con un account amministratore.
    2. Passare ad Applicazioni > Integrazione > Connessioni SP.
    3. Fare clic su Crea connessione.
    4. Selezionare Usa modello per questa connessione e quindi selezionare Connectore SCIM dal menu a discesa.
      Se l'opzione Connettore SCIM non è presente nel menu a discesa, verificare di aver inserito il file .jar del connettore SCIM nella cartella corretta (ovvero la cartella /opt/out del server PingFederate).
    5. Fare clic su Avanti.
    6. Selezionare solo Provisioning in uscita e fare clic su Avanti.
    7. Nella scheda Informazioni generali:
      • ID entità (ID connessione) partner: aggiornare Connettore SCIM inserendo il nome desiderato.
      • Nome connessione: immettere un nome.
      • URL di base: immettere l'indirizzo HTTPS del vCenter Server in cui si sta configurando il provider di identità esterno di PingFederate, ad esempio: https://vcenter1.example.com.
    8. Fare clic su Avanti.
    9. Fare clic su Configura provisioning.
      Nella scheda Destinazione:
      • URL SCIM: immettere l'endpoint del gruppo di utenti.

        Si tratta dell'URL del tenant ottenuto in Provisioning utente nella pagina Configurazione di vCenter Server. Ad esempio: https://vcenter1.example.com/usergroup/t/CUSTOMER/scim/v2

      • Metodo di autenticazione: selezionare Token di connessione OAuth 2 dal menu a discesa.
      • Token di accesso: incollare il token segreto generato da vCenter Server e che dovrebbe essere stato salvato in precedenza. Vedere il Punto 2 in Configurazione della federazione del provider di identità di vCenter Server per PingFederate.
      • Identificatore utente univoco: selezionare userName dal menu a discesa.
      • Espressione filtro: copiare l'espressione seguente nella casella di testo: externalId eq "%s"
    10. Accettare gli altri valori delle impostazioni di configurazione predefinite e fare clic su Avanti.
      • Opzioni provisioning: sono selezionate le opzioni Creazione utente, Aggiornamento utente e Disabilitazione/Eliminazione utente.
      • Azione rimozione utente: è selezionata l'opzione Disabilita.
        Nota: Se l'opzione Disabilita è selezionata, quando gli utenti vengono eliminati da Active Directory, non vengono visualizzati automaticamente come "disabilitati" in VMware Identity Services. Si tratta di un comportamento previsto.
      • Origine nome gruppo: è selezionata l'opzione Nome comune.
    11. Nella scheda Gestisci canali fare clic su Crea.
      • Nella scheda Informazioni canale:
        • Nome canale: immettere un nome.
        • Accettare i valori predefiniti di N. massimo di thread e Timeout (sec).
    12. Fare clic su Avanti.
      • Nella scheda Origine:
        • Datastore attivo: scegliere il dominio di Active Directory.
    13. Fare clic su Avanti.
      • Nella scheda Posizione di origine:
        • DN di base: immettere il DN di base per trovare utenti e gruppi.
        • Utenti: personalizzare in base all'ambiente in uso. Ad esempio:
          • DN gruppo: non utilizzare questo campo.
          • Filtro: immettere (|(objectClass=person)(objectClass=organizationalPerson)(objectClass=user)).
        • Gruppi: personalizzare in base all'ambiente in uso. Ad esempio:
          • DN gruppo: non utilizzare questo campo.
          • Filtro: immettere (objectClass=group).
    14. Fare clic su Avanti.
    15. Accettare le impostazioni predefinite nella scheda Mappatura attributo.
    16. Fare clic su Avanti.
      Nella scheda Attivazione e riepilogo:
      • Stato canale: selezionare Attivo.
    17. Fare clic su Fine.
      Viene creata la connessione SP e viene visualizzata la schermata Connessioni SP.
    18. Fare clic su Fine.
    19. Nella scheda Provisioning in uscita fare clic su Avanti.
    20. Rivedere il riepilogo e fare clic su Salva.
    21. Per rendere attiva la connessione, spostare il dispositivo di scorrimento su Abilitata.

risultati

PingFederate ora esegue il push di utenti e gruppi dal datastore configurato in vCenter Server. Attendere qualche minuto che il push venga eseguito. È possibile visualizzare gli utenti e i gruppi sottoposti a push in vSphere Client. Passare ad Amministrazione > Single Sign-On > Utenti e gruppi e selezionare il dominio PingFederate.

Operazioni successive

Continuare con Configurazione di vCenter Server per l'autorizzazione di PingFederate.