Si vous souhaitez importer des utilisateurs et des groupes à partir d'un fournisseur d'identité SAML vers votre organisation système VMware Cloud Director, vous devez configurer celle-ci avec ce fournisseur d'identité SAML. Les utilisateurs importés peuvent se connecter à l'organisation système avec les informations d'identification établies dans le fournisseur d'identité SAML.
Lorsqu'un utilisateur importé tente de se connecter, le système extrait les attributs suivants du jeton SAML, le cas échéant, et les utilise pour interpréter les informations correspondant à l'utilisateur.
email address = "EmailAddress"
user name = "UserName"
full name = "FullName"
user's groups = "Groups"
user's roles = "Roles"
(Cet attribut est configurable.)
Les informations sur le groupe sont utilisées si l'utilisateur n'est pas importé directement, mais doit se connecter en raison de son appartenance aux groupes importés. Un utilisateur peut appartenir à plusieurs groupes, donc avoir plusieurs rôles pendant une session.
Si un utilisateur importé ou un groupe est affecté au rôle Différer vers le fournisseur d'identité, les rôles sont affectés en fonction des informations collectées à partir de l'attribut Roles dans le jeton. Si un autre attribut est utilisé, ce nom d'attribut peut être configuré uniquement à l'aide de l'API et seul l'attribut Roles est configurable. Si le rôle Différer vers le fournisseur d'identité est utilisé, mais qu'aucune information de rôle ne peut être extraite, l'utilisateur peut se connecter, mais ne dispose d'aucun droit pour effectuer des activités.
Pour les versions 10.4.2 et ultérieures, si une organisation dans VMware Cloud Director a SAML ou OIDC configuré, l'interface utilisateur affiche uniquement l'option Se connecter avec Single Sign-On. Pour vous connecter en tant qu'utilisateur local, accédez à https://vcloud.example.com/tenant/tenant_name/login ou à https://vcloud.example.com/provider/login.
Pour les versions 10.3.3 à 10.4.1, si une organisation dans VMware Cloud Director a SAML ou OIDC configuré, pour vous connecter avec votre fournisseur d'identité, sélectionnez l'option Se connecter avec Single Sign-On.
Conditions préalables
- Vérifiez que vous avez accès à un fournisseur d'identité compatible SAML 2.0.
- Obtenez un fichier XML avec les métadonnées suivantes à partir de votre fournisseur d'identité SAML.
- L'emplacement du service single sign-on
- L'emplacement du service single logout
- L'emplacement du certificat X.509 du service
Pour plus d'informations sur la configuration et l'acquisition des métadonnées depuis un fournisseur SAML, consultez la documentation de votre fournisseur SAML.