Per consentire a PingFederate di eseguire l'autenticazione in vCenter Server, configurare il flusso di concessione della password.

Prerequisiti

Completare le attività seguenti:

Accedere alla console di amministrazione di PingFederate con un account amministratore.

Procedura

  1. Creare la convalida delle credenziali della password.
    1. Passare a Sistema > Archivi dati e credenziali > Convalida credenziali password.
    2. Fare clic su Crea nuova istanza.
    3. Nella pagina Convalida credenziali password | Crea nuova istanza, immettere le informazioni seguenti per ciascuna scheda e quindi fare clic su Avanti per continuare.
      • Nella scheda Tipo:
        • Nome istanza: immettere il nome dell'istanza. Ad esempio, Convalida vIDB.
        • ID istanza: immettere l'ID istanza. Ad esempio, vIDB.
        • Tipo: selezionare Convalida credenziali nome utente e password LDAP.
      • Nella scheda Configurazione istanza:
        • Datastore LDAP: selezionare il datastore in uso.
        • Ricerca di base: immettere il DN di base per trovare utenti e gruppi.
        • Filtro di ricerca: immettere un filtro. Ad esempio, userPrincipalName=${username}.
        • Ambito ricerca: selezionare Sottoalbero.
      • Nella scheda Contratto esteso:
        • Per impostazione predefinita, vengono aggiunti i valori seguenti:
          • DN
          • email
          • givenName
          • username
    4. Fare clic su Avanti e quindi su Salva.
  2. Mappare la convalida nelle impostazioni del server di autorizzazione.
    1. Passare a Sistema > Impostazioni OAuth > Impostazioni server di autorizzazione.
    2. In Convalida credenziali password selezionare quella creata in precedenza. Ad esempio, questa documentazione utilizza Convalida vIDB.
    3. Fare clic su Salva.
  3. Creare la mappatura della concessione delle credenziali del proprietario della risorsa.
    1. Passare ad Autenticazione > OAuth > Mappatura credenziali proprietario risorsa.
    2. Nella finestra Mappatura concessione credenziali proprietario risorsa:
      • Istanza convalida password di origine: selezionare quella creata in precedenza e fare clic su Aggiungi mappatura.
    3. Nella pagina Mappatura concessione credenziali proprietario risorsa | Mappatura credenziali proprietario risorsa fare clic su Avanti per ignorare la scheda Origini attributi e ricerca utente.
    4. Nella scheda Adempimento contratto:
      • In USER_KEY, selezionare Convalida credenziali password e in Valore selezionare nomeutente.
    5. Fare clic su Avanti per ignorare la scheda Criteri assicurazione e quindi fare clic su Salva.
  4. Creare la mappatura del token di accesso: mappare la convalida delle credenziali della password ad Access Token Manager.
    Questa mappatura è necessaria per il workflow di concessione della password. Se la mappatura non esiste, PingFederate genera l'errore seguente:

    Non sono disponibili Access Token Manager per il client e il contesto di autenticazione selezionati.

    1. Passare ad Applicazioni > Mappature token di accesso.
      • Contesto: selezionare quello creato in precedenza. Ad esempio, questa documentazione utilizza Convalida vIDB.
      • Access Token Manager: selezionare quello creato in precedenza. Ad esempio, questa documentazione utilizza vIDB Access Token Manager.
    2. Fare clic su Aggiungi mappatura.
    3. Fare clic su Avanti per ignorare la scheda Origini attributi e ricerca utente.
    4. Nella scheda Adempimento contratto utilizzare la tabella seguente.
      Contratto Origine Valore
      aud Contesto L'ID client creato in precedenza. Ad esempio, l'ID utilizzato in questa documentazione è vIDB.
      exp Nessuna mappatura -
      iat Espressione Immettere quanto segue:

      @org.jose4j.jwt.NumericDate@now().getValue()
      iss Espressione

      Se non è visibile, vedere la documentazione di PingFederate all'indirizzo https://docs.pingidentity.com/r/en-us/pingfederate-120/pf_enable_disable_express.

      		 Immettere quanto segue: 
      #tmp=#this.get("context.HttpRequest").getObjectValue().getRequestURL().toString(), #url=new java.net.URL(#tmp), #protocol=#url.getProtocol(), #host=#url.getHost(),#port=#url.getPort(), #result=(#port != -1) ? @java.lang.String@format("%s://%s:%d", #protocol, #host, #port) : @java.lang.String@format("%s://%s", #protocol, #host, #port)
      userName Nessuna mappatura

      -

      Questo contratto verrà utilizzato in un secondo momento nel filtro LDAP per il criterio OIDC per il workflow del codice di autorizzazione. Per il workflow di PingFederate, non è necessario.
    5. Fare clic su Avanti per ignorare la scheda Criteri assicurazione e quindi fare clic su Salva.

Operazioni successive

Continuare con Creazione della configurazione del flusso del codice di autorizzazione.