如果要将 SAML 身份提供程序中的用户和组导入到系统组织,必须对您的系统组织配置此 SAML 身份提供程序。导入的用户可以使用 SAML 身份提供程序中建立的凭据登录到系统组织。
要为 VMware Cloud Director 配置 SAML 身份提供程序,请通过交换 SAML 服务提供商和身份提供程序元数据来建立互信关系。
导入的用户尝试登录时,系统会从 SAML 令牌(如果可用)提取以下属性,并使用这些属性解读相应的用户相关信息。email address = "EmailAddress"
user name = "UserName"
full name = "FullName"
user's groups = "Groups"
user's roles = "Roles"
(可以配置此属性)
如果未直接导入用户,但用户需要通过已导入组的成员资格进行登录,则会使用组信息。一个用户可以属于多个组,因此可能在会话期间具有多个角色。
如果为导入的用户或组分配了“遵从身份提供者”角色,则会根据从该令牌的“角色”属性中收集的信息分配角色。如果使用了其他属性,则可以使用 API 配置此属性名称,并且只能配置“角色”属性。如果使用了“遵从身份提供者”角色,但无法提取任何角色信息,则虽然用户可以登录,但不具有执行任何活动的权限。
提示: 如果您使用的是
VMware Cloud Director 版本 10.3.2 或更低版本,并且需要以本地用户身份登录,则可以使用您配置的基本 URL,例如
https://vcloud.example.com/tenant/tenant_name/login。
前提条件
- 确认您有权访问符合 SAML 2.0 的身份提供者。
- 从 SAML 身份提供程序获取包含以下元数据的 XML 文件。
- Single Sign-On 服务的位置
- 单点注销服务的位置
- 服务的 X.509 证书的位置
有关配置和获取 SAML 提供者元数据的信息,请参见 SAML 提供者文档。