vCenter Server にプッシュする PingFederate ユーザーおよびグループを指定するには、System for Cross-domain Identity Management (SCIM) 2.0 アプリケーションを作成する必要があります。

前提条件

次の操作を行います。

手順

  1. vCenter Server の信頼できるルート証明書を PingFederate サーバに追加します。
    最初に、信頼できるルート証明書を vCenter Server からエクスポートします。証明書は、 /var/lib/vmware/vmca/root.cer にある vCenter Server のファイル システムから取得できます。または、 https://kb.vmware.com/s/article/2108294 にあるナレッジベースの記事を参照してください。
    1. PingFederate 管理コンソールに管理者アカウントでログインします。
    2. [セキュリティ] > [証明書とキー管理] の順に移動します。
    3. [信頼できる CA] を選択し、[インポート] をクリックして vCenter Server の SSL 証明書を追加します。
    4. PingFederate サーバ インスタンスがコンテナ イメージとして実行されている場合は、トラスト ストアに証明書を追加するためにサーバの再起動が必要な場合があります。例:
      1. SSH を使用して PingFederate サーバに接続します。
      2. /root/ping ディレクトリに移動します。
      3. 次のコマンドを実行します。
        docker-compose down
docker-compose up
  2. SP 接続を作成します。
    1. PingFederate 管理コンソールに管理者アカウントでログインします。
    2. [アプリケーション] > [統合] > [SP 接続] の順に移動します。
    3. [接続の作成] をクリックします。
    4. [この接続にテンプレートを使用する] を選択し、ドロップダウンから [SCIM コネクタ] を選択します。
      [SCIM コネクタ] オプションがドロップダウンに表示されない場合は、SCIM コネクタの .jar ファイルを正しいフォルダ(PingFederate サーバの /opt/out フォルダ)に配置してあるかどうかを確認します。
    5. [次へ] をクリックします。
    6. [送信プロビジョニング] のみを選択し、[次へ] をクリックします。
    7. [全般情報] タブで、次の手順を実行します。
      • [パートナーのエンティティ ID(接続 ID)][SCIM コネクタ] を任意の名前に更新します。
      • [接続名]:名前を入力します。
      • [ベース URL]:PingFederate 外部 ID プロバイダを構成する vCenter Server の HTTPS アドレスを入力します(例:https://vcenter1.example.com)。
    8. [次へ] をクリックします。
    9. [プロビジョニングの構成] をクリックします。
      [ターゲット] タブで、次の手順を実行します。
      • [SCIM URL]:ユーザーグループのエンドポイントを入力します。

        これは、vCenter Server の [構成] 画面にある [ユーザー プロビジョニング] で取得できるテナント URL です。例:https://vcenter1.example.com/usergroup/t/CUSTOMER/scim/v2

      • [認証方法]:ドロップダウンから [OAuth 2 ベアラー トークン] を選択します。
      • [アクセス トークン]:vCenter Server から生成され、保存しておいたシークレット トークンを貼り付けます。「PingFederate に対する vCenter Server ID プロバイダ フェデレーションの構成」の手順 2 を参照してください。
      • [一意のユーザー ID]:ドロップダウンから [userName] を選択します。
      • [フィルタ式]:次の式をテキスト ボックスにコピーします。externalId eq "%s"
    10. デフォルトの構成の他の部分は設定値を受け入れて、[次へ] をクリックします。
      • [プロビジョニング オプション][ユーザー作成][ユーザー更新][ユーザー無効化/削除] がオンになっています。
      • [ユーザー アクションの削除][無効] が選択されています。
        注: [無効] を選択すると、ユーザーが Active Directory から削除されても VMware Identity Services では自動的に「無効」と表示されません。これは、想定どおりの動作です。
      • [グループ名ソース][共通名] が選択されています。
    11. [チャネルの管理] タブで [作成] をクリックします。
      • [チャネル情報]タブで、次の手順を実行します。
        • [チャネル名]:名前を入力します。
        • [最大スレッド数][タイムアウト(秒)] のデフォルト値を受け入れます。
    12. [次へ] をクリックします。
      • [ソース] タブで、次の手順を実行します。
        • [アクティブなデータ ストア]:Active Directory ドメインを選択します。
    13. [次へ] をクリックします。
      • [ソースの場所] タブで、次の手順を実行します。
        • [ベース DN]:ユーザーとグループを検索する際のベース DN を入力します。
        • [ユーザー]:環境に合わせてカスタマイズします。例:
          • [グループ DN]:使用しません。
          • [フィルタ](|(objectClass=person)(objectClass=organizationalPerson)(objectClass=user)) と入力します。
        • グループ:環境に合わせてカスタマイズします。例:
          • [グループ DN]:使用しません。
          • [フィルタ](objectClass=group) と入力します。
    14. [次へ] をクリックします。
    15. [属性マッピング] タブで、デフォルトの設定を受け入れます。
    16. [次へ] をクリックします。
      [アクティベーションとサマリ] タブで、次の手順を実行します。
      • [チャネル ステータス][有効] を選択します。
    17. [終了] をクリックします。
      SP 接続が作成され、[SP 接続] 画面が表示されます。
    18. [終了] をクリックします。
    19. [送信プロビジョニング] タブで、[次へ] をクリックします。
    20. サマリを確認し、[保存] をクリックします。
    21. 接続を有効にするには、[有効] スライダを切り替えます。

結果

これによって PingFederate は、構成されたデータ ストアからユーザーとグループを vCenter Server にプッシュします。プッシュが実行されるまで待機します。プッシュされたユーザーとグループを vSphere Client で確認できます。[管理] > [Single Sign-On] > [ユーザーおよびグループ] の順に移動し、PingFederate ドメインを選択します。

次のタスク

この後は「PingFederate 認証用の vCenter Server の構成」に続きます。