Aktivieren Sie für Ihre VMware Cloud Director-Organisation die Verwendung eines SAML-Identitätsanbieters (Security Assertion Markup Language), auch als Single Sign-On bezeichnet, um Benutzer und Gruppen aus einem SAML-Identitätsanbieter zu importieren und zuzulassen, dass importierte Benutzer sich bei der Organisation mit den im SAML-Identitätsanbieter festgelegten Anmeldeinformationen anmelden.

Wenn Sie Benutzer und Gruppen importieren, extrahiert das System eine Liste der Attribute aus dem SAML-Token, sofern verfügbar, und verwendet diese für die Interpretation der entsprechenden Informationen über den Benutzer, der den Anmeldeversuch unternimmt.
  • email address = "EmailAddress"
  • user name = "UserName"
  • full name = "FullName"
  • user's groups = "Groups"
  • user's roles = "Roles"

    Sie können die Attribute im Tenant Portal auf der Registerkarte Attributzuordnung konfigurieren, wenn Sie die SAML-Konfiguration bearbeiten.

Gruppeninformationen sind notwendig, wenn der Benutzer nicht direkt importiert wird, sondern wenn von ihm erwartet wird, dass er sich aufgrund seiner Mitgliedschaft in importierten Gruppen selbst anmelden kann. Ein Benutzer kann mehreren Gruppen angehören und während einer Sitzung mehrere Rollen einnehmen.

Wenn einem importierten Benutzer oder einer importierten Gruppe die Rolle Auf Identitätsanbieter zurückstellen zugewiesen ist, werden die Rollen basierend auf den aus dem Roles-Attribut im Token ermittelten Informationen zugewiesen. Wenn ein anderes Attribut verwendet wird, kann dieser Attributname nur über die API konfiguriert werden, und allein das Roles-Attribut ist konfigurierbar. Wenn die Rolle Auf Identitätsanbieter zurückstellen verwendet wird, jedoch keine Rolleninformationen extrahiert werden können, kann der Benutzer sich anmelden, verfügt jedoch über keine Rechte zum Durchführen von Aktivitäten.

Sie können das Dialogfeld „SAML-Konfiguration bearbeiten“ verwenden, um die SAML-Einstellungen zu ändern.

Voraussetzungen

  • Stellen Sie sicher, dass Sie als Organisationsadministrator oder mit einer Rolle mit entsprechenden Rechten angemeldet sind.

  • Stellen Sie sicher, dass Sie Zugriff auf einen SAML 2.0-konformen Identitätsanbieter haben.
  • Stellen Sie sicher, dass Sie die erforderlichen Metadaten von Ihrem SAML-Identitätsanbieter erhalten. Sie müssen die Metadaten entweder manuell oder als XML-Datei in VMware Cloud Director importieren. Die Metadaten müssen die folgenden Informationen enthalten:
    • Der Speicherort des Single Sign-On-Diensts
    • Der Speicherort des Diensts für die einmalige Abmeldung
    • Der Speicherort des X.509-Zertifikats für den Dienst

    Informationen zum Konfigurieren und Abrufen von Metadaten von einem SAML-Anbieter finden Sie in der Dokumentation zu Ihrem SAML-Identitätsanbieter.

Prozedur

  1. Wählen Sie im primären linken Navigationsbereich Verwaltung aus.
  2. Klicken Sie unter Identitätsanbieter auf SAML.
  3. Klicken Sie auf Bearbeiten.
  4. Geben Sie auf der Registerkarte Dienstanbieter die Entitäts-ID ein.
    Die Entitäts-ID ist der einzige Bezeichner Ihrer Organisation für Ihren Identitätsanbieter. Sie können den Namen Ihrer Organisation oder eine beliebige andere Zeichenfolge verwenden, die den Anforderungen Ihres SAML-Identitätsanbieters entspricht.
    Wichtig: Nachdem Sie eine Element-ID angeben haben, können Sie diese nicht mehr löschen. Um die Entitäts-ID zu ändern, müssen Sie eine vollständige SAML-Neukonfiguration für Ihre Organisation durchführen. Informationen zu Entitäts-IDs finden Sie im Dokument Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) 2.0.
  5. Um die SAML-Metadaten für Ihre Organisation herunterzuladen, klicken Sie auf Metadaten abrufen.
    Ihr Browser lädt die SAML-Metadaten herunter. Dies ist eine XML-Datei, die Sie Ihrem Identitätsanbieter unverändert bereitstellen müssen.
  6. Überprüfen Sie das Ablaufdatum des Zertifikats und klicken Sie optional auf Neu generieren, um das Zertifikat neu zu generieren, das zum Signieren von Verbundnachrichten verwendet wird.
    Sie können Ihre eigenen Zertifikate für die SAML-Signatur bereitstellen, indem Sie sie in die Zertifikatsbibliothek auf der Benutzeroberfläche hochladen und dann einen Verweis darauf in der SAML-Konfigurations-API übergeben.
    Das Zertifikat ist in den SAML-Metadaten enthalten und wird für die Verschlüsselung und Signierung verwendet. Die Verschlüsselung oder die Signatur oder beide sind möglicherweise erforderlich, je nachdem, wie die Vertrauensstellung zwischen Ihrem SAML-Identitätsanbieter und Ihrer Organisation eingerichtet ist.
  7. Aktivieren Sie auf der Registerkarte Identitätsprovider die Umschaltoption SAML-Identitätsprovider verwenden.
  8. Kopieren Sie die SAML-Metadaten, die Sie von Ihrem Identitätsanbieter erhalten haben, und fügen Sie sie in das Textfeld ein oder klicken Sie auf Hochladen, um eine XML-Datei mit den Metadaten zu suchen und hochzuladen.
  9. Wenn Sie für VMware Cloud Director 10.5.1 und höher die Schaltflächenbezeichnung Mit SAML anmelden anpassen möchten, die auf der Anmeldeseite von VMware Cloud Director angezeigt wird, geben Sie einen neuen benutzerdefinierten Schaltflächentext ein.

    Sie können bis zu 24 Symbole eingeben. Sie können Sonderzeichen und Akzente verwenden. Wenn Sie den Standardtext wiederherstellen möchten, löschen Sie die benutzerdefinierte Bezeichnung. Die Standardbezeichnung der Schaltfläche ist lokalisiert; je nach den Spracheinstellungen Ihres Browsers kann der Text in einer anderen Sprache angezeigt werden. Benutzerdefinierte Bezeichnungen werden immer so angezeigt, wie Sie sie eingeben.

  10. Klicken Sie auf Speichern.

Nächste Maßnahme

  • Konfigurieren Sie Ihren SAML-Anbieter mit VMware Cloud Director-Metadaten. Weitere Informationen finden Sie in der Dokumentation Ihres SAML-Identitätsanbieters und im Installations-, Konfigurations- und Upgrade-Handbuch zu VMware Cloud Director.
  • Importieren Sie Benutzer und Gruppen von Ihrem SAML-Identitätsanbieter. Weitere Informationen finden Sie unter Verwalten von Benutzern, Gruppen und Rollen in VMware Cloud Director.