Wenn Sie Benutzer und Gruppen aus einem SAML-Identitätsanbieter in Ihre Systemorganisation importieren möchten, müssen Sie Ihre Systemorganisation mit diesem SAML-Identitätsanbieter konfigurieren. Importierte Benutzer können sich mit den im SAML-Identitätsanbieter festgelegten Anmeldedaten bei der Systemorganisation anmelden.

Um VMware Cloud Director mit einem SAML-Identitätsprovider zu konfigurieren, richten Sie durch einen Austausch von Metadaten des SAML-Dienstanbieters und des Identitätsanbieters eine gegenseitige Vertrauensstellung ein.

Wenn ein importierter Benutzer versucht, sich anzumelden, extrahiert das System die folgenden Attribute (sofern sie verfügbar sind) aus dem SAML-Token und interpretiert mit ihrer Hilfe die entsprechenden Informationen über den Benutzer.
  • email address = "EmailAddress"
  • user name = "UserName"
  • full name = "FullName"
  • user's groups = "Groups"
  • user's roles = "Roles" (dieses Attribut ist konfigurierbar)

Gruppeninformationen werden verwendet, wenn der Benutzer nicht direkt importiert wird, sondern wenn von ihm erwartet wird, dass er sich aufgrund seiner Mitgliedschaft in den importierten Gruppen selbst anmeldet. Ein Benutzer kann mehreren Gruppen angehören und daher während einer Sitzung mehrere Rollen haben.

Wenn einem importierten Benutzer oder einer importierten Gruppe die Rolle „Auf Identitätsanbieter zurückstellen“ zugewiesen ist, werden die Rollen basierend auf den aus dem Attribut „Rollen“ im Token ermittelten Informationen zugewiesen. Wenn ein anderes Attribut verwendet wird, kann dieser Attributname über die API konfiguriert werden und nur das Attribut „Rollen“ ist konfigurierbar. Wenn die Rolle „Auf Identitätsanbieter zurückstellen“ verwendet wird, jedoch keine Rolleninformationen extrahiert werden können, kann sich der Benutzer zwar anmelden, verfügt jedoch über keine Rechte zum Durchführen von Aktivitäten.

Tipp: Wenn Sie VMware Cloud Director Version 10.3.2 oder früher verwenden und sich als lokaler Benutzer anmelden müssen, können Sie die konfigurierte Basis-URL verwenden, z. B. https://vcloud.example.com/tenant/tenant_name/login.

Voraussetzungen

  • Stellen Sie sicher, dass Sie Zugriff auf einen SAML 2.0-konformen Identitätsanbieter haben.
  • Rufen Sie eine XML-Datei mit den folgenden Metadaten vom SAML-Identitätsanbieter ab:
    • Der Speicherort des Single Sign-On-Diensts
    • Der Speicherort des Diensts für die einmalige Abmeldung
    • Der Speicherort des X.509-Zertifikats für den Dienst

    Informationen zum Konfigurieren und Abrufen von Metadaten für einen SAML-Provider finden Sie in der Dokumentation zu Ihrem SAML-Provider.

Prozedur

  1. Wählen Sie in der oberen Navigationsleiste Administration aus.
  2. Klicken Sie im linken Fensterbereich unter „Identitätsanbieter“ auf SAML und dann auf Bearbeiten.
    Die aktuellen SAML-Einstellungen werden angezeigt.
  3. Laden Sie über die Registerkarte Dienstanbieter die Metadaten des VMware Cloud Director-SAML-Dienstanbieters herunter.
    1. Geben Sie eine Element-ID für die Systemorganisation ein.

      Die Element-ID identifiziert Ihre Systemorganisation eindeutig gegenüber Ihrem Identitätsanbieter.

    2. Überprüfen Sie das Ablaufdatum des Zertifikats. Falls es bald abläuft, generieren Sie das Zertifikat neu, indem Sie auf Neu generieren klicken.
      Das Zertifikat ist in den SAML-Metadaten enthalten und wird für die Verschlüsselung und Signierung verwendet. Eine oder beide Optionen sind möglicherweise erforderlich, je nachdem, wie die Vertrauensstellung zwischen Ihrem SAML-Identitätsanbieter und Ihrer Organisation eingerichtet ist.
    3. Klicken Sie auf Metadaten abrufen.
      Ihr Browser lädt die Metadaten des SAML-Dienstanbieters herunter. Dies ist eine XML-Datei, die Sie Ihrem Identitätsanbieter bereitstellen müssen.
  4. Laden Sie auf der Registerkarte Identitätsanbieter die SAML-Metadaten hoch, die Sie zuvor von Ihrem Identitätsanbieter erhalten haben.
    1. Wählen Sie SAML-Identitätsprovider verwenden aus.
    2. Klicken Sie entweder auf das Symbol Durchsuchen und laden Sie die Datei hoch oder kopieren Sie sie und fügen Sie ihren Inhalt in das Textfeld Metadaten-XML ein.
  5. Klicken Sie auf Speichern.