Si vous souhaitez importer des utilisateurs et des groupes à partir d'un fournisseur d'identité SAML vers votre organisation système VMware Cloud Director, vous devez configurer celle-ci avec ce fournisseur d'identité SAML. Les utilisateurs importés peuvent se connecter à l'organisation système avec les informations d'identification établies dans le fournisseur d'identité SAML.

Pour configurer VMware Cloud Director avec un fournisseur d'identité SAML, vous établissez une approbation mutuelle en échangeant les métadonnées du fournisseur de services SAML et celles du fournisseur d'identité.
Note : Pour une intégration de VMware Cloud Director réussie avec des fournisseurs d'identité externes, pour déterminer les valeurs et les paramètres corrects et pour garantir une configuration correcte et précise, consultez également la documentation des produits de ces fournisseurs d'identité.

Lorsqu'un utilisateur importé tente de se connecter, le système extrait les attributs suivants du jeton SAML, le cas échéant, et les utilise pour interpréter les informations correspondant à l'utilisateur.

  • email address = "EmailAddress"
  • user name = "UserName"
  • full name = "FullName"
  • user's groups = "Groups"
  • user's roles = "Roles" (Cet attribut est configurable.)

Les informations sur le groupe sont utilisées si l'utilisateur n'est pas importé directement, mais doit se connecter en raison de son appartenance aux groupes importés. Un utilisateur peut appartenir à plusieurs groupes, donc avoir plusieurs rôles pendant une session.

Si un utilisateur importé ou un groupe est affecté au rôle Différer vers le fournisseur d'identité, les rôles sont affectés en fonction des informations collectées à partir de l'attribut Roles dans le jeton. Si un autre attribut est utilisé, ce nom d'attribut peut être configuré uniquement à l'aide de l'API et seul l'attribut Roles est configurable. Si le rôle Différer vers le fournisseur d'identité est utilisé, mais qu'aucune information de rôle ne peut être extraite, l'utilisateur peut se connecter, mais ne dispose d'aucun droit pour effectuer des activités.

Conditions préalables

  • Vérifiez que vous avez accès à un fournisseur d'identité compatible SAML 2.0.
  • Obtenez un fichier XML avec les métadonnées suivantes à partir de votre fournisseur d'identité SAML.
    • L'emplacement du service single sign-on
    • L'emplacement du service single logout
    • L'emplacement du certificat X.509 du service

    Pour plus d'informations sur la configuration et l'acquisition des métadonnées depuis un fournisseur SAML, consultez la documentation de votre fournisseur SAML.

Procédure

  1. Dans le panneau de navigation de gauche principal, sélectionnez Administration.
  2. Dans le panneau de gauche, sous Fournisseurs d'identité, cliquez sur SAML, puis sur Modifier.
    Les paramètres SAML actuels sont affichés.
  3. Sous l'onglet Fournisseur de services, téléchargez les métadonnées de fournisseur de services SAML VMware Cloud Director.
    1. Entrez un ID d'entité pour l'organisation système.

      L'ID d'entité identifie de manière unique votre organisation système auprès du fournisseur d'identité.

    2. Examinez la date d'expiration du certificat et, si la date d'expiration est proche, regénérez le certificat en cliquant sur Générer de nouveau.
      Le certificat est inclus dans les métadonnées SAML, et est utilisé pour le chiffrement et la signature. Une de ces opérations ou les deux peuvent être nécessaires en fonction du mode d'approbation établi entre votre organisation et votre fournisseur d'identité SAML.
    3. Cliquez sur Récupérer les métadonnées.
      Votre navigateur télécharge les métadonnées du fournisseur de services SAML sous la forme d'un fichier XML que vous devez fournir à votre fournisseur d'identité.
  4. Dans l'onglet Fournisseur d'identité, téléchargez les métadonnées SAML que vous avez précédemment reçues de votre fournisseur d'identité.
    1. Sélectionnez Utiliser le fournisseur d'identité SAML.
    2. Cliquez sur l'icône Parcourir et téléchargez le fichier, ou copiez et collez son contenu dans la zone de texte XML de métadonnées.
  5. Pour VMware Cloud Director 10.5.1 et versions ultérieures, si vous souhaitez personnaliser l'étiquette du bouton Se connecter avec SAML qui s'affiche sur la page de connexion de VMware Cloud Director, entrez un nouveau texte de bouton personnalisé.

    Vous pouvez entrer jusqu'à 24 symboles. Vous pouvez utiliser des caractères spéciaux et des lettres accentuées. Si vous souhaitez rétablir le texte par défaut, supprimez l'étiquette personnalisée. L'étiquette du bouton par défaut est localisée et, en fonction des paramètres de langue de votre navigateur, le texte peut s'afficher dans une autre langue. Les étiquettes personnalisées s'affichent toujours lorsque vous les entrez.

  6. Cliquez sur Enregistrer.