vSphere 8.0 Update 3 をインストールするか、vSphere 8.0 Update 3 にアップグレードした後、PingFederate に対して vCenter Server ID プロバイダ フェデレーションを外部 ID プロバイダとして構成できます。

PingFederate の vCenter Server ID プロバイダを構成する手順の概要

PingFederate 用の vCenter Server の構成には、次の手順が含まれます。

  1. PingFederate で、PingFederate ワークフローの範囲と一般的な構成などの vCenter Server/VMware Identity Services 固有の構成を作成すること。
  2. PingFederate で、パスワード付与フローの構成や認可コード フローの構成などのグローバル項目を作成すること。
  3. PingFederate で、SCIM Provisioner をインストールすること。
  4. vCenter Server で、PingFederate ID プロバイダを作成すること。
  5. PingFederate で、SCIM アプリケーション(SP 接続)を作成すること。
  6. vCenter Server で、PingFederate ユーザーを認証すること。
注: このドキュメントの手順では、PingFederate サーバ用の一般的なセットアップを作成します。実際の環境は異なる可能性があるため、別の選択を行うことになる場合があります。

PingFederate 用に vCenter Server ID プロバイダを構成するための前提条件

PingFederate の要件:

  • オンプレミスの PingFederate サーバをインストールしてあること。
  • PingFederate ID プロバイダを構成する vCenter Server から信頼できるルート証明書を取得して、PingFederate サーバにインポートする必要があります。
  • 証明書が自己署名されている場合(既知のパブリック認証局によって発行されていない場合)は、PingFederate SSL 証明書、または証明書チェーンを vCenter Server にインポートすることが必要な場合があります。PingFederate SSL 証明書、またはチェーン内のいずれかの証明書が既知の認証局によって発行されたものである場合、その証明書は vCenter Server によって自動的に信頼されるので、インポートする必要はありません。PingFederate サーバの SSL 証明書に 1 つ以上の中間署名機関を使用している場合は、証明書チェーン全体を含めます。

    PingFederate SSL 証明書をエクスポートするには、PingFederate の管理コンソールで [セキュリティ] > [SSL サーバ証明書] の順に移動し、デフォルトの証明書を選択して、[アクションの選択] ドロップダウンから [エクスポート] を選択します。

    ID プロバイダの構成ワークフローの一環として、[OpenID Connect] パネルの vSphere Client を使用して PingFederate SSL 証明書をインポートします。

  • OIDC ログインを実行し、ユーザーとグループの権限を管理するには、次の PingFederate アプリケーションを作成する必要があります。
    • サインオン方法として OpenID Connect を使用する PingFederate ネイティブ アプリケーション。このネイティブ アプリケーションには、認可コード、リフレッシュ トークン、リソース所有者パスワードの付与タイプが含まれている必要があります。
    • OAuth 2.0 ベアラー トークンを使用して PingFederate サーバと vCenter Server の間のユーザーおよびグループの同期を実行する System for Cross-domain Identity Management (SCIM) 2.0 アプリケーション(PingFederate では SP 接続と呼ばれます)。
  • vCenter Server と共有する PingFederate ユーザーおよびグループを特定しておく必要があります。この共有は SCIM の処理です(OIDC の処理ではありません)。

PingFederate の接続要件:

  • vCenter Server は、PingFederate 検出エンドポイントに接続可能で、さらに認可、トークン、JWKS、および検出エンドポイント メタデータにアドバタイズされているその他のエンドポイントに接続可能である必要があります。
  • PingFederate も、SCIM プロビジョニング用のユーザーとグループのデータを送信するために vCenter Server に接続できる必要があります。

vCenter Server の要件:

  • vSphere 8.0 Update 3
  • PingFederate ID ソースを作成する vCenter Server で、VMware Identity Services が有効になっていることを確認します。
    注: vSphere 8.0 Update 1 以降をインストールするか、vSphere 8.0 Update 1 以降にアップグレードすると、VMware Identity Services がデフォルトで有効になります。 vCenter Server 管理インターフェイスを使用して、VMware Identity Services のステータスを確認できます。 VMware Identity Services の停止と起動を参照してください。

vSphere の権限の要件:

  • フェデレーションされた認証に必要な vCenter Server ID プロバイダを作成、更新、削除するには、VcIdentityProviders.Manage 権限が必要です。ユーザーが ID プロバイダの設定情報のみを表示するように制限するには、VcIdentityProviders.Read 権限を割り当てます。

拡張リンク モードの要件:

  • 拡張リンク モード構成では、PingFederate に対する vCenter Server ID プロバイダ フェデレーションを構成できます。拡張リンク モード構成で PingFederate を構成する場合は、単一の vCenter Server システムで VMware Identity Services を使用するように PingFederate ID プロバイダを構成します。たとえば、拡張リンク モード構成が 2 つの vCenter Server システムで構成されている場合、PingFederate サーバとの通信には 1 台の vCenter Server とその VMware Identity Services のインスタンスが使用されます。この vCenter Server システムが使用できなくなった場合、ELM 構成内の他の vCenter Server 上の VMware Identity Services を PingFederate サーバと連携させるように構成できます。詳細については、拡張リンク モード構成での外部 ID プロバイダのアクティベーション プロセスを参照してください。
  • PingFederate を外部 ID プロバイダとして構成する場合、拡張リンク モード構成のすべての vCenter Server システムでは vSphere 8.0 Update 3 以降を実行する必要があります。