通过联合身份管理,可以接受来自同一个域的电子身份和属性并使用它们访问其他域中的资源。您可以使用 vCenter Single Sign-OnVMware Identity ManagervRealize AutomationvRealize Operations ManagervSphere Web Client 之间启用联合身份管理。

联合身份环境根据用户与联合身份系统交互的方式将用户分为多个类别,称为“用户配置”。用户使用系统接收服务。管理员配置和管理系统之间的联合。开发人员创建和扩展用户使用的服务。下表介绍了这些用户配置享有的联合身份管理的优势。

表 1. 用户配置优势
用户类型 联合身份优势
用户
  • 便捷地单点登录到多个应用程序
  • 管理更少的密码
  • 提高安全性
管理员
  • 更好地控制应用程序授权和访问
  • 基于上下文和策略进行身份验证
开发人员
  • 轻松集成
  • 轻松享受多租户、用户和组管理、可扩展身份验证和委派授权的优势

通过在双方之间创建 SAML 连接,您可以设置 VMware Identity ManagervCenter Single Sign-On 之间的联合。vCenter Single Sign-On 充当身份提供程序,VMware Identity Manager 充当服务提供程序。身份提供程序提供电子身份。服务提供程序在评估和接受电子身份后授予资源访问权限。

对于要通过 vCenter Single Sign-On 身份验证的用户,必须在 VMware Identity ManagervCenter Single Sign-On 中使用同一个帐户。至少用户的 userPrinicpalName 在两端必须匹配。其他属性可以不同,因为不使用这些属性来标识 SAML 主体。

对于 vCenter Single Sign-On 中的本地用户(如 admin@vsphere.local),必须至少在用户 userPrinicpalName 匹配的 VMware Identity Manager 中创建相应帐户。必须使用 VMware Identity Manager 本地用户创建 API 手动或通过脚本创建相应帐户。

在 SSO2 和 vIDM 之间设置 SAML 需要完成以下任务。

  1. 更新 VMware Identity Manager 默认身份验证之前,将 SAML 令牌从 vCenter Single Sign-On 导入 VMware Identity Manager
  2. VMware Identity Manager 中,将 vCenter Single Sign-On 配置为 VMware Identity Manager 上的第三方身份提供程序,并更新 VMware Identity Manager 默认身份验证。
  3. vCenter Single Sign-On 上,通过导入 VMware Identity Managersp.xml 文件将 VMware Identity Manager 配置为服务提供程序。

请参见以下产品文档: