Wenn Sie Benutzer und Gruppen aus einem SAML-Identitätsanbieter in die VMware Cloud Director-Systemorganisation importieren möchten, müssen Sie Ihre Systemorganisation mit diesem SAML-Identitätsanbieter konfigurieren. Importierte Benutzer können sich mit den im SAML-Identitätsanbieter festgelegten Anmeldedaten bei der Systemorganisation anmelden.

Um VMware Cloud Director mit einem SAML-Identitätsprovider zu konfigurieren, richten Sie durch einen Austausch von Metadaten des SAML-Dienstanbieters und des Identitätsanbieters eine gegenseitige Vertrauensstellung ein.
Hinweis: Informationen zur erfolgreichen VMware Cloud Director-Integration mit externen Identitätsanbietern, zur Ermittlung der korrekten Werte und Einstellungen und zur Gewährleistung einer ordnungsgemäßen und genauen Konfiguration finden Sie auch in der Produktdokumentation dieser Identitätsanbieter.

Wenn ein importierter Benutzer versucht, sich anzumelden, extrahiert das System die folgenden Attribute (sofern sie verfügbar sind) aus dem SAML-Token und interpretiert mit ihrer Hilfe die entsprechenden Informationen über den Benutzer.

  • email address = "EmailAddress"
  • user name = "UserName"
  • full name = "FullName"
  • user's groups = "Groups"
  • user's roles = "Roles" (dieses Attribut ist konfigurierbar)

Gruppeninformationen werden verwendet, wenn der Benutzer nicht direkt importiert wird, sondern wenn von ihm erwartet wird, dass er sich aufgrund seiner Mitgliedschaft in den importierten Gruppen selbst anmeldet. Ein Benutzer kann mehreren Gruppen angehören und daher während einer Sitzung mehrere Rollen haben.

Wenn einem importierten Benutzer oder einer importierten Gruppe die Rolle „Auf Identitätsanbieter zurückstellen“ zugewiesen ist, werden die Rollen basierend auf den aus dem Attribut „Rollen“ im Token ermittelten Informationen zugewiesen. Wenn ein anderes Attribut verwendet wird, kann dieser Attributname über die API konfiguriert werden und nur das Attribut „Rollen“ ist konfigurierbar. Wenn die Rolle Auf Identitätsanbieter zurückstellen verwendet wird, aber keine Rolleninformationen extrahiert werden können, kann sich der Benutzer zwar anmelden, verfügt jedoch über keine Rechte zum Durchführen von Aktivitäten.

Tipp:

Wenn für eine Organisation in VMware Cloud Director SAML oder OIDC konfiguriert ist, wird auf der Benutzeroberfläche für Version 10.4.2 und höher nur die Option Mit Single Sign-On anmelden angezeigt. Navigieren Sie zu https://vcloud.example.com/tenant/tenant_name/login oder https://vcloud.example.com/provider/login, um sich als lokaler Benutzer anzumelden.

VMware Cloud Director-Anmeldeseite mit einer Schaltfläche für die SSO-Anmeldung.

Wenn bei den Versionen 10.3.3 bis 10.4.1 für eine Organisation in VMware Cloud Director SAML oder OIDC konfiguriert ist, wählen Sie für die Anmeldung bei Ihrem Identitätsanbieter die Option Mit Single Sign-On anmelden aus.

VMware Cloud Director-Anmeldeseite mit Schaltflächen für die SSO-Anmeldung und die Anmeldung als lokaler Benutzer.

Voraussetzungen

  • Stellen Sie sicher, dass Sie Zugriff auf einen SAML 2.0-konformen Identitätsanbieter haben.
  • Rufen Sie eine XML-Datei mit den folgenden Metadaten vom SAML-Identitätsanbieter ab:
    • Der Speicherort des Single Sign-On-Diensts
    • Der Speicherort des Diensts für die einmalige Abmeldung
    • Der Speicherort des X.509-Zertifikats für den Dienst

    Informationen zum Konfigurieren und Abrufen von Metadaten für einen SAML-Provider finden Sie in der Dokumentation zu Ihrem SAML-Provider.

Prozedur

  1. Wählen Sie in der oberen Navigationsleiste Administration aus.
  2. Klicken Sie im linken Fensterbereich unter „Identitätsanbieter“ auf SAML und dann auf Bearbeiten.
    Die aktuellen SAML-Einstellungen werden angezeigt.
  3. Laden Sie über die Registerkarte Dienstanbieter die Metadaten des VMware Cloud Director-SAML-Dienstanbieters herunter.
    1. Geben Sie eine Element-ID für die Systemorganisation ein.

      Die Element-ID identifiziert Ihre Systemorganisation eindeutig gegenüber Ihrem Identitätsanbieter.

    2. Überprüfen Sie das Ablaufdatum des Zertifikats. Falls es bald abläuft, generieren Sie das Zertifikat neu, indem Sie auf Neu generieren klicken.
      Das Zertifikat ist in den SAML-Metadaten enthalten und wird für die Verschlüsselung und Signierung verwendet. Eine oder beide Optionen sind möglicherweise erforderlich, je nachdem, wie die Vertrauensstellung zwischen Ihrem SAML-Identitätsanbieter und Ihrer Organisation eingerichtet ist.
    3. Klicken Sie auf Metadaten abrufen.
      Ihr Browser lädt die Metadaten des SAML-Dienstanbieters herunter. Dies ist eine XML-Datei, die Sie Ihrem Identitätsanbieter bereitstellen müssen.
  4. Laden Sie auf der Registerkarte Identitätsanbieter die SAML-Metadaten hoch, die Sie zuvor von Ihrem Identitätsanbieter erhalten haben.
    1. Wählen Sie SAML-Identitätsprovider verwenden aus.
    2. Klicken Sie entweder auf das Symbol Durchsuchen und laden Sie die Datei hoch oder kopieren Sie sie und fügen Sie ihren Inhalt in das Textfeld Metadaten-XML ein.
  5. Klicken Sie auf Speichern.