建立 SCIM 應用程式 (SP 連線)

需要建立跨網域身分識別管理系統 (SCIM) 2.0 應用程式，以便指定要推送到 vCenter Server 的 PingFederate 使用者和群組。

必要條件

完成下列工作：

程序

將 vCenter Server 受信任的根憑證新增到 PingFederate 伺服器。
開始之前，從 vCenter Server 匯出受信任的根憑證。可從 /var/lib/vmware/vmca/root.cer 上的 vCenter Server 的檔案系統中取得憑證。或者，請參閱知識庫文章，網址為 https://kb.vmware.com/s/article/2108294。
1. 使用管理員帳戶登入 PingFederate 管理主控台。
2. 移至安全性 > 憑證和金鑰管理。
3. 選取受信任的 CA，然後按一下匯入以新增 vCenter Server 的 SSL 憑證。
4. 如果 PingFederate 伺服器執行個體正在做為容器映像執行，您可能需要重新啟動伺服器以將憑證新增到信任存放區。例如：
  1. 使用 SSH 連線到 PingFederate 伺服器。
  2. 變更為 /root/ping 目錄。
  3. 執行下列命令：
```
docker-compose down
docker-compose up
```
建立 SP 連線。
1. 使用管理員帳戶登入 PingFederate 管理主控台。
2. 移至應用程式 > 整合 > SP 連線。
3. 按一下建立連線。
4. 選取使用此連線的範本，然後從下拉式功能表中選取 SCIM Connector。
  如果下拉式功能表中未顯示 SCIM Connector 選項，請檢查是否已將 SCIM Connector .jar 檔案置於正確的資料夾 (PingFederate 伺服器的 /opt/out 資料夾) 中。
5. 按下一步。
6. 僅選取輸出佈建，然後按下一步。
7. 在一般資訊索引標籤上：
  - 合作夥伴的實體識別碼 (連線識別碼)：將 SCIM Connector 更新為您選擇的名稱。
  - 連線名稱：輸入名稱。
  - 基底 URL：輸入要在其中設定 PingFederate 外部身分識別提供者的 vCenter Server 的 HTTPS 位址，例如：https://vcenter1.example.com。
8. 按下一步。
9. 按一下設定佈建。
  在目標索引標籤上：
  - SCIM URL：輸入使用者群組端點。
    這是在 vCenter Server 的組態頁面上的使用者佈建下取得的承租人 URL。例如：https://vcenter1.example.com/usergroup/t/CUSTOMER/scim/v2
  - 驗證方法：從下拉式功能表中選取 OAuth 2 Bearer Token。
  - 存取 Token：貼上從 vCenter Server 產生且之前應已儲存的密碼 Token。請參閱為 PingFederate 設定 vCenter Server 身分識別提供者聯盟中的步驟 2。
  - 唯一使用者識別碼：從下拉式功能表中選取 userName。
  - 篩選運算式：將以下運算式複製到文字方塊中：externalId eq "%s"
10. 接受其餘預設組態設定值，然後按下一步。
  - 佈建選項：已選中使用者建立、使用者更新和使用者停用/刪除。
  - 移除使用者動作：已選取停用。
    備註：選取停用後，從 Active Directory 中刪除使用者時，這些使用者不會在 VMware Identity Services 中自動顯示為 [已停用] 。此為預期中的行為。
    
    在 Active Directory 中，不會在下一個佈建週期中刪除使用者，而是將該使用者的內容變為 “active”=“false”。
    
    在下一個佈建週期中在 Active Directory 中建立或更新另一個使用者，並且您遵循 https://support.pingidentity.com/s/article/After-deleting-an-AD-user-account-SaaS-provisioner-does-not-remove-the-user-in-the-next-provisioning-cycle-when-Group-DN-is-specified 中的因應措施之前，該使用者不會在 VMware Identity Services 中顯示為 [已停用]。
  - 群組名稱來源：已選取一般名稱。
11. 在管理通道索引標籤上，按一下建立。
  - 在通道資訊索引標籤上：
    - 通道名稱：輸入名稱。
    - 接受最大執行緒數和逾時 (秒) 預設值。
12. 按下一步。
  - 在來源索引標籤上：
    - 作用中資料存放區：選擇 Active Directory 網域。
13. 按下一步。
  - 在來源位置索引標籤上：
    - 基本 DN：輸入基本 DN 以尋找使用者和群組。
    - 使用者：根據您的環境進行自訂。例如：
      
      群組 DN：不使用。
      
      篩選器：輸入 (|(objectClass=person)(objectClass=organizationalPerson)(objectClass=user))。
    - 群組：根據您的環境進行自訂。例如：
      
      群組 DN：不使用。
      
      篩選器：輸入 (objectClass=group)。
14. 按下一步。
15. 接受屬性對應索引標籤上的預設值。
16. 按下一步。
  在啟用與摘要索引標籤上：
  - 通道狀態：選取作用中。
17. 按一下完成。
  隨即將建立 SP 連線並顯示 SP 連線畫面。
18. 按一下完成。
19. 在輸出佈建索引標籤上，按下一步。
20. 檢閱摘要，然後按一下儲存。
21. 若要使連線處於作用中狀態，請切換已啟用滑桿。

結果

現在 PingFederate 將使用者和群組從設定的資料存放區推送到 vCenter Server。請等待一段時間以便推送完成。可以在 vSphere Client 中檢視推送的使用者和群組。移至管理 > Single Sign On > 使用者和群組，然後選取 PingFederate 網域。

下一步

繼續為 PingFederate 授權設定 vCenter Server。