Si desea importar usuarios y grupos desde un proveedor de identidad SAML en la organización del sistema de VMware Cloud Director, debe configurar la organización del sistema con dicho proveedor de identidad SAML. Los usuarios importados pueden iniciar sesión en la organización del sistema con las credenciales establecidas en el proveedor de identidad SAML.

Para configurar VMware Cloud Director con un proveedor de identidad SAML, establezca una confianza mutua mediante el intercambio de metadatos de proveedor de identidad y proveedor de servicios SAML.
Nota: Para obtener una integración correcta de VMware Cloud Director con proveedores de identidad externos, consulte también la documentación del producto de esos proveedores para determinar los valores y la configuración correctos, así como garantizar una configuración adecuada y precisa.

Cuando un usuario importado intenta iniciar sesión, el sistema extrae los siguientes atributos del token SAML (si está disponible) y los utiliza para interpretar los datos correspondientes sobre el usuario.

  • email address = "EmailAddress"
  • user name = "UserName"
  • full name = "FullName"
  • user's groups = "Groups"
  • user's roles = "Roles" (este atributo puede configurarse)

Se utiliza la información del grupo si el usuario no se ha importado directamente, pero se espera que inicie sesión debido a que pertenece a grupos importados. Un usuario puede pertenecer a varios grupos, por lo que puede tener varias funciones durante una sesión.

Si se asigna la función Aplazar a proveedor de identidad a un grupo o un usuario importados, las funciones se asignan con base en la información recopilada a partir del atributo Funciones del token. Si se utiliza un atributo diferente, este nombre de atributo se puede configurar mediante la API y solo el atributo Funciones es configurable. Si se utiliza la función Aplazar a proveedor de identidad, pero no se puede extraer información de funciones, el usuario puede iniciar sesión, pero no tiene derechos para realizar actividades.

Sugerencia:

Para la versión 10.4.2 y versiones posteriores, si una organización en VMware Cloud Director tiene configurados SAML u OIDC, la interfaz de usuario solo muestra la opción Iniciar sesión con Single Sign-On. Para iniciar sesión como usuario local, desplácese hasta https://vcloud.example.com/tenant/tenant_name/login o https://vcloud.example.com/provider/login.

Página de inicio de sesión de VMware Cloud Director con un botón de inicio de sesión de SSO.

Para las versiones 10.3.3 a 10.4.1, si una organización en VMware Cloud Director tiene configurados SAML u OIDC, para iniciar sesión con su proveedor de identidad, seleccione la opción Iniciar sesión con Single Sign-On.

Página de inicio de sesión de VMware Cloud Director con botones de inicio de sesión de usuario local y SSO.

Requisitos previos

  • Compruebe que tiene acceso a un proveedor de identidad compatible con SAML 2.0.
  • Obtenga un archivo XML con los siguientes metadatos de su proveedor de identidad SAML.
    • La ubicación del servicio de inicio de sesión único
    • La ubicación del servicio de cierre de sesión único
    • La ubicación del certificado X.509 del servicio

    Para obtener información sobre la configuración y la adquisición de metadatos de un proveedor de identidad SAML, consulte la documentación relativa a su proveedor SAML.

Procedimiento

  1. En la barra de navegación superior, seleccione Administración.
  2. En el panel de la izquierda, en Proveedores de identidad, haga clic en SAML y luego en Editar.
    Se muestra la configuración de SAML actual.
  3. En la pestaña Proveedor de servicios, descargue los metadatos de proveedor de servicios SAML de VMware Cloud Director.
    1. Introduzca un identificador de entidad para la organización del sistema.

      El identificador de entidad identifica de manera exclusiva la organización del sistema en el proveedor de identidad.

    2. Examine la fecha de caducidad del certificado y, si caduca pronto, haga clic en Volver a generar para volver a generar el certificado.
      El certificado se incluye en los metadatos de SAML y se utiliza para el cifrado y la firma. Uno de estos o ambos pueden ser necesarios dependiendo de cómo se establezca la confianza entre su organización y el IDP de SAML.
    3. Haga clic en Recuperar metadatos.
      El navegador descarga los metadatos del proveedor de servicios SAML como un archivo XML, el cual debe proporcionar al proveedor de identidad.
  4. En la pestaña Proveedor de identidad, cargue los metadatos de SAML que recibió anteriormente del proveedor de identidad.
    1. Seleccione Utilizar proveedor de identidad SAML.
    2. Haga clic en el icono Examinar y cargue el archivo, o bien copie y pegue el contenido de este en el cuadro de texto XML de metadatos.
  5. Haga clic en Guardar.