Si vous souhaitez importer des utilisateurs et des groupes à partir d'un fournisseur d'identité SAML vers votre organisation système VMware Cloud Director, vous devez configurer celle-ci avec ce fournisseur d'identité SAML. Les utilisateurs importés peuvent se connecter à l'organisation système avec les informations d'identification établies dans le fournisseur d'identité SAML.

Pour configurer VMware Cloud Director avec un fournisseur d'identité SAML, vous établissez une approbation mutuelle en échangeant les métadonnées du fournisseur de services SAML et celles du fournisseur d'identité.
Note : Pour une intégration de VMware Cloud Director réussie avec des fournisseurs d'identité externes, pour déterminer les valeurs et les paramètres corrects et pour garantir une configuration correcte et précise, consultez également la documentation des produits de ces fournisseurs d'identité.

Lorsqu'un utilisateur importé tente de se connecter, le système extrait les attributs suivants du jeton SAML, le cas échéant, et les utilise pour interpréter les informations correspondant à l'utilisateur.

  • email address = "EmailAddress"
  • user name = "UserName"
  • full name = "FullName"
  • user's groups = "Groups"
  • user's roles = "Roles" (Cet attribut est configurable.)

Les informations sur le groupe sont utilisées si l'utilisateur n'est pas importé directement, mais doit se connecter en raison de son appartenance aux groupes importés. Un utilisateur peut appartenir à plusieurs groupes, donc avoir plusieurs rôles pendant une session.

Si un utilisateur importé ou un groupe est affecté au rôle Différer vers le fournisseur d'identité, les rôles sont affectés en fonction des informations collectées à partir de l'attribut Roles dans le jeton. Si un autre attribut est utilisé, ce nom d'attribut peut être configuré uniquement à l'aide de l'API et seul l'attribut Roles est configurable. Si le rôle Différer vers le fournisseur d'identité est utilisé, mais qu'aucune information de rôle ne peut être extraite, l'utilisateur peut se connecter, mais ne dispose d'aucun droit pour effectuer des activités.

Info-bulle :

Pour les versions 10.4.2 et ultérieures, si une organisation dans VMware Cloud Director a SAML ou OIDC configuré, l'interface utilisateur affiche uniquement l'option Se connecter avec Single Sign-On. Pour vous connecter en tant qu'utilisateur local, accédez à https://vcloud.example.com/tenant/tenant_name/login ou à https://vcloud.example.com/provider/login.

Page de connexion de VMware Cloud Director avec un bouton de connexion SSO.

Pour les versions 10.3.3 à 10.4.1, si une organisation dans VMware Cloud Director a SAML ou OIDC configuré, pour vous connecter avec votre fournisseur d'identité, sélectionnez l'option Se connecter avec Single Sign-On.

Page de connexion à VMware Cloud Director avec SSO et les boutons de connexion d'utilisateur local.

Conditions préalables

  • Vérifiez que vous avez accès à un fournisseur d'identité compatible SAML 2.0.
  • Obtenez un fichier XML avec les métadonnées suivantes à partir de votre fournisseur d'identité SAML.
    • L'emplacement du service single sign-on
    • L'emplacement du service single logout
    • L'emplacement du certificat X.509 du service

    Pour plus d'informations sur la configuration et l'acquisition des métadonnées depuis un fournisseur SAML, consultez la documentation de votre fournisseur SAML.

Procédure

  1. Dans la barre de navigation supérieure, sélectionnez Administration.
  2. Dans le panneau de gauche, sous Fournisseurs d'identité, cliquez sur SAML, puis sur Modifier.
    Les paramètres SAML actuels sont affichés.
  3. Sous l'onglet Fournisseur de services, téléchargez les métadonnées de fournisseur de services SAML VMware Cloud Director.
    1. Entrez un ID d'entité pour l'organisation système.

      L'ID d'entité identifie de manière unique votre organisation système auprès du fournisseur d'identité.

    2. Examinez la date d'expiration du certificat et, si la date d'expiration est proche, regénérez le certificat en cliquant sur Générer de nouveau.
      Le certificat est inclus dans les métadonnées SAML, et est utilisé pour le chiffrement et la signature. Une de ces opérations ou les deux peuvent être nécessaires en fonction du mode d'approbation établi entre votre organisation et votre fournisseur d'identité SAML.
    3. Cliquez sur Récupérer les métadonnées.
      Votre navigateur télécharge les métadonnées du fournisseur de services SAML sous la forme d'un fichier XML que vous devez fournir à votre fournisseur d'identité.
  4. Dans l'onglet Fournisseur d'identité, téléchargez les métadonnées SAML que vous avez précédemment reçues de votre fournisseur d'identité.
    1. Sélectionnez Utiliser le fournisseur d'identité SAML.
    2. Cliquez sur l'icône Parcourir et téléchargez le fichier, ou copiez et collez son contenu dans la zone de texte XML de métadonnées.
  5. Cliquez sur Enregistrer.