Aktivieren Sie für Ihre Organisation die Verwendung eines SAML-Identitätsanbieters (Security Assertion Markup Language), auch als Single Sign-On bezeichnet, um Benutzer und Gruppen aus einem SAML-Identitätsanbieter zu importieren und zuzulassen, dass importierte Benutzer sich bei der Organisation mit den im SAML-Identitätsanbieter festgelegten Anmeldeinformationen anmelden.

Wenn Sie Benutzer und Gruppen importieren, extrahiert das System eine Liste der Attribute aus dem SAML-Token, sofern verfügbar, und verwendet diese für die Interpretation der entsprechenden Informationen über den Benutzer, der den Anmeldeversuch unternimmt.
  • email address = "EmailAddress"
  • user name = "UserName"
  • full name = "FullName"
  • user's groups = "Groups"
  • user's roles = "Roles"

    Sie können die Attribute im Tenant Portal auf der Registerkarte Attributzuordnung konfigurieren, wenn Sie die SAML-Konfiguration bearbeiten.

Gruppeninformationen sind notwendig, wenn der Benutzer nicht direkt importiert wird, sondern wenn von ihm erwartet wird, dass er sich aufgrund seiner Mitgliedschaft in importierten Gruppen selbst anmelden kann. Ein Benutzer kann mehreren Gruppen angehören und während einer Sitzung mehrere Rollen einnehmen.

Wenn einem importierten Benutzer oder einer importierten Gruppe die Rolle Auf Identitätsanbieter zurückstellen zugewiesen ist, werden die Rollen basierend auf den aus dem Roles-Attribut im Token ermittelten Informationen zugewiesen. Wenn ein anderes Attribut verwendet wird, kann dieser Attributname nur über die API konfiguriert werden, und allein das Roles-Attribut ist konfigurierbar. Wenn die Rolle Auf Identitätsanbieter zurückstellen verwendet wird, jedoch keine Rolleninformationen extrahiert werden können, kann der Benutzer sich anmelden, verfügt jedoch über keine Rechte zum Durchführen von Aktivitäten.

Voraussetzungen

  • Dieser Vorgang erfordert die in der vordefinierten Rolle Organisationsadministrator enthaltenen Rechte oder entsprechende Rechte.

  • Stellen Sie sicher, dass Sie Zugriff auf einen SAML 2.0-konformen Identitätsanbieter haben.
  • Stellen Sie sicher, dass Sie die erforderlichen Metadaten von Ihrem SAML-Identitätsanbieter erhalten. Sie müssen die Metadaten entweder manuell oder als XML-Datei in VMware Cloud Director importieren. Die Metadaten müssen die folgenden Informationen enthalten:
    • Der Speicherort des Single Sign-On-Diensts
    • Der Speicherort des Diensts für die einmalige Abmeldung
    • Der Speicherort des X.509-Zertifikats für den Dienst

    Informationen zum Konfigurieren und Abrufen von Metadaten von einem SAML-Anbieter finden Sie in der Dokumentation zu Ihrem SAML-Identitätsanbieter.

Prozedur

  1. Klicken Sie in der oberen Navigationsleiste auf Administration.
  2. Klicken Sie unter Identitätsanbieter auf SAML.
  3. Klicken Sie auf Bearbeiten.
  4. Geben Sie auf der Registerkarte Dienstanbieter die Entitäts-ID ein.
    Die Entitäts-ID ist der einzige Bezeichner Ihrer Organisation für Ihren Identitätsanbieter. Sie können den Namen Ihrer Organisation oder eine beliebige andere Zeichenfolge verwenden, die den Anforderungen Ihres SAML-Identitätsanbieters entspricht.
    Wichtig: Nachdem Sie eine Element-ID angeben haben, können Sie diese nicht mehr löschen. Um die Entitäts-ID zu ändern, müssen Sie eine vollständige SAML-Neukonfiguration für Ihre Organisation durchführen. Informationen zu Entitäts-IDs finden Sie im Dokument Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) 2.0.
  5. Um die SAML-Metadaten für Ihre Organisation herunterzuladen, klicken Sie auf Metadaten abrufen.
    Ihr Browser lädt die SAML-Metadaten herunter. Dies ist eine XML-Datei, die Sie Ihrem Identitätsanbieter unverändert bereitstellen müssen.
  6. Überprüfen Sie das Ablaufdatum des Zertifikats und klicken Sie optional auf Neu generieren, um das Zertifikat neu zu generieren, das zum Signieren von Verbundnachrichten verwendet wird.
    Sie können Ihre eigenen Zertifikate für die SAML-Signatur bereitstellen, indem Sie sie in die Zertifikatsbibliothek auf der Benutzeroberfläche hochladen und dann einen Verweis darauf in der SAML-Konfigurations-API übergeben.
    Das Zertifikat ist in den SAML-Metadaten enthalten und wird für die Verschlüsselung und Signierung verwendet. Die Verschlüsselung oder die Signatur oder beide sind möglicherweise erforderlich, je nachdem, wie die Vertrauensstellung zwischen Ihrem SAML-Identitätsanbieter und Ihrer Organisation eingerichtet ist.
  7. Aktivieren Sie auf der Registerkarte Identitätsprovider die Umschaltoption SAML-Identitätsprovider verwenden.
  8. Kopieren Sie die SAML-Metadaten, die Sie von Ihrem Identitätsanbieter erhalten haben, und fügen Sie sie in das Textfeld ein oder klicken Sie auf Hochladen, um eine XML-Datei mit den Metadaten zu suchen und hochzuladen.
  9. Klicken Sie auf Speichern.

Nächste Maßnahme

  • Konfigurieren Sie Ihren SAML-Anbieter mit VMware Cloud Director-Metadaten. Weitere Informationen finden Sie in der Dokumentation Ihres SAML-Identitätsanbieters und im Installations-, Konfigurations- und Upgrade-Handbuch zu VMware Cloud Director.
  • Importieren Sie Benutzer und Gruppen von Ihrem SAML-Identitätsanbieter. Weitere Informationen finden Sie unter Verwalten von Benutzern, Gruppen und Rollen.