要使 PingFederate 使用 vCenter Server 進行驗證,請設定密碼授與流程。
必要條件
完成下列工作:
使用管理員帳戶登入 PingFederate 管理主控台。
程序
- 建立密碼認證驗證程式。
- 移至系統 > 資料和認證存放區 > 密碼認證驗證程式。
- 按一下建立新執行個體。
- 在密碼認證驗證程式 | 建立新執行個體頁面中,為每個索引標籤輸入如下資訊,然後按下一步以繼續操作。
- 在類型索引標籤上:
- 執行個體名稱:輸入執行個體名稱。例如,vIDB 驗證程式。
- 執行個體識別碼:輸入執行個體識別碼。例如,vIDB。
- 類型:選取 LDAP 使用者名稱密碼認證驗證程式。
- 在執行個體組態索引標籤上:
- LDAP 資料存放區:選取正在使用的資料存放區。
- 搜尋基本:輸入基本 DN 以尋找您的使用者和群組。
- 搜尋篩選器:輸入篩選器。例如,userPrincipalName=${username}。
- 搜尋範圍:選取子樹狀結構。
- 在延伸的合約索引標籤上:
- 依預設,新增下列內容:
- DN
- 電子郵件
- 指定名稱
- username
- 依預設,新增下列內容:
- 在類型索引標籤上:
- 按下一步,然後按一下儲存。
- 在授權伺服器設定中對應驗證程式。
- 移至系統 > OAuth 設定 > 授權伺服器設定。
- 在密碼認證驗證程式中,選取先前建立的密碼認證驗證程式。例如,本說明文件使用 vIDB 驗證程式。
- 按一下儲存。
- 建立資源擁有者認證授與對應。
- 移至驗證 > OAuth > 資源擁有者認證對應。
- 在資源擁有者認證授與對應視窗中:
- 來源密碼驗證程式執行個體:選取先前建立的執行個體,然後按一下新增對應。
- 在資源擁有者認證授與對應 | 資源擁有者認證對應頁面上,按下一步以略過屬性來源和使用者查閱索引標籤。
- 在合約履行索引標籤上:
- 對於 USER_KEY,選取密碼認證驗證程式,對於值,選取 username。
- 按下一步,以略過保險準則索引標籤,然後按一下儲存。
- 建立存取 Token 對應 - 將密碼認證驗證程式對應到存取 Token 管理程式。
「密碼授與」工作流程需要此對應。如果對應不存在,PingFederate 會記錄下列錯誤:
沒有可用於所選用戶端和驗證內容的存取 Token 管理程式。
- 移至應用程式 > 存取 Token 對應。
- 內容:選取先前建立的內容。例如,本說明文件使用 vIDB 驗證程式。
- 存取 Token 管理程式:選取先前建立的存取 Token 管理程式。例如,本說明文件使用 vIDB 存取 Token 管理程式。
- 按一下新增對應。
- 按下一步以略過屬性來源和使用者查閱索引標籤。
- 在合約履行索引標籤上,使用下表。
合約 來源 值 aud 內容 先前建立的用戶端識別碼。例如,本說明文件中使用的識別碼是 vIDB。 exp 無對應 - iat 運算式 輸入下列內容: @org.jose4j.jwt.NumericDate@now().getValue()iss 運算式 (如果不可見,請參閱 PingFederate 說明文件,網址為 https://docs.pingidentity.com/r/en-us/pingfederate-120/pf_enable_disable_express。)
輸入下列內容: #tmp=#this.get("context.HttpRequest").getObjectValue().getRequestURL().toString(), #url=new java.net.URL(#tmp), #protocol=#url.getProtocol(), #host=#url.getHost(),#port=#url.getPort(), #result=(#port != -1) ? @java.lang.String@format("%s://%s:%d", #protocol, #host, #port) : @java.lang.String@format("%s://%s", #protocol, #host, #port)userName 無對應 -
此合約稍後在 LDAP 篩選器中用於「授權碼的 OIDC 原則」工作流程。對於 PingFederate 工作流程,不需要此合約。
- 按下一步,以略過保險準則索引標籤,然後按一下儲存。
- 移至應用程式 > 存取 Token 對應。
下一步
繼續 建立授權碼流程組態。
