Se você quiser importar usuários e grupos de um provedor de identidade SAML para a organização do sistema, deverá configurar a organização do sistema com esse provedor de identidade SAML. Os usuários importados podem fazer login na organização do sistema com as credenciais estabelecidas no provedor de identidade SAML.

Para configurar VMware Cloud Director com um provedor de identidade SAML, você estabelece uma confiança mútua trocando metadados do provedor de serviços SAML e do provedor de identidade.

Quando um usuário importado tenta fazer login, o sistema extrai os seguintes atributos do token SAML, se disponível, e os usa para interpretar as partes correspondentes de informações sobre o usuário.
  • email address = "EmailAddress"
  • user name = "UserName"
  • full name = "FullName"
  • user's groups = "Groups"
  • user's roles = "Roles" (esse atributo é configurável)

Informações de grupo são usadas se o usuário não é importado diretamente, mas espera-se que faça login em virtude da associação em grupos importados. Um usuário pode pertencer a vários grupos, portanto, pode ter várias funções durante uma sessão.

Se um usuário ou grupo importado for atribuído à função Transferir para Provedor de Identidade, as funções serão atribuídas com base nas informações coletadas do atributo Funções no token. Se um atributo diferente for usado, esse nome de atributo poderá ser configurado usando API e apenas o atributo Funções será configurável. Se a função Transferir para Provedor de Identidade for usada, mas nenhuma informação de função puder ser extraída, o usuário poderá fazer login, mas não terá direitos para executar nenhuma atividade.

Dica: Se você estiver usando o VMware Cloud Director versão 10.3.2 ou anterior e precisar fazer login como usuário local, poderá usar a URL base que configurou, como https://vcloud.example.com/tenant/tenant_name/login.

Pré-requisitos

  • Verifique se você tem acesso a um provedor de identidade em conformidade com o SAML 2.0.
  • Obtenha um arquivo XML com os seguintes metadados do provedor de identidade SAML.
    • A localização do serviço single sign-on
    • A localização do serviço de logout único
    • A localização do certificado x.509 do serviço

    Para obter informações sobre como configurar e adquirir metadados de um provedor SAML, consulte a documentação do seu provedor SAML.

Procedimento

  1. Na barra de navegação superior, selecione Administração.
  2. No painel esquerdo, em Provedores de Identidade, clique em SAML e clique em Editar.
    As configurações do SAML atual são exibidas.
  3. Na guia Provedor de Serviços, baixe os metadados do provedor de serviço SAML do VMware Cloud Director.
    1. Insira uma ID de Entidade para a organização do sistema.

      A ID da Entidade identifica exclusivamente a organização do seu sistema para o seu Provedor de Identidade.

    2. Examine a data de expiração do certificado e, se expirar em breve, gere novamente o certificado clicando em Regenerar.
      O certificado está incluído nos metadados SAML e é usado para assinatura e criptografia. Uma ou ambas podem ser necessárias, dependendo de como a relação de confiança é estabelecida entre a organização e o IDP SAML.
    3. Clique em Recuperar Metadados.
      Seu navegador baixa os metadados do provedor de serviços SAML, um arquivo XML que você deve fornecer ao seu provedor de identidade.
  4. Na guia Provedor de Identidade, carregue os metadados SAML que você recebeu anteriormente do seu provedor de identidade.
    1. Selecione Usar Provedor de Identidade SAML.
    2. Clique no ícone Procurar e carregue o arquivo ou copie e cole seu conteúdo na caixa de texto XML de Metadados.
  5. Clique em Salvar.