PingFederate가 vCenter Server를 인증하려면 암호 부여 흐름을 설정합니다.

사전 요구 사항

PingFederate 관리자 콘솔에 관리자 계정으로 로그인합니다.

프로시저

  1. 암호 자격 증명 유효성 검사기를 생성합니다.
    1. 시스템 > 데이터 및 자격 증명 저장소 > 암호 자격 증명 유효성 검사기로 이동합니다.
    2. 새 인스턴스 생성을 클릭합니다.
    3. 암호 자격 증명 유효성 검사기 | 새 인스턴스 생성 페이지에서 각 탭에 대해 다음과 같이 정보를 입력한 후 다음을 클릭하여 진행합니다.
      • 유형 탭에서 다음을 수행합니다.
        • 인스턴스 이름: 인스턴스 이름을 입력합니다. 예: vIDB Validator.
        • 인스턴스 ID: 인스턴스 ID를 입력합니다. 예: vIDB.
        • 유형: LDAP 사용자 이름 암호 자격 증명 유효성 검사기를 선택합니다.
      • 인스턴스 구성 탭에서 다음을 수행합니다.
        • LDAP 데이터스토어: 사용 중인 데이터스토어를 선택합니다.
        • 검색 기준: 사용자 및 그룹을 찾을 기본 DN을 입력합니다.
        • 검색 필터: 필터를 입력합니다. 예: userPrincipalName=${username}.
        • 검색 범위: 하위 트리를 선택합니다.
      • 연장된 계약 탭에서 다음을 수행합니다.
        • 기본적으로 다음이 추가됩니다.
          • DN
          • 이메일
          • givenName
          • username
    4. 다음을 클릭한 후 저장을 클릭합니다.
  2. 권한 부여 서버 설정에서 유효성 검사기를 매핑합니다.
    1. 시스템 > OAuth 설정 > 권한 부여 서버 설정으로 이동합니다.
    2. 암호 자격 증명 유효성 검사기에서 이전에 생성한 것을 선택합니다. 예를 들어 이 설명서에서는 vIDB Validator를 사용합니다.
    3. 저장을 클릭합니다.
  3. 리소스 소유자 자격 증명 부여 매핑을 생성합니다.
    1. 인증 > OAuth > 리소스 소유자 자격 증명 매핑으로 이동합니다.
    2. 리소스 소유자 자격 증명 부여 매핑 창에서 다음을 수행합니다.
      • 소스 암호 유효성 검사기 인스턴스: 이전에 생성한 항목을 선택하고 매핑 추가를 클릭합니다.
    3. 리소스 소유자 자격 증명 부여 매핑 | 리소스 소유자 자격 증명 매핑 페이지에서 다음을 클릭하여 특성 소스 및 사용자 조회 탭을 건너뜁니다.
    4. 계약 이행 탭에서 다음을 수행합니다.
      • USER_KEY의 경우 암호 자격 증명 유효성 검사기를 선택하고 username을 선택합니다.
    5. 다음을 클릭하여 보험 조건 탭을 건너뛴 후 저장을 클릭합니다.
  4. 액세스 토큰 매핑 생성 - 암호 자격 증명 유효성 검사기를 액세스 토큰 관리자에 매핑합니다.
    이 매핑은 암호 부여 워크플로에 필요합니다. 매핑이 없으면 PingFederate는 다음 오류를 기록합니다.

    선택한 클라이언트 및 인증 컨텍스트에 사용할 수 있는 액세스 토큰 관리자가 없습니다.

    1. 애플리케이션 > 액세스 토큰 매핑으로 이동합니다.
      • 컨텍스트: 이전에 생성한 항목을 선택합니다. 예를 들어 이 설명서에서는 vIDB Validator를 사용합니다.
      • 액세스 토큰 관리자: 이전에 생성한 항목을 선택합니다. 예를 들어 이 설명서에서는 vIDB 액세스 토큰 관리자를 사용합니다.
    2. 매핑 추가를 클릭합니다.
    3. 다음을 클릭하여 특성 소스 및 사용자 조회 탭을 건너뜁니다.
    4. 계약 이행 탭에서 다음 표를 사용합니다.
      계약 소스
      aud 컨텍스트 이전에 생성된 클라이언트 ID입니다. 예를 들어 이 설명서에 사용된 ID는 vIDB입니다.
      exp 매핑 없음 -
      iat 표현식 다음을 입력합니다.

      @org.jose4j.jwt.NumericDate@now().getValue()

      iss 표현식

      (표시되지 않으면 https://docs.pingidentity.com/r/en-us/pingfederate-120/pf_enable_disable_express에서 PingFederate 설명서를 참조하십시오.)

      다음을 입력합니다.
      #tmp=#this.get("context.HttpRequest").getObjectValue().getRequestURL().toString(), #url=new java.net.URL(#tmp), #protocol=#url.getProtocol(), #host=#url.getHost(),#port=#url.getPort(), #result=(#port != -1) ? @java.lang.String@format("%s://%s:%d", #protocol, #host, #port) : @java.lang.String@format("%s://%s", #protocol, #host, #port)
      userName 매핑 없음

      -

      이 계약은 나중에 LDAP 필터에서 권한 부여 코드에 대한 OIDC 정책 워크플로에 사용됩니다. PingFederate 워크플로에는 필요하지 않습니다.

    5. 다음을 클릭하여 보험 조건 탭을 건너뛴 후 저장을 클릭합니다.

다음에 수행할 작업

인증 코드 흐름 구성 생성 단계로 계속 진행합니다.