将 vCenter Single Sign-On 用作其他服务提供程序的身份提供程序

vSphere Web Client 将自动作为可信的 SAML 2.0 服务提供程序 (SP) 注册到 vCenter Single Sign-On。您可以将其他可信的服务提供程序添加到身份联合，其中 vCenter Single Sign-On 充当 SAML 身份提供程序 (IDP)。这些服务提供程序必须符合 SAML 2.0 协议。设置联合后，如果用户可以对 vCenter Single Sign-On 进行身份验证，服务提供程序将为用户授予访问权限。

注： vCenter Single Sign-On 可以是其他 SP 的 IDP。 vCenter Single Sign-On 不能是使用其他 IDP 的 SP。

注册的 SAML 服务提供程序可以为已具有实时会话的用户（即，已登录到身份提供程序的用户）授予访问权限。例如，vRealize Automation 7.0 和更高版本支持 vCenter Single Sign-On 作为身份提供程序。可以从 vCenter Single Sign-On 和 vRealize Automation 设置联合。之后，vCenter Single Sign-On 可以在您登录到 vRealize Automation 时执行身份验证。

要将 SAML 服务提供程序加入到身份联合，必须通过在 SP 与 IDP 之间交换 SAML 元数据来建立彼此之间的信任。

必须同时对 vCenter Single Sign-On 和使用 vCenter Single Sign-On 的服务执行集成任务。

将 IDP 元数据导出到文件，然后将其导入到 SP。
导出 SP 元数据并将其导入到 IDP。

可以使用 vCenter Single Sign-On 的 vSphere Web Client 界面导出 IDP 元数据并从 SP 导入这些元数据。如果要使用 vRealize Automation 作为 SP，请参见 vRealize Automation 文档，了解有关导出 SP 元数据和导入 IDP 元数据的详细信息。

注：服务必须完全支持 SAML 2.0 标准，否则集成将不起作用。