vRealize Automation 提供了默认身份提供程序实例。用户可能需要配置其他身份提供程序实例。

关于此任务

vRealize Automation 提供了默认身份提供程序。在大多数情况下,默认提供程序足以满足客户需求。如果使用现有的企业身份管理解决方案,则可设置自定义身份提供程序,将用户重定向到现有身份解决方案。

使用自定义身份提供程序时,身份目录管理将使用从该提供程序获得的 SAML 元数据与提供程序建立信任关系。建立此关系之后,身份目录管理可根据主题名称 ID 将 SAML 断言中的用户映射到 vRealize Automation 内部用户列表。

先决条件

 • 配置要定向到此身份提供程序实例进行身份验证的网络范围。请参见添加或编辑网络范围

 • 有权访问第三方元数据文档。这可以是指向元数据的 URL 或实际元数据。

 • 租户管理员身份登录到 vRealize Automation 控制台。

过程

 1. 导航到管理 > 身份目录管理 > 身份提供程序

  此页面显示所有已配置的身份提供程序。

 2. 单击添加身份提供程序并编辑身份提供程序实例设置。

  表单项目

  描述

  身份提供程序名称

  输入此身份提供程序实例的名称。

  SAML 元数据

  添加第三方 IdP 基于 XML 的元数据文档,以便与身份提供程序建立信任关系。

  1. 在文本框中输入 SAML 元数据 URL 或 xml 内容。

  2. 单击处理 IdP 元数据。将从元数据中提取 IdP 支持的 NameID 格式,并将其添加到“名称 ID 格式”表中。

  3. 在“名称 ID 值”列中,在该服务中选择用户属性以映射到显示的 ID 格式。您可以添加自定义第三方名称 ID 格式并将其映射到服务中的用户属性值。

  4. (可选)选择 NameIDPolicy 响应标识符字符串格式。

  用户

  选择可使用此身份提供程序进行身份验证的用户的 Directories Management 目录。

  网络

  此处列出了在服务中配置的现有网络范围。

  根据用户 IP 地址,选择要定向到此身份提供程序实例进行身份验证的用户的网络范围。

  身份验证方法

  添加受第三方身份提供程序支持的身份验证方法。选择支持身份验证方法的 SAML 身份验证上下文类。

  SAML 签名证书

  单击服务提供程序 (SP) 元数据以查看 Directories Management SAML 服务提供程序元数据 URL。复制并保存该 URL。在第三方身份提供程序中编辑 SAML 断言以映射 Directories Management 用户时,将配置该 URL。

  Hostname

  如果显示主机名字段,请输入将身份提供程序重定向到的主机名以进行身份验证。如果使用 443 以外的非标准端口,则可以将其设置为“主机名:端口”。例如,myco.example.com:8443。

 3. 单击添加

下一步做什么

 • 复制并保存 Directories Management 服务提供程序元数据,在配置第三方身份提供程序实例时需要该数据。此元数据在“身份提供程序”页面的“SAML 签名证书”部分中可用。

 • 向服务默认策略中添加身份提供程序的身份验证方法。

有关添加资源和对添加到目录中的资源进行自定义的信息,请参见《Directories Management 中设置资源》指南。