Wenn Sie Benutzer und Gruppen aus einem SAML-Identitätsanbieter in die VMware Cloud Director-Systemorganisation importieren möchten, müssen Sie Ihre Systemorganisation mit diesem SAML-Identitätsanbieter konfigurieren. Importierte Benutzer können sich mit den im SAML-Identitätsanbieter festgelegten Anmeldedaten bei der Systemorganisation anmelden.

Um VMware Cloud Director mit einem SAML-Identitätsprovider zu konfigurieren, richten Sie durch einen Austausch von Metadaten des SAML-Dienstanbieters und des Identitätsanbieters eine gegenseitige Vertrauensstellung ein.
Hinweis: Informationen zur erfolgreichen VMware Cloud Director-Integration mit externen Identitätsanbietern, zur Ermittlung der korrekten Werte und Einstellungen und zur Gewährleistung einer ordnungsgemäßen und genauen Konfiguration finden Sie auch in der Produktdokumentation dieser Identitätsanbieter.

Wenn ein importierter Benutzer versucht, sich anzumelden, extrahiert das System die folgenden Attribute (sofern sie verfügbar sind) aus dem SAML-Token und interpretiert mit ihrer Hilfe die entsprechenden Informationen über den Benutzer.

  • email address = "EmailAddress"
  • user name = "UserName"
  • full name = "FullName"
  • user's groups = "Groups"
  • user's roles = "Roles" (dieses Attribut ist konfigurierbar)

Gruppeninformationen werden verwendet, wenn der Benutzer nicht direkt importiert wird, sondern wenn von ihm erwartet wird, dass er sich aufgrund seiner Mitgliedschaft in den importierten Gruppen selbst anmeldet. Ein Benutzer kann mehreren Gruppen angehören und daher während einer Sitzung mehrere Rollen haben.

Wenn einem importierten Benutzer oder einer importierten Gruppe die Rolle „Auf Identitätsanbieter zurückstellen“ zugewiesen ist, werden die Rollen basierend auf den aus dem Attribut „Rollen“ im Token ermittelten Informationen zugewiesen. Wenn ein anderes Attribut verwendet wird, kann dieser Attributname über die API konfiguriert werden und nur das Attribut „Rollen“ ist konfigurierbar. Wenn die Rolle Auf Identitätsanbieter zurückstellen verwendet wird, aber keine Rolleninformationen extrahiert werden können, kann sich der Benutzer zwar anmelden, verfügt jedoch über keine Rechte zum Durchführen von Aktivitäten.

Voraussetzungen

  • Stellen Sie sicher, dass Sie Zugriff auf einen SAML 2.0-konformen Identitätsanbieter haben.
  • Rufen Sie eine XML-Datei mit den folgenden Metadaten vom SAML-Identitätsanbieter ab:
    • Der Speicherort des Single Sign-On-Diensts
    • Der Speicherort des Diensts für die einmalige Abmeldung
    • Der Speicherort des X.509-Zertifikats für den Dienst

    Informationen zum Konfigurieren und Abrufen von Metadaten für einen SAML-Provider finden Sie in der Dokumentation zu Ihrem SAML-Provider.

Prozedur

  1. Wählen Sie im primären linken Navigationsbereich Verwaltung aus.
  2. Klicken Sie im linken Fensterbereich unter „Identitätsanbieter“ auf SAML und dann auf Bearbeiten.
    Die aktuellen SAML-Einstellungen werden angezeigt.
  3. Laden Sie über die Registerkarte Dienstanbieter die Metadaten des VMware Cloud Director-SAML-Dienstanbieters herunter.
    1. Geben Sie eine Element-ID für die Systemorganisation ein.

      Die Element-ID identifiziert Ihre Systemorganisation eindeutig gegenüber Ihrem Identitätsanbieter.

    2. Überprüfen Sie das Ablaufdatum des Zertifikats. Falls es bald abläuft, generieren Sie das Zertifikat neu, indem Sie auf Neu generieren klicken.
      Das Zertifikat ist in den SAML-Metadaten enthalten und wird für die Verschlüsselung und Signierung verwendet. Eine oder beide Optionen sind möglicherweise erforderlich, je nachdem, wie die Vertrauensstellung zwischen Ihrem SAML-Identitätsanbieter und Ihrer Organisation eingerichtet ist.
    3. Klicken Sie auf Metadaten abrufen.
      Ihr Browser lädt die Metadaten des SAML-Dienstanbieters herunter. Dies ist eine XML-Datei, die Sie Ihrem Identitätsanbieter bereitstellen müssen.
  4. Laden Sie auf der Registerkarte Identitätsanbieter die SAML-Metadaten hoch, die Sie zuvor von Ihrem Identitätsanbieter erhalten haben.
    1. Wählen Sie SAML-Identitätsprovider verwenden aus.
    2. Klicken Sie entweder auf das Symbol Durchsuchen und laden Sie die Datei hoch oder kopieren Sie sie und fügen Sie ihren Inhalt in das Textfeld Metadaten-XML ein.
  5. Wenn Sie für VMware Cloud Director 10.5.1 und höher die Schaltflächenbezeichnung Mit SAML anmelden anpassen möchten, die auf der Anmeldeseite von VMware Cloud Director angezeigt wird, geben Sie einen neuen benutzerdefinierten Schaltflächentext ein.

    Sie können bis zu 24 Symbole eingeben. Sie können Sonderzeichen und Akzente verwenden. Wenn Sie den Standardtext wiederherstellen möchten, löschen Sie die benutzerdefinierte Bezeichnung. Die Standardbezeichnung der Schaltfläche ist lokalisiert; je nach den Spracheinstellungen Ihres Browsers kann der Text in einer anderen Sprache angezeigt werden. Benutzerdefinierte Bezeichnungen werden immer so angezeigt, wie Sie sie eingeben.

  6. Klicken Sie auf Speichern.