如果要将 SAML 身份提供程序中的用户和组导入到 VMware Cloud Director 系统组织,必须对您的系统组织配置此 SAML 身份提供程序。导入的用户可以使用 SAML 身份提供程序中建立的凭据登录到系统组织。

要为 VMware Cloud Director 配置 SAML 身份提供程序,请通过交换 SAML 服务提供商和身份提供程序元数据来建立互信关系。
注: 为了成功将 VMware Cloud Director 与外部身份提供程序集成,以确定正确的值和设置并确保配置正确且准确,另请参见这些身份提供程序的产品文档。

导入的用户尝试登录时,系统会从 SAML 令牌(如果可用)提取以下属性,并使用这些属性解读相应的用户相关信息。

  • email address = "EmailAddress"
  • user name = "UserName"
  • full name = "FullName"
  • user's groups = "Groups"
  • user's roles = "Roles"(可以配置此属性)

如果未直接导入用户,但用户需要通过已导入组的成员资格进行登录,则会使用组信息。一个用户可以属于多个组,因此可能在会话期间具有多个角色。

如果为导入的用户或组分配了“遵从身份提供者”角色,则会根据从该令牌的“角色”属性中收集的信息分配角色。如果使用了其他属性,则可以使用 API 配置此属性名称,并且只能配置“角色”属性。如果使用了遵从身份提供程序角色,但无法提取任何角色信息,则虽然用户可以登录,但不具有执行任何活动的权限。

提示:

对于版本 10.4.2 及更高版本,如果 VMware Cloud Director 中的组织配置了 SAML 或 OIDC,UI 将仅显示使用 Single Sign-On 登录选项。要以本地用户身份登录,请导航到 https://vcloud.example.com/tenant/tenant_name/loginhttps://vcloud.example.com/provider/login

VMware Cloud Director 登录页面具有 SSO 登录按钮。

对于 10.3.3 至 10.4.1 版本,如果 VMware Cloud Director 中的组织配置了 SAML 或 OIDC,要使用身份提供程序登录,请选择使用 Single Sign-On 登录选项。

VMware Cloud Director 登录页面具有 SSO 和本地用户登录按钮。

前提条件

  • 确认您有权访问符合 SAML 2.0 的身份提供者。
  • 从 SAML 身份提供程序获取包含以下元数据的 XML 文件。
    • Single Sign-On 服务的位置
    • 单点注销服务的位置
    • 服务的 X.509 证书的位置

    有关配置和获取 SAML 提供者元数据的信息,请参见 SAML 提供者文档。

过程

  1. 从顶部导航栏中,选择管理
  2. 在左侧面板的“身份提供程序”下,单击 SAML,然后单击编辑
    将显示当前的 SAML 设置。
  3. 服务提供商选项卡中,下载 VMware Cloud Director SAML 服务提供商元数据。
    1. 输入系统组织的实体 ID。

      实体 ID 用于向您的身份提供程序唯一地标识您的系统组织。

    2. 检查证书过期日期,如果即将过期,则单击重新生成以重新生成证书。
      证书包含在 SAML 元数据中,用于加密和签名。根据组织与 SAML IDP 之间建立信任的方式,可能需要加密或签名,或者同时需要加密和签名。
    3. 单击检索元数据
      您的浏览器将下载 SAML 服务提供商元数据,这是您必须提供给身份提供程序的 XML 文件。
  4. 身份提供者选项卡上,上载您之前从身份提供者收到的 SAML 元数据。
    1. 选择使用 SAML 身份提供者
    2. 单击浏览图标并上载文件,或复制其内容并粘贴到元数据 XML 文本框中。
  5. 单击保存