SCIM 애플리케이션(SP 연결) 생성

vCenter Server에 푸시할 PingFederate 사용자 및 그룹을 지정할 수 있도록 SCIM(Cross-domain Identity Management) 2.0 애플리케이션용 시스템 생성이 필요합니다.

사전 요구 사항

다음 작업을 완료합니다.

프로시저

vCenter Server 신뢰할 수 있는 루트 인증서를 PingFederate 서버에 추가합니다.
시작하기 전에 vCenter Server에서 신뢰할 수 있는 루트 인증서를 내보냅니다. /var/lib/vmware/vmca/root.cer에 있는 vCenter Server의 파일 시스템에서 인증서를 가져올 수 있습니다. 또는 https://kb.vmware.com/s/article/2108294의 기술 자료 문서를 참조하십시오.
1. PingFederate 관리자 콘솔에 관리자 계정으로 로그인합니다.
2. 보안 > 인증서 및 키 관리로 이동합니다.
3. 신뢰할 수 있는 CA를 선택한 다음, 가져오기를 클릭하여 vCenter Server의 SSL 인증서를 추가합니다.
4. PingFederate 서버 인스턴스가 컨테이너 이미지로 실행 중인 경우 인증서를 신뢰 저장소에 추가하려면 서버를 다시 시작해야 할 수도 있습니다. 예:
  1. SSH를 사용하여 PingFederate 서버에 연결합니다.
  2. /root/ping 디렉토리로 변경합니다.
  3. 다음 명령을 실행합니다.
```
docker-compose down
docker-compose up
```
SP 연결을 생성합니다.
1. PingFederate 관리자 콘솔에 관리자 계정으로 로그인합니다.
2. 애플리케이션 > 통합 > SP 연결로 이동합니다.
3. 연결 생성을 클릭합니다.
4. 이 연결에 템플릿 사용을 선택하고 드롭다운에서 SCIM 커넥터를 선택합니다.
  SCIM 커넥터 옵션이 드롭다운에 나타나지 않으면 SCIM 커넥터 .jar 파일을 올바른 폴더(PingFederate 서버의 /opt/out 폴더)에 배치했는지 확인합니다.
5. 다음을 클릭합니다.
6. 아웃바운드 프로비저닝만 선택하고 다음을 클릭합니다.
7. 일반 정보 탭에서 다음을 수행합니다.
  - 파트너의 엔티티 ID(연결 ID): SCIM 커넥터를 원하는 이름으로 업데이트합니다.
  - 연결 이름: 이름을 입력합니다.
  - 기본 URL: PingFederate 외부 ID 제공자를 구성하는 vCenter Server의 HTTPS 주소를 입력합니다(예: https://vcenter1.example.com).
8. 다음을 클릭합니다.
9. 프로비저닝 구성을 클릭합니다.
  대상 탭에서 다음을 수행합니다.
  - SCIM URL: 사용자 그룹 끝점을 입력합니다.
    vCenter Server 구성 페이지의 사용자 프로비저닝에서 가져온 테넌트 URL입니다. 예: https://vcenter1.example.com/usergroup/t/CUSTOMER/scim/v2
  - 인증 방법: 드롭다운에서 OAuth 2 Bearer 토큰을 선택합니다.
  - 액세스 토큰: vCenter Server에서 생성되었으며 이전에 저장했어야 하는 비밀 토큰을 붙여넣습니다. PingFederate에 대한 vCenter Server ID 제공자 페더레이션 구성의 2단계를 참조하십시오.
  - 고유한 사용자 식별자: 드롭다운에서 userName을 선택합니다.
  - 필터 표현식: 다음 표현식을 텍스트 상자에 복사합니다. externalId eq "%s"
10. 나머지 기본 구성 설정 값을 수락하고 다음을 클릭합니다.
  - 프로비저닝 옵션: 사용자 생성, 사용자 업데이트 및 사용자 사용 안 함/삭제를 선택합니다.
  - 사용자 작업 제거: 사용 안 함이 선택되었습니다.
    참고: 사용 안 함을 선택한 경우 사용자가 Active Directory에서 삭제되면 VMware Identity Services에 자동으로 "사용 안 함"으로 표시되지 않습니다. 이는 예상되는 동작입니다.
    
    Active Directory에서는 다음 프로비저닝 주기에서 사용자를 삭제하는 대신 사용자 속성이 "active"="false"가 됩니다.
    
    다음 프로비저닝 주기에 Active Directory에서 다른 사용자가 생성되거나 업데이트될 때까지 사용자는 VMware Identity Services에서 "사용 안 함"으로 표시되지 않습니다. https://support.pingidentity.com/s/article/After-deleting-an-AD-user-account-SaaS-provisioner-does-not-remove-the-user-in-the-next-provisioning-cycle-when-Group-DN-is-specified의 해결 방법을 따르십시오.
  - 그룹 이름 소스: 일반 이름이 선택됩니다.
11. 채널 관리 탭에서 생성을 클릭합니다.
  - 채널 정보 탭에서 다음을 수행합니다.
    - 채널 이름: 이름을 입력합니다.
    - 최대 스레드 및 시간 초과(초) 기본값을 수락합니다.
12. 다음을 클릭합니다.
  - 소스 탭에서 다음을 수행합니다.
    - 활성 데이터스토어: Active Directory 도메인을 선택합니다.
13. 다음을 클릭합니다.
  - 소스 위치 탭에서 다음을 수행합니다.
    - 기본 DN: 사용자 및 그룹을 찾을 기본 DN을 입력합니다.
    - 사용자: 환경에 맞게 사용자 지정합니다. 예:
      
      그룹 DN: 사용하지 마십시오.
      
      필터: (|(objectClass=person)(objectClass=organizationalPerson)(objectClass=user))를 입력합니다.
    - 그룹: 환경에 맞게 사용자 지정합니다. 예:
      
      그룹 DN: 사용하지 마십시오.
      
      필터: (objectClass=group)을 입력합니다.
14. 다음을 클릭합니다.
15. 특성 매핑 탭에서 기본값을 수락합니다.
16. 다음을 클릭합니다.
  활성화 및 요약 탭에서 다음을 수행합니다.
  - 채널 상태: 활성을 선택합니다.
17. 완료를 클릭합니다.
  SP 연결이 생성되고 SP 연결 화면이 표시됩니다.
18. 완료를 클릭합니다.
19. 아웃바운드 프로비저닝 탭에서 다음을 클릭합니다.
20. 요약을 검토한 다음, 저장을 클릭합니다.
21. 연결을 활성화하려면 사용 슬라이더를 전환합니다.

결과

이제 PingFederate는 구성된 데이터스토어의 사용자 및 그룹을 vCenter Server로 푸시합니다. 푸시가 발생할 때까지 잠시 기다려 주십시오. vSphere Client에서 푸시된 사용자 및 그룹을 볼 수 있습니다. 관리 > Single Sign-On > 사용자 및 그룹으로 이동한 후 PingFederate 도메인을 선택합니다.

다음에 수행할 작업

PingFederate 권한 부여에 대한 vCenter Server 구성 단계로 계속 진행합니다.