Si vous souhaitez importer des utilisateurs et des groupes à partir d'un fournisseur d'identité SAML vers votre organisation système, vous devez configurer celle-ci avec ce fournisseur d'identité SAML. Les utilisateurs importés peuvent se connecter à l'organisation système avec les informations d'identification établies dans le fournisseur d'identité SAML.
Pour configurer VMware Cloud Director avec un fournisseur d'identité SAML, vous établissez une approbation mutuelle en échangeant les métadonnées du fournisseur de services SAML et celles du fournisseur d'identité.
Lorsqu'un utilisateur importé tente de se connecter, le système extrait les attributs suivants du jeton SAML, le cas échéant, et les utilise pour interpréter les informations correspondant à l'utilisateur.email address = "EmailAddress"
user name = "UserName"
full name = "FullName"
user's groups = "Groups"
user's roles = "Roles"
(Cet attribut est configurable.)
Les informations sur le groupe sont utilisées si l'utilisateur n'est pas importé directement, mais doit se connecter en raison de son appartenance aux groupes importés. Un utilisateur peut appartenir à plusieurs groupes, donc avoir plusieurs rôles pendant une session.
Si un utilisateur importé ou un groupe est affecté au rôle Différer vers le fournisseur d'identité, les rôles sont affectés en fonction des informations collectées à partir de l'attribut Roles dans le jeton. Si un autre attribut est utilisé, ce nom d'attribut peut être configuré uniquement à l'aide de l'API et seul l'attribut Roles est configurable. Si le rôle Différer vers le fournisseur d'identité est utilisé, mais qu'aucune information de rôle ne peut être extraite, l'utilisateur peut se connecter, mais ne dispose d'aucun droit pour effectuer des activités.
Conditions préalables
- Vérifiez que vous avez accès à un fournisseur d'identité compatible SAML 2.0.
- Obtenez un fichier XML avec les métadonnées suivantes à partir de votre fournisseur d'identité SAML.
- L'emplacement du service single sign-on
- L'emplacement du service single logout
- L'emplacement du certificat X.509 du service
Pour plus d'informations sur la configuration et l'acquisition des métadonnées depuis un fournisseur SAML, consultez la documentation de votre fournisseur SAML.