Bu sayfa, PingFederate ile Chaos hizmetlerinde Kurumsal Oturum Açma özelliğinin nasıl yapılandırılacağına dair bilgiler sunmaktadır.
Genel Bakış #
Bu bölümde, çalışanlarınızın Kurumsal Oturum Açma özelliğinden yararlanabilmesi için PingFederate kimlik sağlayıcınızı Chaos ile nasıl entegre edebileceğinizi inceleyeceğiz .
Bu bölümdeki adımları uygulamadan önce, Kurumsal Giriş özelliğini talep etmek için öncelikle Chaos ile iletişime geçmeyi unutmayın.
PingFederate iletişiminde kaos #
Chaos ve PingFederate arasındaki iletişim, TLS bağlantısı üzerinden gerçekleşir. Bu iletişimin başarılı olabilmesi için PingFederate’in güvenilir bir SSL sertifikası sunması gerekir .
PingFederate yapılandırması #
Aşağıdaki bölümler, PingFederate’in kurulu ve Giden Bağlantı Sağlama özelliğinin etkinleştirilmiş olduğunu varsaymaktadır. Bu kurulum, PingFederate sürüm 10 ile doğrulanmıştır .
Temel kurulumun yanı sıra Ping’in resmi SCIM Bağlayıcısını da kurmanız gerekiyor . PingFederate yalnızca SCIM sürüm 1.1’i destekler ve bu sürüm Chaos’un kullandığı SCIM sürüm 2.0 ile uyumlu değildir. Bağlayıcı, PingFederate’in giden bağlantı sağlama yeteneklerine SCIM sürüm 2 desteği ekleyecektir.
Yardıma ihtiyacınız olursa lütfen PingFederate’in kurulum ve yapılandırma belgelerine bakın.
OpenID-Connect politikasını yapılandırın #
Bu adım, döndürülen OAuth token’larının, doğru LDAP özniteliklerinden alınan bilgilerle birlikte gerekli talepleri içermesi için gereklidir.
PingFederate’in yönetim arayüzünde Uygulamalar > OAuth > OpenID Connect İlke Yönetimi’ne gidin ve İlke Ekle’ye tıklayın .
|
Politika Kimliği |
Politikanın benzersiz tanımlayıcısı |
|
İsim |
Bu politika için benzersiz ve tanınabilir bir isim. |
|
Erişim Belirteci Yöneticisi |
JSON Web Token’ları |
|
ID TOKEN’A KULLANICI BİLGİLERİNİ DAHİL ET |
✅ Kontrol edildi |
İleri’ye tıklayın .
Nitelik Sözleşmesi altında yalnızca e-posta, soyadı ve adını bırakın:
İleri’ye tıklayın .
Öznitelik Kapsamları altında profil ekleyin ve e-posta özniteliğini manuel olarak seçin. Ekle düğmesine basmayı unutmayın .
İleri’ye tıklayın .
“Öznitelik Kaynakları ve Kullanıcı Arama” altında , “Öznitelik Kaynağı Ekle ” ye tıklayın . Öznitelik kaynağı veri deposu için aşağıdaki bilgileri doldurun:
|
Öznitelik Kaynak Kimliği |
Öznitelik kaynağının benzersiz tanımlayıcısı |
|
Öznitelik Kaynağı Açıklaması |
Öznitelik kaynağı için bir açıklama |
|
Aktif Veri Deposu |
ping dizini |
Bu işlem, mağaza türünü otomatik olarak LDAP olarak dolduracaktır.
İleri’ye tıklayın .
LDAP Dizin Arama sekmesi altında aşağıdakileri doldurun:
|
Temel DN |
dc=example,dc=com |
|
Arama sonuçlarından döndürülecek özellikler: <Tüm öznitelikleri göster> seçeneğini belirleyin ve aşağıdaki öznitelikleri ekleyin: |
posta cn sn |
İleri’ye tıklayın .
LDAP Filtresi bölümüne aşağıdakileri filtre olarak ekleyin:
Tamam’a tıklayın .
OIDC Politika yönetimi bölümünde, Sözleşme Tamamlama altında, ilgili OAuth taleplerini almak istediğiniz kaynağı aşağıdaki gibi seçin:
Özet sayfasına gidin ve Kaydet’e tıklayın .
PingFederate’te OAuth istemcisi oluşturma #
PingFederate’in yönetim arayüzünü açın, Uygulamalar > OAuth > İstemciler bölümüne gidin ve Yeni İstemci oluşturun .
Lütfen aşağıdaki alanları doldurun:
|
Müşteri Kimliği |
<istemci kimliği> |
|
İsim |
Eşsiz ve tanınabilir bir isim |
|
İstemci Kimlik Doğrulaması |
MÜŞTERİ SIRRI.
Bu seçeneği belirledikten sonra, altında İstemci Gizli Anahtarı adlı yeni bir alan görüntülenecektir. |
|
Müşteri Sırrı |
<istemci gizli anahtarı> |
|
İzin Verilen Hibe Türleri |
Yetkilendirme Kodu |
|
OpenID Connect > Politika |
Önceki bölümde oluşturulan politika |
Kaydet’e tıklayın .
Kullanıcı veri deposunu yapılandırın #
Bu kılavuzda Ping Identity’nin kendi LDAP çözümü olan PingDirectory’yi kullanıyoruz.
Kurulumunuz başka bir kullanıcı deposu türüne bağlıysa, bazı adımlar farklı olabilir. LDAP ile başlamak için Sistem > Veri ve Kimlik Bilgisi Depoları > Veri Depoları’na gidin ve Yeni Veri Deposu Ekle’yi seçin.
Benzersiz bir ad seçin ve depolama türü olarak LDAP’ı seçin. LDAP bağlantısının nasıl yapılandırılacağına ilişkin PingFederate belgelerindeki talimatları izleyin .
