PingFederate の共通構成の作成では、アクセス トークン マネージャ、objectID 属性、OpenID Connect ポリシー、および OAuth クライアント アプリケーションの作成を行います。

前提条件

次のタスクを実行します。

PingFederate 管理コンソールに管理者アカウントでログインします。

手順

  1. アクセス トークン マネージャを作成します。
    1. [アプリケーション] > [OAuth] > [アクセス トークン管理] の順に移動します。
    2. [新規インスタンスの作成] をクリックします。
    3. [タイプ] タブで、次の手順を実行します。
      • [インスタンス名]:インスタンス名を入力します。たとえば、vIDB Access Token Manager などです。
      • [インスタンス ID]:インスタンス ID を入力します。たとえば、vIDB などです。
      • [タイプ][JSON Web トークン] を選択します。
      • [親インスタンス]:デフォルトの [なし] のままにします。
    4. [インスタンスの構成] タブで、次の手順を実行します。
      • [一元化署名キーを使用]:チェックボックスをオンにします。

        このチェックボックスをオフのままにすると、PingFederate では「アクティブな署名証明書キー ID」が構成されることが想定されます。

      • [JWS アルゴリズム]:アルゴリズムを選択します。たとえば、[SHA-256 を使用する RSA] とします。
      • 画面の下部にある [詳細フィールドを表示] をクリックします。
        • [JWT ID 要求の長さ]:0 よりも大きい数値を追加します。たとえば、24 と入力します。値を入力しない場合、JTI 要求はアクセス トークンに含まれません。
    5. [次へ] をクリックします。
    6. [アクセス トークン属性契約] タブで、次の手順を実行します。
      • [契約の拡張] テキスト ボックスに、Ping アクセス トークン内に生成する次の要求を追加します。各要求を入力した後、[追加] をクリックします。
        • [aud]
        • [iss]
        • [exp]
        • [iat]
        • [userName]
      • [サブジェクト属性名]:監査目的で使用する要求を 1 つ選択します。たとえば、[iss] です。
    7. [次へ] を 2 回クリックして [リソース URI] タブと [アクセス コントロール] タブをスキップします。
    8. [保存] をクリックします。
  2. objectGUID 属性を追加します。
    1. [システム] > [データ ストア] > [マイ データ ストア] > [LDAP 構成] の順に移動します。
    2. [LDAP 構成] タブで、下部にある [詳細] をクリックします。
    3. [LDAP バイナリ属性] タブの [バイナリ属性] 名前フィールドで、[objectGUID] を使用して [追加] をクリックします。
    4. [保存] をクリックします。
  3. OpenID Connect ポリシーを作成します。
    1. [アプリケーション] > [OAuth] > [OpenID Connect ポリシー管理] の順に移動します。
    2. [ポリシーの追加] をクリックします。
    3. [ポリシーの管理] タブで、次の手順を実行します。
      • [ポリシー ID]:ポリシー ID を入力します。たとえば、OIDC です。
      • [名前]:ポリシー名を入力します。たとえば、OIDC ポリシーです。
      • [アクセス トークン マネージャ]:作成済みのアクセス トークン マネージャを選択します。たとえば、vIDB Access Token Manager などです。
    4. [次へ] をクリックします。
    5. [属性契約] タブで、次の手順を実行します。
      • [削除] をクリックして、[sub] 以外のすべての属性を削除します。削除しない場合は、後から [契約の履行] タブで値に属性をマッピングする必要があります。
    6. [次へ] をクリックし、もう一度 [次へ] をクリックして [属性の範囲] タブをスキップします。
    7. [属性ソースとユーザーのルックアップ] タブで、[属性ソースの追加] をクリックします。
      次の各タブに情報を入力したら、 [次へ] をクリックして続行します。
      • [データ ストア]
        • [属性ソース ID]:属性ソース ID を入力します。たとえば、vIDBLDAP などです。
        • [属性ソースの説明]:説明を入力します。たとえば、vIDBLDAP などです。
        • [アクティブなデータ ストア]:ドロップダウンから Active Directory または OpenLDAP のドメイン名を選択します。
      • [LDAP ディレクトリ検索]
        • [ベース DN]:ユーザーとグループを検索する際のベース DN を入力します。
        • [検索範囲]:デフォルトの [サブツリー] のままにします。
        • [検索から返す属性][<すべての属性を表示>] を選択し、[objectGUID] を選択します。

          [属性の追加] をクリックします。

      • [LDAP バイナリ属性エンコード タイプ]
        • [ObjectGUID][属性エンコード タイプ] として [16 進] を選択します。
      • [LDAP フィルタ]
        • [フィルタ]:フィルタを入力します。たとえば、userPrincipalName=${userName} とします。
    8. [サマリ] 画面で、[完了] をクリックします。
    9. [次へ] をクリックして先に進み、[契約の履行] タブで ID トークンの [属性契約] をマッピングします。
      属性契約 ソース
      [sub] 作成済みの属性ソース ID を選択します。このドキュメントで使用されている例は、vIDBLDAP です。 [objectGUID]
    10. [次へ] をクリックし、もう一度 [次へ] をクリックして [保護条件] タブをスキップします。
    11. [保存] をクリックします。
  4. OAuth クライアント アプリケーションを作成します。
    1. [アプリケーション] > [OAuth] > [クライアント] の順に移動します。
    2. [クライアントの追加] をクリックします。
    3. [クライアント | クライアント] 画面で、次の手順を実行します。
      • [クライアント ID]:クライアント ID を入力します。たとえば、vIDB などです。
        注: クライアント ID をコピーして、後で PingFederate 用の vCenter Server ID プロバイダを作成するときのために保存します。
      • [名前]:名前を入力します。たとえば、vIDB などです。
      • [クライアント認証][クライアント シークレット] を選択します。
        • [クライアント シークレット]:自分のクライアント シークレットを入力するか、シークレットを生成します。この画面から離れると、シークレットを確認することはできません。シークレットを変更する以外の選択肢はありません。
          注: シークレットをコピーして、後で vCenter Server ID プロバイダを作成するときのために保存します。
      • [リダイレクト URI]:リダイレクト URI を https://vCenter_Server_FQDN:port/federation/t/CUSTOMER/auth/response/oauth2 の形式で入力します。
        • [追加] をクリックします。
      • [許可される付与タイプ][認可コード][リフレッシュ トークン][クライアント認証情報][リソース所有者パスワード認証情報] を確認します。
      • [デフォルトのアクセス トークン マネージャ]:作成済みのアクセス トークン マネージャを選択します。たとえば、このドキュメントで使用されているのは vIDB Access Token Manager です。
      • [OpenID Connect][ポリシー] で、作成済みの値を選択します。たとえば、このドキュメントで使用されているのは OIDC です。
    4. [保存] をクリックします。

次のタスク

この後は「パスワード付与フロー構成の作成」に続きます。