如果要将 SAML 身份提供程序中的用户和组导入到系统组织,必须对您的系统组织配置此 SAML 身份提供程序。导入的用户可以使用 SAML 身份提供程序中建立的凭据登录到系统组织。

要为 VMware Cloud Director 配置 SAML 身份提供程序,请通过交换 SAML 服务提供商和身份提供程序元数据来建立互信关系。

导入的用户尝试登录时,系统会从 SAML 令牌(如果可用)提取以下属性,并使用这些属性解读相应的用户相关信息。
  • email address = "EmailAddress"
  • user name = "UserName"
  • full name = "FullName"
  • user's groups = "Groups"
  • user's roles = "Roles"(可以配置此属性)

如果未直接导入用户,但用户需要通过已导入组的成员资格进行登录,则会使用组信息。一个用户可以属于多个组,因此可能在会话期间具有多个角色。

如果为导入的用户或组分配了“遵从身份提供者”角色,则会根据从该令牌的“角色”属性中收集的信息分配角色。如果使用了其他属性,则可以使用 API 配置此属性名称,并且只能配置“角色”属性。如果使用了“遵从身份提供者”角色,但无法提取任何角色信息,则虽然用户可以登录,但不具有执行任何活动的权限。

提示: 如果您使用的是 VMware Cloud Director 版本 10.3.2 或更低版本,并且需要以本地用户身份登录,则可以使用您配置的基本 URL,例如 https://vcloud.example.com/tenant/tenant_name/login

前提条件

  • 确认您有权访问符合 SAML 2.0 的身份提供者。
  • 从 SAML 身份提供程序获取包含以下元数据的 XML 文件。
    • Single Sign-On 服务的位置
    • 单点注销服务的位置
    • 服务的 X.509 证书的位置

    有关配置和获取 SAML 提供者元数据的信息,请参见 SAML 提供者文档。

过程

  1. 从顶部导航栏中,选择管理
  2. 在左侧面板的“身份提供程序”下,单击 SAML,然后单击编辑
    将显示当前的 SAML 设置。
  3. 服务提供商选项卡中,下载 VMware Cloud Director SAML 服务提供商元数据。
    1. 输入系统组织的实体 ID。

      实体 ID 用于向您的身份提供程序唯一地标识您的系统组织。

    2. 检查证书过期日期,如果即将过期,则单击重新生成以重新生成证书。
      证书包含在 SAML 元数据中,用于加密和签名。根据组织与 SAML IDP 之间建立信任的方式,可能需要加密或签名,或者同时需要加密和签名。
    3. 单击检索元数据
      您的浏览器将下载 SAML 服务提供商元数据,这是您必须提供给身份提供程序的 XML 文件。
  4. 身份提供者选项卡上,上载您之前从身份提供者收到的 SAML 元数据。
    1. 选择使用 SAML 身份提供者
    2. 单击浏览图标并上载文件,或复制其内容并粘贴到元数据 XML 文本框中。
  5. 单击保存