Dopo l'installazione o l'aggiornamento a vSphere 8.0 Update 3, è possibile configurare la federazione del provider di identità di vCenter Server per PingFederate come provider di identità esterno.

Passaggi generali per configurare il provider di identità di vCenter Server per PingFederate

La configurazione di vCenter Server per PingFederate comporta i passaggi generali seguenti:

  1. In PingFederate, creare la configurazione specifica di vCenter Server/VMware Identity Services, inclusi gli ambiti e la configurazione comune per i workflow di PingFederate.
  2. In PingFederate, creare gli elementi globali, tra cui la configurazione del flusso di concessione della password e la configurazione del flusso del codice di autorizzazione.
  3. In PingFederate, installare lo strumento di provisioning di SCIM.
  4. In vCenter Server, creare il provider di identità di PingFederate.
  5. In PingFederate, creare l'applicazione SCIM (connessione SP).
  6. In vCenter Server, autorizzare gli utenti di PingFederate.
Nota: Le istruzioni contenute in questa documentazione consentono di creare una configurazione tipica per il server PingFederate. L'ambiente in uso potrebbe essere diverso e richiedere quindi selezioni diverse.

Prerequisiti per configurare il provider di identità di vCenter Server per PingFederate

Requisiti di PingFederate:

  • È stato installato un server PingFederate locale.
  • Dal vCenter Server in cui si configura il provider di identità di PingFederate, è necessario ottenere i certificati root attendibili e importarli nel server PingFederate.
  • Facoltativamente, potrebbe essere necessario importare il certificato SSL o la catena di certificati di PingFederate in vCenter Server, se tale certificato è autofirmato (ovvero non emesso da un'autorità di certificazione pubblica nota). Se il certificato SSL o uno dei certificati della catena di PingFederate è stato emesso da un'autorità di certificazione nota, vCenter Server considera automaticamente attendibile tale certificato e non è necessario importarlo. Se si utilizzano una o più autorità di firma intermedie per il certificato SSL del server PingFederate, includere l'intera catena di certificati.

    Per esportare il certificato SSL di PingFederate, nella console di amministrazione di PingFederate passare a Sicurezza > Certificati server SSL, selezionare il certificato predefinito e quindi Esporta dal menu a discesa Seleziona azione.

    Importare il certificato SSL di PingFederate utilizzando vSphere Client nel pannello OpenID Connect come parte del workflow di configurazione del provider di identità.

  • Per eseguire accessi OIDC e gestire le autorizzazioni di utenti e gruppi, è necessario creare le applicazioni di PingFederate seguenti.
    • Un'applicazione nativa di PingFederate con OpenID Connect come metodo di accesso. L'applicazione nativa deve includere i tipi di concessione del codice di autorizzazione, il token di aggiornamento e la password del proprietario della risorsa.
    • Un'applicazione System for Cross-domain Identity Management (SCIM) 2.0 (in PingFederate è denominata SP Connection) con un token di connessione OAuth 2.0 per eseguire la sincronizzazione di utenti e gruppi tra il server PingFederate e vCenter Server.
  • Sono stati identificati gli utenti e i gruppi di PingFederate che si desidera condividere con vCenter Server. Questa condivisione è un'operazione SCIM (non un'operazione OIDC).

Requisiti di connettività di PingFederate:

  • vCenter Server deve essere in grado di connettersi all'endpoint di rilevamento di PingFederate, nonché agli endpoint di autorizzazione, token, JWKS e a tutti gli altri endpoint annunciati nei metadati dell'endpoint di rilevamento.
  • PingFederate deve inoltre essere in grado di connettersi a vCenter Server per inviare i dati di utenti e gruppi per il provisioning di SCIM.

Requisiti di vCenter Server:

  • vSphere 8.0 Update 3
  • Nel vCenter Server in cui si desidera creare l'origine identità di PingFederate, verificare che VMware Identity Services sia attivato.
    Nota: Quando si installa o si esegue l'aggiornamento a vSphere 8.0 Update 1 o versione successiva, i VMware Identity Services vengono attivati per impostazione predefinita. È possibile utilizzare l'interfaccia di gestione di vCenter Server per verificare lo stato di VMware Identity Services. Vedere Arresto e avvio di VMware Identity Services.

Requisiti dei privilegi di vSphere:

  • È necessario disporre del privilegio VcIdentityProviders.Gestisci per creare, aggiornare o eliminare un provider di identità di vCenter Server necessario per l'autenticazione federata. Per limitare un utente alla sola visualizzazione delle informazioni di configurazione del provider di identità, assegnare il privilegio VcIdentityProviders.Lettura.

Requisiti della modalità collegata avanzata:

  • È possibile configurare la federazione del provider di identità di vCenter Server per PingFederate in una configurazione in modalità collegata avanzata. Quando si configura PingFederate in una configurazione in modalità collegata avanzata, si configura il provider di identità di PingFederate per l'utilizzo di VMware Identity Services in un singolo sistema vCenter Server. Ad esempio, se la configurazione in modalità collegata avanzata è costituita da due sistemi vCenter Server, solo un vCenter Server e la relativa istanza di VMware Identity Services vengono utilizzati per comunicare con il server PingFederate. Se questo sistema vCenter Server diventa non disponibile, è possibile configurare VMware Identity Services in altri vCenter Server nella configurazione ELM in modo che interagisca con il server PingFederate. Per ulteriori informazioni, vedere Processo di attivazione per provider di identità esterni nelle configurazioni in modalità collegata avanzata.
  • Quando si configura PingFederate come provider di identità esterno, tutti i sistemi vCenter Server in una configurazione in modalità collegata avanzata devono eseguire almeno vSphere 8.0 Update 3.