Permettez à votre organisation d'utiliser un fournisseur d'identité SAML (Security Assertion Markup Language), également appelé Single Sign-On, pour importer des utilisateurs et des groupes à partir d'un fournisseur d'identité SAML et autoriser les utilisateurs importés à se connecter à l'organisation avec les informations d'identification établies dans le fournisseur d'identité SAML.

Lorsque vous importez des utilisateurs et des groupes, le système extrait une liste des attributs à partir du jeton SAML, le cas échéant, et les utilise pour interpréter les éléments d'informations correspondants sur l'utilisateur tentant de se connecter.
  • email address = "EmailAddress"
  • user name = "UserName"
  • full name = "FullName"
  • user's groups = "Groups"
  • user's roles = "Roles"

    Vous pouvez configurer les attributs dans Tenant Portal sous l'onglet Mappage d'attributs lorsque vous modifiez la configuration SAML.

Les informations sur le groupe sont nécessaires si l'utilisateur n'est pas importé directement, mais doit être en mesure de se connecter en raison de son appartenance aux groupes importés. Un utilisateur peut appartenir à plusieurs groupes, et donc avoir plusieurs rôles pendant une session.

Si le rôle Différer vers le fournisseur d'identité est attribué à un utilisateur ou groupe importé, les rôles sont attribués en fonction des informations collectées à partir de l'attribut Roles dans le jeton. Si un autre attribut est utilisé, ce nom d'attribut peut être configuré uniquement à l'aide de l'API, et seul l'attribut Roles est configurable. Si le rôle Différer vers le fournisseur d'identité est utilisé, mais qu'aucune information de rôle ne peut être extraite, l'utilisateur peut se connecter, mais ne dispose d'aucun droit pour effectuer des activités.

Conditions préalables

  • Cette opération nécessite les droits inclus dans le rôle prédéfini Administrateur d'organisation ou un ensemble de droits équivalent.

  • Vérifiez que vous avez accès à un fournisseur d'identité compatible SAML 2.0.
  • Vérifiez que vous recevez les métadonnées requises de votre fournisseur d'identité SAML. Vous devez importer les métadonnées dans VMware Cloud Director manuellement ou dans un fichier XML. Les métadonnées doivent inclure les informations suivantes :
    • L'emplacement du service single sign-on
    • L'emplacement du service single logout
    • L'emplacement du certificat X.509 du service

    Pour plus d'informations sur la configuration et l'acquisition de métadonnées depuis un fournisseur SAML, consultez la documentation de votre fournisseur SAML.

Procédure

  1. Dans la barre de navigation supérieure, cliquez sur Administration.
  2. Sous Fournisseurs d'identité, cliquez sur SAML.
  3. Cliquez sur Modifier.
  4. Sous l'onglet Fournisseur de services, entrez l'ID d'entité.
    L'ID d'entité est l'identifiant unique de votre organisation auprès de votre fournisseur d'identité. Vous pouvez utiliser le nom de votre organisation ou toute autre chaîne qui répond aux exigences de votre fournisseur d'identité SAML.
    Important : Une fois que vous spécifiez un ID d'entité, vous ne pouvez pas le supprimer. Pour modifier l’ID d’entité, vous devez effectuer une reconfiguration SAML complète pour votre organisation. Pour plus d'informations sur les ID d'entité, reportez-vous à la section Assertions et protocoles pour SAML (Security Assertion Markup Language) 2.0 développé par OASIS.
  5. Pour télécharger les métadonnées SAML pour votre organisation, cliquez sur Récupérer les métadonnées.
    Votre navigateur télécharge les métadonnées SAML sous la forme d'un fichier XML que vous devez fournir telles quelles à votre fournisseur d'identité.
  6. Vérifiez la date d'expiration du certificat et, éventuellement, cliquez sur Générer de nouveau afin de générer à nouveau le certificat utilisé pour signer des messages de fédération.
    Vous pouvez fournir vos propres certificats pour la signature SAML en les téléchargeant dans la bibliothèque de certificats dans l'interface utilisateur, puis en leur transmettant une référence dans l'API de configuration SAML.
    Le certificat est inclus dans les métadonnées SAML, et est utilisé pour le chiffrement et la signature. Le chiffrement et/ou la signature peuvent être nécessaire selon la manière dont l'approbation est établie entre votre organisation et votre fournisseur d'identité SAML.
  7. Sous l'onglet Fournisseur d'identité, activez le bouton bascule Utiliser le fournisseur d'identité SAML.
  8. Copiez et collez les métadonnées SAML que vous avez reçues de votre fournisseur d'identité dans la zone de texte, ou cliquez sur Télécharger pour accéder aux métadonnées et les télécharger dans un fichier XML.
  9. Cliquez sur Enregistrer.

Que faire ensuite

  • Configurez votre fournisseur SAML avec les métadonnées de VMware Cloud Director. Reportez-vous à la documentation de votre fournisseur d'identité SAML et au Guide d'installation, de configuration et de mise à niveau de VMware Cloud Director.
  • Importez des utilisateurs et des groupes depuis votre fournisseur d'identité SAML. Reportez-vous à Gestion des utilisateurs, groupes et rôles.