使您的组织能够使用安全断言标记语言 (SAML) 身份提供程序(也称为 Single Sign-On)从 SAML 身份提供程序导入用户和组,并允许导入的用户使用在 SAML 身份提供程序中建立的凭据登录到组织。

在导入用户和组时,系统会从 SAML 令牌提取一系列属性(如果有),并使用它们来解读有关尝试登录的用户的相应信息。
  • email address = "EmailAddress"
  • user name = "UserName"
  • full name = "FullName"
  • user's groups = "Groups"
  • user's roles = "Roles"

    编辑 SAML 配置时,可以在Tenant Portal中的属性映射选项卡下配置属性。

如果未直接导入用户,但用户需要通过已导入组的成员资格登录,则必须提供组信息。一个用户可能属于多个组,因此在会话期间可能具有多个角色。

如果为导入的用户或组分配了遵从身份提供程序角色,则会根据从该令牌的 Roles 属性中收集的信息分配角色。如果使用了其他属性,则只能通过使用 API 配置此属性名称,并且只能配置 Roles 属性。如果使用了遵从身份提供程序角色,但无法提取任何角色信息,则用户可以登录,但不具有执行任何活动的权限。

前提条件

  • 此操作需要预定义的组织管理员角色中包含的权限或一组等效权限。

  • 确认您有权访问符合 SAML 2.0 的身份提供者。
  • 确认您可以从 SAML 身份提供者接收所需的元数据。您必须将此元数据手动或作为 XML 文件导入到 VMware Cloud Director。元数据中必须包含以下信息:
    • Single Sign-On 服务的位置
    • 单点注销服务的位置
    • 服务的 X.509 证书的位置

    有关配置和获取 SAML 提供者元数据的信息,请参见 SAML 身份提供者文档。

过程

  1. 在顶部导航栏中,单击管理
  2. 身份提供程序下,单击 SAML
  3. 单击编辑
  4. 服务提供商选项卡中,输入实体 ID
    实体 ID 是您的组织对于身份提供程序的唯一标识符。可以使用您组织的名称或满足 SAML 身份提供程序要求的任何其他字符串。
    重要说明: 指定实体 ID 后,无法删除。要更改实体 ID,您必须为您的组织执行完整的 SAML 重新配置。有关实体 ID 的信息,请参见 OASIS 安全断言标记语言 (SAML) 2.0 的断言和协议
  5. 要为组织下载 SAML 元数据,请单击检索元数据
    您的浏览器将下载 SAML 元数据,这是您必须原样提供给身份提供程序的 XML 文件。
  6. 查看证书过期日期,并(可选)单击重新生成以重新生成用来对联合消息进行签名的证书。
    可以为 SAML 签名提供自己的证书,方法是在 UI 中将证书上载到证书库,然后在 SAML 配置 API 中传递对这些证书的引用。
    证书包含在 SAML 元数据中,用于加密和签名。根据组织与 SAML 身份提供程序之间建立信任的方式,可能需要加密和签名中的一个或两者都需要。
  7. 身份提供程序选项卡上打开使用 SAML 身份提供程序开关。
  8. 复制您收到的来自身份提供程序的 SAML 元数据并粘贴到文本框中,或单击上载以浏览到 XML 文件并上载其中的元数据。
  9. 单击保存

下一步做什么

  • 使用 VMware Cloud Director 元数据配置 SAML 提供者。请参见 SAML 身份提供者文档和VMware Cloud Director 安装、配置和升级指南》
  • 从 SAML 身份提供程序导入用户和组。请参见管理用户、组和角色