使您的组织能够使用安全断言标记语言 (SAML) 身份提供程序(也称为 Single Sign-On)从 SAML 身份提供程序导入用户和组,并允许导入的用户使用在 SAML 身份提供程序中建立的凭据登录到组织。
- email address = "EmailAddress"
- user name = "UserName"
- full name = "FullName"
- user's groups = "Groups"
- user's roles = "Roles"
编辑 SAML 配置时,可以在Tenant Portal中的属性映射选项卡下配置属性。
如果未直接导入用户,但用户需要通过已导入组的成员资格登录,则必须提供组信息。一个用户可能属于多个组,因此在会话期间可能具有多个角色。
如果为导入的用户或组分配了遵从身份提供程序角色,则会根据从该令牌的 Roles
属性中收集的信息分配角色。如果使用了其他属性,则只能通过使用 API 配置此属性名称,并且只能配置 Roles
属性。如果使用了遵从身份提供程序角色,但无法提取任何角色信息,则用户可以登录,但不具有执行任何活动的权限。
前提条件
-
此操作需要预定义的组织管理员角色中包含的权限或一组等效权限。
- 确认您有权访问符合 SAML 2.0 的身份提供者。
- 确认您可以从 SAML 身份提供者接收所需的元数据。您必须将此元数据手动或作为 XML 文件导入到 VMware Cloud Director。元数据中必须包含以下信息:
- Single Sign-On 服务的位置
- 单点注销服务的位置
- 服务的 X.509 证书的位置
有关配置和获取 SAML 提供者元数据的信息,请参见 SAML 身份提供者文档。
过程
下一步做什么
- 使用 VMware Cloud Director 元数据配置 SAML 提供者。请参见 SAML 身份提供者文档和《VMware Cloud Director 安装、配置和升级指南》。
- 从 SAML 身份提供程序导入用户和组。请参见管理用户、组和角色。