Habilite en la organización de VMware Cloud Director el uso de un proveedor de identidad de lenguaje de marcado de aserción de seguridad (Security Assertion Markup Language, SAML), también denominado inicio de sesión único, para importar usuarios y grupos de ese proveedor, y permitir a los usuarios importados iniciar sesión en la organización con las credenciales establecidas en él.

Cuando importa los usuarios y grupos, el sistema extrae una lista de atributos del token SAML, si está disponible, y los usa para interpretar la información correspondiente sobre el usuario que intenta iniciar sesión.
  • email address = "EmailAddress"
  • user name = "UserName"
  • full name = "FullName"
  • user's groups = "Groups"
  • user's roles = "Roles"

    Puede configurar los atributos en el Tenant Portal en la pestaña Asignación de atributos cuando edite la configuración de SAML.

Se necesita información relacionada con el grupo si un usuario no se ha importado directamente, pero se espera que dicho usuario pueda iniciar sesión debido a que pertenece a grupos importados. Un usuario puede pertenecer a varios grupos y, por tanto, puede tener varias funciones durante una sesión.

Si se asigna la función Aplazar a proveedor de identidad a un grupo o un usuario importados, las funciones se asignan con base en la información recopilada a partir del atributo Roles del token. Si se utiliza un atributo diferente, este nombre de atributo solo se puede configurar mediante el uso de la API, y únicamente el atributo Roles es configurable. Si se utiliza la función Aplazar a proveedor de identidad, pero no se puede extraer información de funciones, el usuario puede iniciar sesión, pero no tiene derechos para realizar actividades.

Puede utilizar el cuadro de diálogo Editar configuración de SAML para cambiar la configuración de SAML.

Requisitos previos

  • Compruebe que ha iniciado sesión como administrador de organización o en una función con un conjunto de derechos equivalente.

  • Compruebe que tiene acceso a un proveedor de identidad compatible con SAML 2.0.
  • Compruebe que recibe los metadatos necesarios del proveedor de identidad SAML. Debe importar los metadatos a VMware Cloud Director de forma manual o como un archivo XML. Los metadatos deben incluir la siguiente información:
    • La ubicación del servicio de inicio de sesión único
    • La ubicación del servicio de cierre de sesión único
    • La ubicación del certificado X.509 del servicio

    Para obtener información sobre la configuración y la adquisición de metadatos de un proveedor de identidad SAML, consulte la documentación relativa a su proveedor de identidad SAML.

Procedimiento

  1. En el panel de navegación principal de la izquierda, seleccione Administración.
  2. En Proveedores de identidad, haga clic en SAML.
  3. Haga clic en Editar.
  4. En la pestaña Proveedor de servicios, introduzca el ID de entidad.
    El ID de entidad es el identificador único de su organización para el proveedor de identidades. Puede utilizar el nombre de la organización, o cualquier otra cadena que cumpla los requisitos del proveedor de identidad SAML.
    Importante: Una vez que se especifica un ID de entidad, no puede eliminarlo. Para cambiar el ID de entidad, debe realizar una reconfiguración completa de SAML para su organización. Para obtener más información sobre los ID de entidad, consulte el documento relacionado con las aserciones y los protocolos del Lenguaje de marcado de aserción de seguridad (SAML) 2.0 de OASIS.
  5. Para descargar los metadatos de SAML de la organización, haga clic en el vínculo Recuperar metadatos.
    El navegador descarga los metadatos de SAML como un archivo XML, el cual debe proporcionar tal cual está al proveedor de identidad.
  6. Revise la fecha de caducidad del certificado y, si lo desea, haga clic en Volver a generar para volver a generar el certificado utilizado para firmar los mensajes de la federación.
    Puede proporcionar sus propios certificados para la firma de SAML cargándolos en la biblioteca de certificados de la interfaz de usuario y, a continuación, pasando una referencia a ellos en la API de configuración de SAML.
    El certificado se incluye en los metadatos de SAML y se utiliza para el cifrado y la firma. El cifrado o la firma pueden ser necesarios dependiendo de cómo se establezca la confianza entre su organización y el proveedor de identidad SAML.
  7. En la pestaña Proveedor de identidad, active el botón de alternancia Utilizar proveedor de identidad SAML.
  8. Copie y pegue los metadatos SAML que recibió del proveedor de identidad en el cuadro de texto o haga clic en Cargar para buscar y cargar los metadatos desde un archivo XML.
  9. En VMware Cloud Director 10.5.1 y versiones posteriores, si desea personalizar la etiqueta del botón Iniciar sesión con SAML que aparece en la página de inicio de sesión de VMware Cloud Director, introduzca un nuevo texto de botón personalizado.

    Puede introducir hasta 24 símbolos. Puede utilizar caracteres especiales y letras acentuadas. Si desea revertir al texto predeterminado, elimine la etiqueta personalizada. La etiqueta predeterminada del botón está localizada y, en función de la configuración de idioma del navegador, el texto puede aparecer en un idioma diferente. Las etiquetas personalizadas siempre aparecen a medida que se introducen.

  10. Haga clic en Guardar.

Qué hacer a continuación

  • Configure el proveedor SAML con los metadatos de VMware Cloud Director. Consulte la documentación del proveedor de identidad SAML y la Guía de instalación, configuración y actualización de VMware Cloud Director.
  • Importe usuarios y grupos de su proveedor de identidad SAML. Consulte Administración de usuarios, grupos y funciones en VMware Cloud Director.