La creazione della configurazione comune per PingFederate include la creazione di Access Token Manager, dell'attributo objectID, del criterio di OpenID Connect e dell'applicazione client OAuth.

Prerequisiti

Completare l'attività seguente:

Accedere alla console di amministrazione di PingFederate con un account amministratore.

Procedura

  1. Creare Access Token Manager.
    1. Passare a Applicazioni > OAuth > Access Token Manager.
    2. Fare clic su Crea nuova istanza.
    3. Nella scheda Tipo:
      • Nome istanza: immettere un nome per l'istanza. Ad esempio, vIDB Access Token Manager.
      • ID istanza: immettere l'ID istanza. Ad esempio, vIDB.
      • Tipo: selezionare Token Web JSON.
      • Istanza principale: lasciare il valore predefinito, ovvero Nessuna.
    4. Nella scheda Configurazione istanza:
      • Usa chiave di firma centralizzata: selezionare la casella di controllo.

        Se si lascia questa casella di controllo deselezionata, PingFederate si aspetta che venga configurata l'opzione "ID chiave certificato di firma attivo".

      • Algoritmo JWS: selezionare un algoritmo. Ad esempio, RSA con SHA-256.
      • Nella parte inferiore della schermata, fare clic su Visualizza campi avanzati.
        • Lunghezza attestazione ID JWT: aggiungere un numero maggiore di zero (0). Ad esempio, 24. Se non si immette alcun valore, l'attestazione JTI viene omessa nel token di accesso.
    5. Fare clic su Avanti.
    6. Nella scheda Contratto attributo token di accesso:
      • Nella casella di testo Estendi contratto aggiungere le attestazioni seguenti da generare nel token di accesso Ping. Fare clic su Aggiungi dopo aver immesso ogni attestazione.
        • aud
        • iss
        • exp
        • iat
        • userName
      • Nome attributo oggetto: selezionare un'attestazione da utilizzare a scopo di controllo. Ad esempio, iss.
    7. Fare clic due volte su Avanti per ignorare le schede URI risorse e Controllo degli accessi.
    8. Fare clic su Salva.
  2. Aggiungere l'attributo objectGUID.
    1. Passare a Sistema > Datastore > Datastore personale > Configurazione LDAP.
    2. Nella scheda Configurazione LDAP fare clic su Avanzate nella parte inferiore.
    3. Nella scheda Attributi binari LDAP, nel campo del nome Attributo binario utilizzare objectGUID e fare clic su Aggiungi.
    4. Fare clic su Salva.
  3. Creare il criterio di OpenID Connect.
    1. Passare ad Applicazioni > OAuth > Gestione criterio OpenID Connect.
    2. Fare clic su Aggiungi criterio.
    3. Nella scheda Gestisci criterio:
      • ID criterio: immettere un ID criterio. Ad esempio, OIDC.
      • Nome: immettere un nome per il criterio. Ad esempio, Criterio OIDC.
      • Access Token Manager: selezionare l'istanza di Access Token Manager creata in precedenza. Ad esempio, vIDB Access Token Manager.
    4. Fare clic su Avanti.
    5. Nella scheda Contratto attributo:
      • Fare clic su Elimina per rimuovere tutti gli attributi ad eccezione di sub. In caso contrario, sarà necessario mappare gli attributi a un valore nella scheda Adempimento contratto in un secondo momento.
    6. Fare clic su Avanti, quindi di nuovo su Avanti per ignorare la scheda Ambito attributi.
    7. Nella scheda Origini attributi e ricerca utente fare clic su Aggiungi origine attributo.
      Dopo aver immesso le informazioni in ogni scheda successiva, fare clic su Avanti per continuare.
      • Datastore:
        • ID origine attributo: immettere un ID origine dell'attributo. Ad esempio, vIDBLDAP.
        • Descrizione origine attributo: immettere una descrizione. Ad esempio, vIDBLDAP.
        • Datastore attivo: selezionare il nome di dominio Active Directory o OpenLDAP dal menu a discesa.
      • Ricerca directory LDAP:
        • DN di base: immettere il DN di base per trovare utenti e gruppi.
        • Ambito ricerca: lasciare il valore predefinito, ovvero Sottoalbero.
        • Attributi che la ricerca deve restituire: selezionare <Visualizza tutti gli attributi> e selezionare objectGUID.

          Fare clic su Aggiungi attributo.

      • Tipi di codifica attributi binari LDAP:
        • ObjectGUID: selezionare Hex in Tipo di codifica attributo.
      • Filtro LDAP:
        • Filtro: immettere un filtro. Ad esempio, userPrincipalName=${userName}.
    8. Nella pagina Riepilogo, fare clic su Fine.
    9. Fare clic su Avanti per continuare e nella scheda Adempimento contratto mappare Contratto attributo al token ID:
      Contratto attributo Origine Valore
      sub Selezionare l'ID origine attributo creato in precedenza. In questa documentazione, l'esempio utilizzato è vIDBLDAP. objectGUID
    10. Fare clic su Avanti, quindi di nuovo su Avanti per ignorare la scheda Criteri assicurazione.
    11. Fare clic su Salva.
  4. Creare l'applicazione client OAuth.
    1. Passare ad Applicazioni > OAuth > Client.
    2. Fare clic su Aggiungi client.
    3. Nella pagina Client | Client:
      • ID client: immettere l'ID client. Ad esempio, vIDB.
        Nota: Copiare e salvare l'ID client per utilizzarlo in un secondo momento durante la creazione del provider di identità di vCenter Server per PingFederate.
      • Nome: immettere un nome. Ad esempio, vIDB.
      • Autenticazione client: selezionare Segreto client.
        • Segreto client: è possibile immettere il proprio segreto client o generarne uno. Dopo essere usciti da questa pagina, non sarà più possibile visualizzare il segreto. Sarà possibile solo modificarlo.
          Nota: Copiare e salvare il segreto per utilizzarlo in un secondo momento durante la creazione del provider di identità di vCenter Server.
      • URI di reindirizzamento: immettere gli URI di reindirizzamento nel formato: https://vCenter_Server_FQDN:port/federation/t/CUSTOMER/auth/response/oauth2.
        • Fare clic su Aggiungi.
      • Tipi di concessione consentiti: verificare Codice di autorizzazione, Token di aggiornamento, Credenziali client e Credenziali password proprietario risorsa.
      • Access Token Manager predefinito: selezionare l'istanza di Access Token Manager creata in precedenza. Ad esempio, quella utilizzata in questa documentazione è vIDB Access Token Manager.
      • OpenID Connect: in Criterio selezionare quello creato in precedenza. Ad esempio, quello utilizzato in questa documentazione è OIDC.
    4. Fare clic su Salva.

Operazioni successive

Continuare con Creazione della configurazione del flusso di concessione della password.