如果要将 SAML 身份提供程序中的用户和组导入到 VMware Cloud Director 系统组织,必须对您的系统组织配置此 SAML 身份提供程序。导入的用户可以使用 SAML 身份提供程序中建立的凭据登录到系统组织。
要为
VMware Cloud Director 配置 SAML 身份提供程序,请通过交换 SAML 服务提供商和身份提供程序元数据来建立互信关系。
注: 为了成功将
VMware Cloud Director 与外部身份提供程序集成,以确定正确的值和设置并确保配置正确且准确,另请参见这些身份提供程序的产品文档。
导入的用户尝试登录时,系统会从 SAML 令牌(如果可用)提取以下属性,并使用这些属性解读相应的用户相关信息。
email address = "EmailAddress"
user name = "UserName"
full name = "FullName"
user's groups = "Groups"
user's roles = "Roles"
(可以配置此属性)
如果未直接导入用户,但用户需要通过已导入组的成员资格进行登录,则会使用组信息。一个用户可以属于多个组,因此可能在会话期间具有多个角色。
如果为导入的用户或组分配了“遵从身份提供者”角色,则会根据从该令牌的“角色”属性中收集的信息分配角色。如果使用了其他属性,则可以使用 API 配置此属性名称,并且只能配置“角色”属性。如果使用了遵从身份提供程序角色,但无法提取任何角色信息,则虽然用户可以登录,但不具有执行任何活动的权限。
提示:
对于版本 10.4.2 及更高版本,如果 VMware Cloud Director 中的组织配置了 SAML 或 OIDC,UI 将仅显示使用 Single Sign-On 登录选项。要以本地用户身份登录,请导航到 https://vcloud.example.com/tenant/tenant_name/login 或 https://vcloud.example.com/provider/login。
对于 10.3.3 至 10.4.1 版本,如果 VMware Cloud Director 中的组织配置了 SAML 或 OIDC,要使用身份提供程序登录,请选择使用 Single Sign-On 登录选项。
前提条件
- 确认您有权访问符合 SAML 2.0 的身份提供者。
- 从 SAML 身份提供程序获取包含以下元数据的 XML 文件。
- Single Sign-On 服务的位置
- 单点注销服务的位置
- 服务的 X.509 证书的位置
有关配置和获取 SAML 提供者元数据的信息,请参见 SAML 提供者文档。