安裝或升級至 vSphere 8.0 Update 3 之後,您可以為 PingFederate (作為外部身分識別提供者) 設定 vCenter Server 身分識別提供者聯盟。

vCenter Server 僅支援一個設定的外部身分識別提供者 (一個來源) 和 vsphere.local 身分識別來源 (本機來源)。無法使用多個外部身分識別提供者。vCenter Server 身分識別提供者聯盟使用 OpenID Connect (OIDC),以供使用者登入 vCenter Server

可以透過 vCenter Server 中的全域或物件權限使用 PingFederate 群組和使用者設定權限。如需有關新增權限的詳細資料,請參閱vSphere 安全性說明文件。

必要條件

完成下列工作:
確保您擁有 PingFederate OpenID Connect 應用程式中的下列資訊:
  • 用戶端識別碼
  • 用戶端密碼 (在 vSphere Client 中顯示為共用密碼)
  • Active Directory 網域資訊或 PingFederate 網域資訊 (如果未執行 Active Directory)

程序

  1. 若要在 vCenter Server 上建立身分識別提供者,請執行下列作業:
    1. 使用 vSphere Client 以管理員身分登入 vCenter Server
    2. 移至首頁 > 管理 > Single Sign On > 組態
    3. 按一下變更提供者並選取 PingFederate
      設定主要身分識別提供者精靈隨即開啟。
    4. 必要條件面板中,檢閱 PingFederate 和 vCenter Server 以及其他需求。
    5. 按一下執行預先檢查
      如果預先檢查發現錯誤,請按一下 檢視詳細資料,然後按照指示採取措施,解決錯誤。
    6. 如果預先檢查通過,請按一下確認核取方塊,然後按下一步
    7. 目錄資訊面板中,輸入下列資訊。
      • 目錄名稱:要在 vCenter Server 上建立的本機目錄的名稱,該目錄用於儲存從 PingFederate 推送的使用者和群組。例如,vcenter-PingFederate-directory
      • 網域名稱:輸入 PingFederate 網域名稱,其中包含要與 vCenter Server 同步的 PingFederate 使用者和群組。

        輸入 PingFederate 網域名稱後,按一下加號圖示 (+) 進行新增。如果輸入多個網域名稱,請指定預設網域。

    8. 下一步
    9. OpenID Connect 面板中,輸入下列資訊。
      • 重新導向 UI:自動填寫。此重新導向 UI 必須與您在 PingFederate 中建立 OpenID Connect 應用程式時使用的內容相符。
      • 身分識別提供者名稱:自動填寫為 PingFederate。
      • 用戶端識別碼:在建立 OpenID Connect 應用程式時取得。(PingFederate 將用戶端識別碼稱為用戶端 ID。)
      • 共用密碼:在 PingFederate 中建立 OpenID Connect 應用程式時取得。(PingFederate 將共用密碼稱為用戶端密碼。)
      • OpenID 位址:採用 https://PingFederate_domain_space/idp/.well-known/openid-configuration 形式。

        例如,如果您的 PingFederate 網域空間為 example.PingFederate.com,則 OpenID 位址為:https://example.PingFederate.com/idp/.well-known/openid-config

      • SSL 憑證:(可選) 瀏覽 PingFederate SSL 憑證或憑證鏈結 (如果此憑證不是由知名公共憑證授權機構核發),以上傳到 vCenter Server。若要匯出 PingFederate SSL 憑證,請在管理主控台中移至安全性 > SSL 伺服器憑證,選取預設憑證,然後從選取動作下拉式功能表中選取匯出。如需詳細資訊,請參閱 https://docs.pingidentity.com/r/en-us/pingfederate-111/nfv1585678806463 上的〈匯出憑證〉一文。您可以匯出 PingFederate SSL 憑證而不使用私密金鑰,因為 vCenter Server 組態不需要。
    10. 下一步
    11. 檢閱資訊,然後按一下完成
      vCenter Server 會建立 PingFederate 身分識別提供者並顯示組態資訊。
  2. 使用者佈建下,按一下產生以建立密碼 Token,從下拉式清單中選取 Token 週期,然後按一下複製到剪貼簿。將 Token 儲存到安全位置。
    建立 PingFederate SP Connection (SCIM 應用程式) 時,可以使用 Token 將 PingFederate 使用者和群組同步到 VMware Identity Services 中。

下一步

繼續 建立 SCIM 應用程式 (SP 連線)