通过联合身份管理,可以接受来自同一个域的电子身份和属性并使用它们访问其他域中的资源。您可以使用 vCenter Single Sign-On 和 VMware Identity Manager 在 vRealize Automation、vRealize Operations Manager 和 vSphere Web Client 之间启用联合身份管理。
联合身份环境根据用户与联合身份系统交互的方式将用户分为多个类别,称为“用户配置”。用户使用系统接收服务。管理员配置和管理系统之间的联合。开发人员创建和扩展用户使用的服务。下表介绍了这些用户配置享有的联合身份管理的优势。
| 用户类型 | 联合身份优势 |
|---|---|
| 用户 |
|
| 管理员 |
|
| 开发人员 |
|
通过在双方之间创建 SAML 连接,您可以设置 VMware Identity Manager 和 vCenter Single Sign-On 之间的联合。vCenter Single Sign-On 充当身份提供程序,VMware Identity Manager 充当服务提供程序。身份提供程序提供电子身份。服务提供程序在评估和接受电子身份后授予资源访问权限。
对于要通过 vCenter Single Sign-On 身份验证的用户,必须在 VMware Identity Manager 和 vCenter Single Sign-On 中使用同一个帐户。至少用户的 userPrinicpalName 在两端必须匹配。其他属性可以不同,因为不使用这些属性来标识 SAML 主体。
对于 vCenter Single Sign-On 中的本地用户(如 [email protected]),必须至少在用户 userPrinicpalName 匹配的 VMware Identity Manager 中创建相应帐户。必须使用 VMware Identity Manager 本地用户创建 API 手动或通过脚本创建相应帐户。
在 SSO2 和 vIDM 之间设置 SAML 需要完成以下任务。
- 更新 VMware Identity Manager 默认身份验证之前,将 SAML 令牌从 vCenter Single Sign-On 导入 VMware Identity Manager。
- 在 VMware Identity Manager 中,将 vCenter Single Sign-On 配置为 VMware Identity Manager 上的第三方身份提供程序,并更新 VMware Identity Manager 默认身份验证。
- 在 vCenter Single Sign-On 上,通过导入 VMware Identity Managersp.xml 文件将 VMware Identity Manager 配置为服务提供程序。
请参见以下产品文档:
- 有关将 SSO2 配置为 vRealize Automation 的身份提供程序的信息,请参见《将 VMware vCenter SSO 5.5 U2 与 VMware vCloud Automation Center 6.1 搭配使用》。
- 有关 vRealize AutomationVMware Identity Manager 文档,请参见《更新 VMware Identity Manager 的 Single Sign-On 密码》。
- 有关如何在身份目录管理和 SSO2 之间配置联合的信息,请参见《在目录管理与 SSO2 之间配置 SAML 联合》。
- 有关 vRealize Operations Manager SSO 文档,请参见《在 vRealize Operations Manager 中配置 Single Sign-On 源》。
