È possibile consentire all'organizzazione di utilizzare un provider di identità SAML (Security Assertion Markup Language), noto anche come Single Sign-On, per importare utenti e gruppi da un provider di identità SAML e permettere agli utenti importati di accedere all'organizzazione con le credenziali stabilite nel provider di identità SAML.

Quando si importano utenti e gruppi, il sistema estrae un elenco degli attributi dal token SAML, se disponibile, e li utilizza per interpretare le informazioni corrispondenti relative all'utente che prova ad accedere.
  • email address = "EmailAddress"
  • user name = "UserName"
  • full name = "FullName"
  • user's groups = "Groups"
  • user's roles = "Roles"

    L'attributo ruolo è configurabile.

Le informazioni sul gruppo sono necessarie se l'utente non viene importato direttamente ma è previsto che sia in grado di accedere in virtù dell'appartenenza ai gruppi importati. Un utente può appartenere a più gruppi e pertanto disporre di più ruoli durante una sessione.

Se a un utente o un gruppo importato viene assegnato il ruolo Rimanda a provider di identità, i ruoli vengono assegnati in base alle informazioni raccolte dall'attributo Ruoli nel token. Se viene utilizzato un attributo diverso, il nome di questo attributo può essere configurato solo mediante API ed è configurabile solo l'attributo Ruoli. Se viene utilizzato il ruolo Rimanda a provider di identità, ma non è possibile estrarre alcuna informazione sul ruolo, l'utente può accedere ma non dispone di alcun diritto per eseguire le attività.

Prerequisiti

  • Questa operazione richiede i diritti inclusi nel ruolo Amministratore organizzazione predefinito o un set di diritti equivalente.

  • Verificare di disporre dell'accesso a un provider di identità compatibile con SAML 2.0.
  • Assicurarsi di ricevere i metadati richiesti dal provider di identità SAML. È necessario importare i metadati in VMware Cloud Director manualmente o come file XML. I metadati devono includere le informazioni seguenti:
    • Posizione del servizio Single Sign-On
    • Posizione del servizio single logout
    • Posizione del certificato del servizio X.509

    Per informazioni sulla configurazione e sull'acquisizione di metadati da un provider SAML, consultare la documentazione del provider di identità SAML.

Procedura

  1. Nella barra di navigazione superiore, fare clic su Amministrazione.
  2. In Provider di identità fare clic su SAML.
  3. Fare clic su Modifica.
  4. Nella scheda Provider di servizi, immettere l'ID entità.
    L'ID entità è l'identificatore univoco dell'organizzazione per il provider di identità. È possibile utilizzare il nome dell'organizzazione o qualsiasi altra stringa che soddisfi i requisiti del provider di identità SAML.
    Importante: Dopo aver specificato un ID entità, non è possibile eliminarlo. Per modificare l'ID entità, è necessario eseguire una riconfigurazione di SAML completa per la propria organizzazione. Per ulteriori informazioni sugli ID entità, vedere la sezione relativa ad asserzioni e protocolli per il linguaggio SAML (Security Assertion Markup Language) 2.0 di OASIS.
  5. Fare clic sul link Metadati per scaricare i metadati SAML per l'organizzazione.
    I metadati scaricati devono essere forniti al provider di identità così come sono.
  6. Verificare la data di scadenza del certificato e, se lo si desidera, fare clic su Rigenera per rigenerare il certificato utilizzato per firmare i messaggi relativi alla federazione.
    Il certificato è incluso nei metadati SAML e viene utilizzato per la crittografia e per la firma. Potrebbero essere necessarie la crittografia, la firma o entrambe, a seconda della modalità con cui viene stabilita l'attendibilità tra l'organizzazione e il provider di identità SAML.
  7. Nella scheda Provider di identità abilitare l'interruttore Utilizza provider identità SAML.
  8. Copiare e incollare i metadati SAML ricevuti dal provider di identità nella casella di testo o fare clic su Carica per individuare e caricare i metadati da un file XML.
  9. Fare clic su Salva.

Operazioni successive

  • Configurare il provider SAML con i metadati di VMware Cloud Director. Consultare la documentazione del provider di identità SAML e Guida all'installazione, alla configurazione e all'aggiornamento di VMware Cloud Director.
  • Importare utenti e gruppi dal provider di identità SAML. Vedere Gestione di utenti, gruppi e ruoli