安裝或升級至 vSphere 8.0 Update 3 之後,您可以為 PingFederate (作為外部身分識別提供者) 設定 vCenter Server 身分識別提供者聯盟。

為 PingFederate 設定 vCenter Server 身分識別提供者的高層級步驟

為 PingFederate 設定 vCenter Server 涉及下列高層級步驟:

  1. 在 PingFederate 上,建立 vCenter Server/VMware Identity Services 特定組態,包括 PingFederate 工作流程的範圍和一般組態。
  2. 在 PingFederate 上,建立全域項目,包括密碼授與流程設定和授權碼流程設定。
  3. 在 PingFederate 上,安裝 SCIM 佈建程式。
  4. vCenter Server 上,建立 PingFederate 身分識別提供者。
  5. 在 PingFederate 上,建立 SCIM 應用程式 (SP Connection)。
  6. vCenter Server 上,授權 PingFederate 使用者。
備註: 本說明文件中的指示為 PingFederate 伺服器建立了一般設定。您的環境可能會有所不同,因此可以進行不同的選擇。

為 PingFederate 設定 vCenter Server 身分識別提供者的必要條件

PingFederate 需求:

  • 您已安裝內部部署 PingFederate 伺服器。
  • 從設定 PingFederate 身分識別提供者的 vCenter Server,您必須取得受信任的根憑證並將其匯入 PingFederate 伺服器。
  • (可選) 如果 PingFederate SSL 憑證或憑證鏈結是自我簽署的 (即,不是由知名公共憑證授權機構核發),則可能需要將其匯入至 vCenter Server。如果 PingFederate SSL 憑證或憑證鏈結中的一個憑證是由知名憑證授權機構核發的,vCenter Server 會自動信任該憑證,您無需匯入它。如果要對 PingFederate 伺服器 SSL 憑證使用一或多個中繼簽署授權機構,請包括整個憑證鏈結。

    若要匯出 PingFederate SSL 憑證,請在 PingFederate 管理主控台中,移至安全性 > SSL 伺服器憑證,選取預設憑證,然後從選取動作下拉式功能表中選取匯出

    作為設定身分識別提供者工作流程的一部分,您可以使用 vSphere ClientOpenID Connect 面板中匯入 PingFederate SSL 憑證。

  • 若要執行 OIDC 登入並管理使用者和群組權限,您必須建立下列 PingFederate 應用程式。
    • 以 OpenID Connect 作為登入方法的 PingFederate 原生應用程式。原生應用程式必須包含下列授與類型:授權代碼、重新整理 Token 和資源擁有者密碼。
    • 具有 OAuth 2.0 Bearer Token 的跨網域身分識別管理系統 (SCIM) 2.0 應用程式 (在 PingFederate 中,它被稱為 SP Connection),用於在 PingFederate 伺服器與 vCenter Server 之間執行使用者和群組同步。
  • 已確定要與 vCenter Server 共用的 PingFederate 使用者和群組。此共用是一種 SCIM 作業 (而不是 OIDC 作業)。

PingFederate 連線需求:

  • vCenter Server 必須能夠連線至 PingFederate 探索端點,以及在探索端點中繼資料中通告的授權、Token、JWKS 和任何其他端點。
  • PingFederate 還必須能夠與 vCenter Server 連線,以傳送用於 SCIM 佈建的使用者和群組資料。

vCenter Server 需求

  • vSphere 8.0 Update 3
  • 在要建立 PingFederate 身分識別來源的 vCenter Server 上,確認已啟用 VMware Identity Services。
    備註: 安裝或升級至 vSphere 8.0 Update 1 或更新版本時,預設啟用 VMware Identity Services。可以使用 vCenter Server 管理介面確認 VMware Identity Services 的狀態。請參閱 停止和啟動 VMware Identity Services

vSphere 權限需求:

  • 您必須擁有 VcIdentityProviders.管理權限,才能建立、更新或刪除同盟驗證所需的 vCenter Server 身分識別提供者。若要限制使用者僅檢視身分識別提供者組態資訊,請指派 VcIdentityProviders.讀取權限。

增強型連結模式需求:

  • 可以在增強型連結模式組態中為 PingFederate 設定 vCenter Server 身分識別提供者聯盟。在增強型連結模式組態中設定 PingFederate 時,可以將 PingFederate 身分識別提供者設定為使用單一 vCenter Server 系統上的 VMware Identity Services。例如,如果增強型連結模式組態包含兩個 vCenter Server 系統,則僅使用一個 vCenter Server 及其 VMware Identity Services 執行個體與 PingFederate 伺服器進行通訊。 如果此 vCenter Server 系統變成無法使用,則可以在 ELM 組態中的其他 vCenter Server 上設定 VMware Identity Services 以便與 PingFederate 伺服器互動。如需詳細資訊,請參閱增強型連結模式組態中外部身分識別提供者的啟用程序
  • 將 PingFederate 設定為外部身分識別提供者時,增強型連結模式組態中的所有 vCenter Server 系統必須至少執行 vSphere 8.0 Update 3。