vSphere 8.0 Update 3 をインストールするか、vSphere 8.0 Update 3 にアップグレードした後、PingFederate に対して vCenter Server ID プロバイダ フェデレーションを外部 ID プロバイダとして構成できます。

vCenter Server は、1 つの構成されている外部 ID プロバイダ(1 つのソース)と、vsphere.local ID ソース(ローカル ソース)のみをサポートします。複数の外部 ID プロバイダを使用することはできません。vCenter Server ID プロバイダ フェデレーションは、vCenter Server へのユーザー ログインに OpenID Connect (OIDC) を使用します。

vCenter Server のグローバル権限またはオブジェクト権限による PingFederate グループとユーザーを使用して権限を構成できます。権限の追加の詳細については、ドキュメント『vSphere のセキュリティ』を参照してください。

前提条件

次の操作を行います。
PingFederate OpenID Connect アプリケーションに、次の情報があることを確認します。
  • クライアント識別子
  • クライアント シークレット(vSphere Client では共有シークレットとして表示)
  • Active Directory ドメイン情報または PingFederate ドメイン情報(Active Directory を実行していない場合)

手順

  1. vCenter Server で ID プロバイダを作成するには、次の手順を実行します。
    1. vSphere Client を使用して、vCenter Server に管理者としてログインします。
    2. [ホーム] > [管理] > [Single Sign-On] > [構成] の順に移動します。
    3. [プロバイダの変更] をクリックし、[PingFederate] を選択します。
      [メイン ID プロバイダの構成] ウィザードが開きます。
    4. [前提条件] パネルで、PingFederate と vCenter Server、およびその他の要件を確認します。
    5. [事前チェックを実行] をクリックします。
      事前チェックでエラーが検出された場合は、 [詳細表示] をクリックしてエラーを解決する手順を実行します。
    6. 事前チェックが終了したら、確認のチェックボックスをオンにして、[次へ] をクリックします。
    7. [ディレクトリ情報] パネルで、次の情報を入力します。
      • ディレクトリ名:PingFederate からプッシュされたユーザーとグループを格納する vCenter Server に作成するローカル ディレクトリの名前。vcenter-PingFederate-directory のように入力します。
      • ドメイン名:vCenter Server と同期する PingFederate ユーザーおよびグループを含む PingFederate ドメイン名を入力します。

        PingFederate ドメイン名を入力したら、プラス記号アイコン (+) をクリックして追加します。複数のドメイン名を入力する場合は、デフォルトのドメインを指定します。

    8. [次へ] をクリックします。
    9. [OpenID Connect] パネルで、次の情報を入力します。
      • リダイレクト URI:自動的に入力されます。このリダイレクト URI は、PingFederate で OpenID Connect アプリケーションを作成するときに使用するものと一致する必要があります。
      • ID プロバイダ名:「PingFederate」が自動的に入力されます。
      • クライアント識別子:OpenID Connect アプリケーションを作成したときに取得されます。(PingFederate では、クライアント識別子がクライアント ID と呼ばれます)。
      • 共有シークレット:PingFederate で OpenID Connect アプリケーションを作成したときに取得されます。(PingFederate では、共有シークレットがクライアント シークレットと呼ばれます)。
      • OpenID アドレス:https://PingFederate_domain_space/idp/.well-known/openid-configuration という形式になります。

        たとえば、PingFederate ドメイン領域が example.PingFederate.com の場合、OpenID アドレスは https://example.PingFederate.com/idp/.well-known/openid-config です。

      • SSL 証明書:必要に応じて、PingFederate SSL 証明書、または証明書チェーン(その証明書が既知のパブリック認証局によって発行されていなかった場合)を参照して、vCenter Server にアップロードします。PingFederate SSL 証明書をエクスポートするには、管理コンソールで [セキュリティ] > [SSL サーバ証明書] の順に移動し、デフォルトの証明書を選択して、[アクションの選択] ドロップダウンから [エクスポート] を選択します。詳細については、記事「Exporting a certificate」(https://docs.pingidentity.com/r/en-us/pingfederate-111/nfv1585678806463) を参照してください。プライベート キーは vCenter Server 構成には必要ないため、PingFederate SSL 証明書はプライベート キーなしでエクスポートできます。
    10. [次へ] をクリックします。
    11. 情報を確認し、[終了] をクリックします。
      vCenter Server で PingFederate ID プロバイダが作成されて、構成情報が表示されます。
  2. [ユーザー プロビジョニング][生成] をクリックしてシークレット トークンを作成し、ドロップダウンからトークンの有効期間を選択してから、[クリップボードにコピー] をクリックします。トークンを安全な場所に保存します。
    PingFederate SP 接続(SCIM アプリケーション)を作成するときは、トークンを使用して PingFederate ユーザーとグループを VMware Identity Services に同期します。

次のタスク

この後は SCIM アプリケーション(SP 接続)の作成に続きます。