PingFederate에 대한 일반 구성 생성에는 액세스 토큰 관리자, objectID 특성, OpenID Connect 정책 및 OAuth 클라이언트 애플리케이션 생성이 포함됩니다.

사전 요구 사항

다음 작업을 완료합니다.

PingFederate 관리자 콘솔에 관리자 계정으로 로그인합니다.

프로시저

  1. 액세스 토큰 관리자를 생성합니다.
    1. 애플리케이션 > OAuth > 액세스 토큰 관리로 이동합니다.
    2. 새 인스턴스 생성을 클릭합니다.
    3. 유형 탭에서 다음을 수행합니다.
      • 인스턴스 이름: 인스턴스 이름을 입력합니다. 예: vIDB 액세스 토큰 관리자.
      • 인스턴스 ID: 인스턴스 ID를 입력합니다. 예: vIDB.
      • 유형: JSON Web Token을 선택합니다.
      • 상위 인스턴스: 기본값인 None을 그대로 둡니다.
    4. 인스턴스 구성 탭에서 다음을 수행합니다.
      • 중앙 집중식 서명 키 사용: 확인란을 선택합니다.

        이 확인란을 선택하지 않은 상태로 두면 PingFederate에서는 "활성 서명 인증서 키 ID"가 구성될 것으로 예상됩니다.

      • JWS 알고리즘: 알고리즘을 선택합니다. 예: RSA using SHA-256.
      • 화면 하단에서 고급 필드 표시를 클릭합니다.
        • JWT ID 클레임 길이: 0보다 큰 숫자를 추가합니다. 예: 24. 값을 입력하지 않으면 액세스 토큰에서 JTI 클레임이 생략됩니다.
    5. 다음을 클릭합니다.
    6. 액세스 토큰 특성 계약 탭에서 다음을 수행합니다.
      • 계약 연장 텍스트 상자에 Ping 액세스 토큰에서 생성할 다음 클레임을 추가합니다. 각 클레임을 입력한 후 추가를 클릭합니다.
        • aud
        • iss
        • exp
        • iat
        • userName
      • 주체 특성 이름: 감사 목적으로 사용할 클레임을 하나 선택합니다. 예: iss.
    7. 다음을 두 번 클릭하여 리소스 URI액세스 제어 탭을 건너뜁니다.
    8. 저장을 클릭합니다.
  2. objectGUID 특성을 추가합니다.
    1. 시스템 > 데이터스토어 > 내 데이터스토어 > LDAP 구성으로 이동합니다.
    2. LDAP 구성 탭에서 아래쪽의 고급을 클릭합니다.
    3. LDAP 바이너리 특성 탭의 바이너리 특성 이름 필드에서 objectGUID를 사용하고 추가를 클릭합니다.
    4. 저장을 클릭합니다.
  3. OpenID Connect 정책을 생성합니다.
    1. 애플리케이션 > OAuth > OpenID Connect 정책 관리로 이동합니다.
    2. 정책 추가를 클릭합니다.
    3. 정책 관리 탭에서 다음을 수행합니다.
      • 정책 ID: 정책 ID를 입력합니다. 예: OIDC.
      • 이름: 정책 이름을 입력합니다. 예: OIDC 정책
      • 액세스 토큰 관리자: 이전에 생성한 액세스 토큰 관리자를 선택합니다. 예: vIDB 액세스 토큰 관리자.
    4. 다음을 클릭합니다.
    5. 특성 계약 탭에서 다음을 수행합니다.
      • 삭제를 클릭하여 sub을 제외한 모든 특성을 제거합니다. 그렇지 않으면 나중에 계약 이행 탭의 값에 특성을 매핑해야 합니다.
    6. 다음을 클릭한 후 다음을 다시 클릭하여특성 범위 탭을 건너뜁니다.
    7. 특성 소스 및 사용자 조회 탭에서 특성 소스 추가를 클릭합니다.
      다음 각 탭에 정보를 입력한 후 다음을 클릭하여 진행합니다.
      • 데이터스토어:
        • 특성 소스 ID: 특성 소스 ID를 입력합니다. 예: vIDBLDAP.
        • 특성 소스 설명: 설명을 입력합니다. 예: vIDBLDAP.
        • 활성 데이터스토어: 드롭다운에서 Active Directory 또는 OpenLDAP 도메인 이름을 선택합니다.
      • LDAP 디렉토리 검색:
        • 기본 DN: 사용자 및 그룹을 찾을 기본 DN을 입력합니다.
        • 검색 범위: 기본값인 하위 트리를 그대로 둡니다.
        • 검색에서 반환할 특성: <모든 특성 표시>를 선택하고 objectGUID를 선택합니다.

          특성 추가를 클릭합니다.

      • LDAP 바이너리 특성 인코딩 유형:
        • ObjectGUID: 특성 인코딩 유형으로 16진수를 선택합니다.
      • LDAP 필터:
        • 필터: 필터를 입력합니다. 예: userPrincipalName=${userName}.
    8. 요약 페이지에서 완료를 클릭합니다.
    9. 다음을 클릭하여 계속 진행하고 계약 이행 탭에서 ID 토큰에 대한 특성 계약을 매핑합니다.
      특성 계약 소스
      sub 이전에 생성된 특성 소스 ID를 선택합니다. 이 설명서에서 사용된 예는 vIDBLDAP입니다. objectGUID
    10. 다음을 클릭한 후 다음을 다시 클릭하여 보험 조건 탭을 건너뜁니다.
    11. 저장을 클릭합니다.
  4. OAuth 클라이언트 애플리케이션을 생성합니다.
    1. 애플리케이션 > OAuth > 클라이언트로 이동합니다.
    2. 클라이언트 추가를 클릭합니다.
    3. 클라이언트에서 | 클라이언트 페이지에서:
      • 클라이언트 ID: 클라이언트 ID를 입력합니다. 예: vIDB.
        참고: 클라이언트 ID를 복사하고 저장하여 나중에 PingFederate에 대한 vCenter Server ID 제공자를 생성할 때 사용할 수 있도록 합니다.
      • 이름: 이름을 입력합니다. 예: vIDB.
      • 클라이언트 인증: 클라이언트 암호를 선택합니다.
        • 클라이언트 암호: 자신의 클라이언트 암호를 입력하거나 암호를 생성할 수 있습니다. 이 페이지에서 나가면 암호를 다시 볼 수 없습니다. 암호를 변경할 수 있는 옵션만 있습니다.
          참고: 암호를 복사하고 저장하여 나중에 vCenter Server ID 제공자를 생성할 때 사용할 수 있도록 합니다.
      • 리디렉션 URI: 리디렉션 URI를 https://vCenter_Server_FQDN:port/federation/t/CUSTOMER/auth/response/oauth2 형태로 입력합니다.
        • 추가를 클릭합니다.
      • 허용되는 부여 유형: 권한 부여 코드, 새로 고침 토큰, 클라이언트 자격 증명리소스 소유자 암호 자격 증명을 확인합니다.
      • 기본 액세스 토큰 관리자: 이전에 생성한 액세스 토큰 관리자를 선택합니다. 예를 들어 이 설명서에서 사용된 것은 vIDB 액세스 토큰 관리자입니다.
      • OpenID Connect: 정책의 경우 이전에 생성한 정책을 선택합니다. 예를 들어 이 설명서에서 사용된 것은 OIDC입니다.
    4. 저장을 클릭합니다.

다음에 수행할 작업

암호 부여 흐름 구성 생성 단계로 계속 진행합니다.