vSphere Web Client 将自动作为可信的 SAML 2.0 服务提供程序 (SP) 注册到 vCenter Single Sign-On。您可以将其他可信的服务提供程序添加到身份联合,其中 vCenter Single Sign-On 充当 SAML 身份提供程序 (IDP)。这些服务提供程序必须符合 SAML 2.0 协议。设置联合后,如果用户可以对 vCenter Single Sign-On 进行身份验证,服务提供程序将为用户授予访问权限。
注:
vCenter Single Sign-On 可以是其他 SP 的 IDP。
vCenter Single Sign-On 不能是使用其他 IDP 的 SP。
注册的 SAML 服务提供程序可以为已具有实时会话的用户(即,已登录到身份提供程序的用户)授予访问权限。例如,vRealize Automation 7.0 和更高版本支持 vCenter Single Sign-On 作为身份提供程序。可以从 vCenter Single Sign-On 和 vRealize Automation 设置联合。之后,vCenter Single Sign-On 可以在您登录到 vRealize Automation 时执行身份验证。
要将 SAML 服务提供程序加入到身份联合,必须通过在 SP 与 IDP 之间交换 SAML 元数据来建立彼此之间的信任。
必须同时对
vCenter Single Sign-On 和使用
vCenter Single Sign-On 的服务执行集成任务。
- 将 IDP 元数据导出到文件,然后将其导入到 SP。
- 导出 SP 元数据并将其导入到 IDP。
可以使用 vCenter Single Sign-On 的 vSphere Web Client 界面导出 IDP 元数据并从 SP 导入这些元数据。如果要使用 vRealize Automation 作为 SP,请参见 vRealize Automation 文档,了解有关导出 SP 元数据和导入 IDP 元数据的详细信息。
注: 服务必须完全支持 SAML 2.0 标准,否则集成将不起作用。