PingFederate에 대한 일반 구성 생성에는 액세스 토큰 관리자, objectID 특성, OpenID Connect 정책 및 OAuth 클라이언트 애플리케이션 생성이 포함됩니다.
사전 요구 사항
다음 작업을 완료합니다.
PingFederate 관리자 콘솔에 관리자 계정으로 로그인합니다.
프로시저
- 액세스 토큰 관리자를 생성합니다.
- 로 이동합니다.
- 새 인스턴스 생성을 클릭합니다.
- 유형 탭에서 다음을 수행합니다.
- 인스턴스 이름: 인스턴스 이름을 입력합니다. 예: vIDB 액세스 토큰 관리자.
- 인스턴스 ID: 인스턴스 ID를 입력합니다. 예: vIDB.
- 유형: JSON Web Token을 선택합니다.
- 상위 인스턴스: 기본값인 None을 그대로 둡니다.
- 인스턴스 구성 탭에서 다음을 수행합니다.
- 중앙 집중식 서명 키 사용: 확인란을 선택합니다.
이 확인란을 선택하지 않은 상태로 두면 PingFederate에서는 "활성 서명 인증서 키 ID"가 구성될 것으로 예상됩니다.
- JWS 알고리즘: 알고리즘을 선택합니다. 예: RSA using SHA-256.
- 화면 하단에서 고급 필드 표시를 클릭합니다.
- JWT ID 클레임 길이: 0보다 큰 숫자를 추가합니다. 예: 24. 값을 입력하지 않으면 액세스 토큰에서 JTI 클레임이 생략됩니다.
- 중앙 집중식 서명 키 사용: 확인란을 선택합니다.
- 다음을 클릭합니다.
- 액세스 토큰 특성 계약 탭에서 다음을 수행합니다.
- 계약 연장 텍스트 상자에 Ping 액세스 토큰에서 생성할 다음 클레임을 추가합니다. 각 클레임을 입력한 후 추가를 클릭합니다.
- aud
- iss
- exp
- iat
- userName
- 주체 특성 이름: 감사 목적으로 사용할 클레임을 하나 선택합니다. 예: iss.
- 계약 연장 텍스트 상자에 Ping 액세스 토큰에서 생성할 다음 클레임을 추가합니다. 각 클레임을 입력한 후 추가를 클릭합니다.
- 다음을 두 번 클릭하여 리소스 URI 및 액세스 제어 탭을 건너뜁니다.
- 저장을 클릭합니다.
- objectGUID 특성을 추가합니다.
- 으로 이동합니다.
- LDAP 구성 탭에서 아래쪽의 고급을 클릭합니다.
- LDAP 바이너리 특성 탭의 바이너리 특성 이름 필드에서 objectGUID를 사용하고 추가를 클릭합니다.
- 저장을 클릭합니다.
- OpenID Connect 정책을 생성합니다.
- 로 이동합니다.
- 정책 추가를 클릭합니다.
- 정책 관리 탭에서 다음을 수행합니다.
- 정책 ID: 정책 ID를 입력합니다. 예: OIDC.
- 이름: 정책 이름을 입력합니다. 예: OIDC 정책
- 액세스 토큰 관리자: 이전에 생성한 액세스 토큰 관리자를 선택합니다. 예: vIDB 액세스 토큰 관리자.
- 다음을 클릭합니다.
- 특성 계약 탭에서 다음을 수행합니다.
- 삭제를 클릭하여 sub을 제외한 모든 특성을 제거합니다. 그렇지 않으면 나중에 계약 이행 탭의 값에 특성을 매핑해야 합니다.
- 다음을 클릭한 후 다음을 다시 클릭하여특성 범위 탭을 건너뜁니다.
- 특성 소스 및 사용자 조회 탭에서 특성 소스 추가를 클릭합니다.
다음 각 탭에 정보를 입력한 후 다음을 클릭하여 진행합니다.
- 데이터스토어:
- 특성 소스 ID: 특성 소스 ID를 입력합니다. 예: vIDBLDAP.
- 특성 소스 설명: 설명을 입력합니다. 예: vIDBLDAP.
- 활성 데이터스토어: 드롭다운에서 Active Directory 또는 OpenLDAP 도메인 이름을 선택합니다.
- LDAP 디렉토리 검색:
- 기본 DN: 사용자 및 그룹을 찾을 기본 DN을 입력합니다.
- 검색 범위: 기본값인 하위 트리를 그대로 둡니다.
- 검색에서 반환할 특성: <모든 특성 표시>를 선택하고 objectGUID를 선택합니다.
특성 추가를 클릭합니다.
- LDAP 바이너리 특성 인코딩 유형:
- ObjectGUID: 특성 인코딩 유형으로 16진수를 선택합니다.
- LDAP 필터:
- 필터: 필터를 입력합니다. 예: userPrincipalName=${userName}.
- 데이터스토어:
- 요약 페이지에서 완료를 클릭합니다.
- 다음을 클릭하여 계속 진행하고 계약 이행 탭에서 ID 토큰에 대한 특성 계약을 매핑합니다.
특성 계약 소스 값 sub 이전에 생성된 특성 소스 ID를 선택합니다. 이 설명서에서 사용된 예는 vIDBLDAP입니다. objectGUID - 다음을 클릭한 후 다음을 다시 클릭하여 보험 조건 탭을 건너뜁니다.
- 저장을 클릭합니다.
- OAuth 클라이언트 애플리케이션을 생성합니다.
- 로 이동합니다.
- 클라이언트 추가를 클릭합니다.
- 클라이언트에서 | 클라이언트 페이지에서:
- 클라이언트 ID: 클라이언트 ID를 입력합니다. 예: vIDB.
참고: 클라이언트 ID를 복사하고 저장하여 나중에 PingFederate에 대한 vCenter Server ID 제공자를 생성할 때 사용할 수 있도록 합니다.
- 이름: 이름을 입력합니다. 예: vIDB.
- 클라이언트 인증: 클라이언트 암호를 선택합니다.
- 클라이언트 암호: 자신의 클라이언트 암호를 입력하거나 암호를 생성할 수 있습니다. 이 페이지에서 나가면 암호를 다시 볼 수 없습니다. 암호를 변경할 수 있는 옵션만 있습니다.
참고: 암호를 복사하고 저장하여 나중에 vCenter Server ID 제공자를 생성할 때 사용할 수 있도록 합니다.
- 클라이언트 암호: 자신의 클라이언트 암호를 입력하거나 암호를 생성할 수 있습니다. 이 페이지에서 나가면 암호를 다시 볼 수 없습니다. 암호를 변경할 수 있는 옵션만 있습니다.
- 리디렉션 URI: 리디렉션 URI를 https://vCenter_Server_FQDN:port/federation/t/CUSTOMER/auth/response/oauth2 형태로 입력합니다.
- 추가를 클릭합니다.
- 허용되는 부여 유형: 권한 부여 코드, 새로 고침 토큰, 클라이언트 자격 증명 및 리소스 소유자 암호 자격 증명을 확인합니다.
- 기본 액세스 토큰 관리자: 이전에 생성한 액세스 토큰 관리자를 선택합니다. 예를 들어 이 설명서에서 사용된 것은 vIDB 액세스 토큰 관리자입니다.
- OpenID Connect: 정책의 경우 이전에 생성한 정책을 선택합니다. 예를 들어 이 설명서에서 사용된 것은 OIDC입니다.
- 클라이언트 ID: 클라이언트 ID를 입력합니다. 예: vIDB.
- 저장을 클릭합니다.
다음에 수행할 작업
암호 부여 흐름 구성 생성 단계로 계속 진행합니다.