SCIM SP Bağlantısı Oluşturun #
Uygulamalar > Entegrasyon > SP Bağlantıları bölümünde Bağlantı Oluştur’a tıklayın .
“Bu bağlantı için şablon kullanma” seçeneğini işaretleyin ve İleri’ye tıklayın.
Bağlantı Türü sekmesinde Giden Sağlama’yı seçin ve açılan menüden Tür: SCIM Bağlayıcısı’nı seçin.
SCIM Bağlayıcı türü yalnızca yukarıdaki PingFederate yapılandırma bölümünden SCIM Bağlayıcısını başarıyla kurup PingFederate’i yeniden başlattıktan sonra gösterilecektir. SCIM 1.1 Servis Sağlayıcısı kullanmak işe yaramayacaktır.
İleri’ye tıklayın .
Genel Bilgiler sekmesinde aşağıdaki bilgileri doldurun:
|
İş Ortağının Kuruluş Kimliği |
İş ortağı bağlantısını tanımlayan benzersiz bir kimlik numarası. |
|
Bağlantı Adı |
Bu bağlantı için benzersiz ve tanınabilir bir isim. |
İleri’ye tıklayın .
Giden Sağlama bölümünde Sağlama Yapılandırması’na tıklayın .
Hedef sekmesinde aşağıdakileri doldurun:
|
SCIM URL |
https://dev.scim.chaos.com/<kiracı kimliği>/v2 |
|
SCIM Sürümü |
2.0 |
|
Kimlik Doğrulama Yöntemi |
OAuth 2 Taşıyıcı Token |
|
Erişim Belirteci |
<erişim belirteci> |
|
Benzersiz Kullanıcı Tanımlayıcısı |
iş e-postası |
|
Kullanıcılar API Yolu |
/Kullanıcılar |
|
Tedarik Seçenekleri |
Seçme:
|
|
Kullanıcı Eylemini Kaldır |
Olası seçenekler şunlardır:
Chaos, Kullanıcıyı Sil seçeneğini seçmenizi önerir. |
SCIM URL’sinin bir parçası olan <tenant id> ve <access token>, Chaos tarafından entegrasyon sürecinde sağlanır .
İleri’ye tıklayın . Kanalları Yönet sekmesinde Oluştur düğmesine basın .
Özgün ve akılda kalıcı bir kanal adı seçin.
İleri’ye tıklayın .
Kaynak sekmesinde , bu kılavuzda daha önce yapılandırılan Veri Deposu’nu seçin . İleri’ye tıklayın .
Kaynak Ayarları sekmesinde aşağıdakileri doldurun:
|
Varlık GUID Özniteliği |
varlıkUUID’si |
|
GUID Türü |
Metin |
|
Grup Üyesi Özelliği |
benzersizÜye |
|
Kullanıcı Nesne Sınıfı |
kişi |
|
Grup Nesne Sınıfı |
Benzersiz İsimler grubu |
|
Kullanıcı/Grup Algoritması Değiştirildi |
Zaman damgası Olumsuzlama yok |
|
Zaman Damgası Özelliği |
zaman damgasını değiştir |
|
Hesap Durumu Özelliği |
hesapKilitli |
|
Hesap Durumu Algoritması |
Bayrak |
|
Varsayılan Durum |
doğru |
|
Bayrak Karşılaştırma Değeri |
doğru
Bu değerin büyük/küçük harf duyarlı olduğunu unutmayın. LDAP’de öznitelik değeri TRUE olarak ayarlanmışsa, buradaki karşılaştırma başarılı olmayacak ve hesap kilitlenmeyecektir. |
|
Bayrak Karşılaştırma Durumu |
YANLIŞ |
Bu ayarlar yalnızca PingDirectory’i (Ping Identity’nin LDAP sunucusu) kullanıcı deposu olarak kullanıyorsanız geçerlidir. Farklı bir kullanıcı deposu veri deposu kullanıyorsanız PingFederate’in belgelerine bakın.
İleri’ye tıklayın .
Kaynak Konum sekmesinde şunları doldurun:
|
Temel DN |
dc=example,dc=com |
|
Kullanıcı Filtresi |
(&(uid=*)(objectClass=person)) |
İleri’ye tıklayın .
Öznitelik Eşleme sekmesinde şunları yapılandırın:
|
Kullanıcı adı |
uid |
|
iş e-postası |
posta |
|
soyadı |
sn |
|
isim |
cn |
Şema tanımınıza ve ihtiyaçlarınıza göre Temel Bilgiler > SCIM bölümünde listelenen ek alanları yapılandırın .
Gerekli aktif alan, daha önce Kaynak Ayarları sekmesinde tanımlanan yapılandırmaya göre otomatik olarak hesaplanır . Bu, Hesap Durumu Özelliğine, Hesap Durumu Algoritmasına ve o bölümde ayarlanan bayrak kombinasyonlarına bağlıdır.
PingFederate’in resmi belgelerinden bir alıntı şöyle:
“Bayrak Karşılaştırma Durumu:
Bayrak Karşılaştırma Değeri alanında belirtilen değere sahip olduğunda kullanıcının etkin mi yoksa devre dışı mı olduğunu gösterir. Değeri true olarak ayarlamak etkin, false olarak ayarlamak ise devre dışı anlamına gelir.
Örnek:
“Hesap Durumu Özelliği nsaccountlock olarak ayarlanmışsa, Bayrak Karşılaştırma Değeri true olarak ayarlanmışsa ve Bayrak Karşılaştırma Durumu false olarak ayarlanmışsa, saccountlock=true olan tüm kullanıcılar devre dışı bırakılır.”
SP Bağlantısını kaydetmek için Kaydet’e tıklayın .
