為 PingFederate 建立一般組態包括建立存取 Token 管理程式、objectID 屬性、OpenID Connect 原則和 OAuth 用戶端應用程式。

必要條件

完成下列工作:

使用管理員帳戶登入 PingFederate 管理主控台。

程序

  1. 建立存取 Token 管理程式。
    1. 移至應用程式 > OAuth > 存取 Token 管理
    2. 按一下建立新執行個體
    3. 類型索引標籤上:
      • 執行個體名稱:輸入執行個體名稱。例如,vIDB 存取 Token 管理程式。
      • 執行個體識別碼:輸入執行個體識別碼。例如,vIDB。
      • 類型:選取 JSON Web Token
      • 父系執行個體:保留預設值
    4. 執行個體組態索引標籤上:
      • 使用集中式簽署金鑰:選取此核取方塊。

        保持該核取方塊的未選取狀態將導致 PingFederate 需要設定「作用中簽署憑證金鑰識別碼」。

      • JWS 演算法:選取一種演算法。例如,使用 SHA-256 的 RSA
      • 在畫面底部,按一下顯示進階欄位
        • JWT ID 宣告長度:新增大於零 (0) 的數字。例如,24。如果未輸入值,存取 Token 中將省略 JTI 宣告。
    5. 下一步
    6. 存取 Token 屬性合約索引標籤上:
      • 延伸合約文字方塊中,新增要在 Ping 存取 Token 中產生的下列宣告。輸入每個宣告後,按一下新增
        • aud
        • iss
        • exp
        • iat
        • userName
      • 主旨屬性名稱:選取一個要用於稽核的宣告。例如,iss
    7. 下一步兩次,以略過資源 URI存取控制索引標籤。
    8. 按一下儲存
  2. 新增 objectGUID 屬性。
    1. 移至系統 > 資料存放區 > 您的資料存放區 > LDAP 組態
    2. LDAP 組態索引標籤上,按一下底部的進階
    3. LDAP 二進位屬性索引標籤上的二進位屬性名稱欄位中,使用 objectGUID,然後按一下新增
    4. 按一下儲存
  3. 建立 OpenID Connect 原則。
    1. 移至應用程式 > OAuth > OpenID Connect 原則管理
    2. 按一下新增原則
    3. 管理原則索引標籤上:
      • 原則識別碼:輸入原則識別碼。例如,OIDC。
      • 名稱:輸入原則名稱。例如,OIDC 原則。
      • 存取 Token 管理程式:選取先前建立的存取 Token 管理程式。例如,vIDB 存取 Token 管理程式。
    4. 下一步
    5. 屬性合約索引標籤上:
      • 按一下刪除以移除除 sub 外的所有屬性。否則,必須稍後將屬性對應到合約履行索引標籤中的值。
    6. 下一步,然後再次按下一步以略過屬性範圍索引標籤。
    7. 屬性來源和使用者查閱索引標籤上,按一下新增屬性來源
      在隨後的每個索引標籤上輸入資訊後,按 下一步以繼續操作。
      • 資料存放區
        • 屬性來源識別碼:輸入屬性來源識別碼。例如,vIDBLDAP。
        • 屬性來源說明:輸入說明。例如,vIDBLDAP。
        • 作用中資料存放區:從下拉式清單中選取 Active Directory 或 OpenLDAP 網域名稱。
      • LDAP 目錄搜尋
        • 基本 DN:輸入基本 DN 以尋找使用者和群組。
        • 搜尋範圍:保留預設值子樹狀結構
        • 要從搜尋傳回的屬性:選取 <显示所有属性>,然後選取 objectGUID

          按一下新增屬性

      • LDAP 二進位屬性編碼類型
        • ObjectGUID:為屬性編碼類型選取十六進位
      • LDAP 篩選器
        • 篩選器:輸入篩選器。例如,userPrincipalName=${userName}
    8. 摘要頁面上,按一下完成
    9. 下一步以繼續操作,然後在合約履行索引標籤上,對應識別碼 Token 的屬性合約
      屬性合約 來源
      sub 選取先前建立的屬性來源識別碼。在本說明文件中,使用的範例為 vIDBLDAP。 objectGUID
    10. 下一步,然後再次按下一步以略過保險準則索引標籤。
    11. 按一下儲存
  4. 建立 OAuth 用戶端應用程式。
    1. 移至應用程式 > OAuth > 用戶端
    2. 按一下新增用戶端
    3. 用戶端 | 用戶端頁面上:
      • 用戶端識別碼:輸入用戶端識別碼。例如,vIDB。
        備註: 複製並儲存用戶端識別碼,以供稍後在為 PingFederate 建立 vCenter Server 身分識別提供者時使用。
      • 名稱:輸入名稱。例如,vIDB。
      • 用戶端驗證:選取用戶端密碼
        • 用戶端密碼:可以輸入自己的用戶端密碼,也可以產生密碼。離開此頁面後,將無法再次檢視密碼。只能選擇變更密碼。
          備註: 複製並儲存密碼,以供稍後在建立 vCenter Server 身分識別提供者時使用。
      • 重新導向 URI:輸入以下格式的重新導向 URI:https://vCenter_Server_FQDN:port/federation/t/CUSTOMER/auth/response/oauth2
        • 按一下新增
      • 允許的授與類型:勾選授權碼重新整理 Token用戶端認證資源擁有者密碼認證
      • 預設存取 Token 管理程式:選取先前建立的存取 Token 管理程式。例如,本說明文件中使用的是 vIDB 存取 Token 管理程式。
      • OpenID Connect:對於原則,選取先前建立的原則。例如,本說明文件中使用的是 OIDC。
    4. 按一下儲存

下一步

繼續 建立密碼授與流程組態