可将 SAML 服务提供程序添加到 vCenter Single Sign-On,并将 vCenter Single Sign-On 作为身份提供程序添加到该服务。接下来,当用户登录到服务提供程序时,服务提供程序将通过 vCenter Single Sign-On 对用户进行身份验证。

开始之前

目标服务必须完全支持 SAML 2.0 标准。

如果元数据未严格遵循 SAML 2.0 元数据架构,您可能必须先对架构进行编辑才能将其导入。例如,如果使用的是 Active Directory 联合身份验证服务 (ADFS) SAML 服务提供程序,必须先对元数据进行编辑才能将其导入。移除以下非标准元素:

fed:ApplicationServiceType
fed:SecurityTokenServiceType

当前无法从 vSphere Web Client 导入 SAML IDP 元数据。

关于此任务

如果要将 VMware vRealize Automation 7.0 和更高版本附带的 Single Sign-On 解决方案与 vCenter Single Sign-On 身份提供程序集成在一起,或者如果使用的是其他外部 SAML 服务提供程序,则使用此过程。

该过程包括将元数据从 SAML 服务提供程序导入到 vCenter Single Sign-On,以及将 vCenter Single Sign-On 元数据导入到 SAML 服务提供程序,以便两个提供程序可共享所有数据。

过程

  1. 将元数据从服务提供程序导出到文件。
  2. 将服务提供程序的元数据导入到 vCenter Single Sign-On 中。
    1. 以 administrator@vsphere.local 或拥有 vCenter Single Sign-On 管理员特权的其他用户的身份登录到 vSphere Web Client

      具有 vCenter Single Sign-On 管理员特权的用户位于 vsphere.local 域的管理员组中。

    2. 浏览到 Single Sign-On > 配置
    3. 选择 SAML 服务提供程序选项卡。
    4. 您的 SAML 服务提供程序中的元数据字段中,单击导入并将 XML 字符串粘贴到对话框中,或单击从文件导入以导入文件,然后单击导入
  3. 导出 vCenter Single Sign-On 元数据。
    1. 您的 SAML 服务提供程序中的元数据字段中,单击下载
    2. 指定一个文件位置。
  4. 转到 SAML 服务提供程序(例如 VMware vRealize Automation 7.0 或更高版本),并按照用于 SAML 服务提供程序的说明将 vCenter Single Sign-On 元数据添加到该服务提供程序。

    有关导入元数据的详细信息,请参见 vRealize Automation 文档。