Se si desidera importare utenti e gruppi da un provider di identità SAML nell'organizzazione di sistema di VMware Cloud Director, è necessario configurare l'organizzazione di sistema con tale provider di identità SAML. Gli utenti importati possono accedere all'organizzazione di sistema con le credenziali stabilite nel provider di identità SAML.

Per configurare VMware Cloud Director con un provider di identità SAML, stabilire una relazione di attendibilità reciproca mediante lo scambio dei metadati del provider di identità e del provider di servizi SAML.
Nota: Per una corretta integrazione di VMware Cloud Director con provider di identità esterni, per determinare le impostazioni e i valori corretti e garantire una configurazione corretta e accurata, vedere anche la documentazione del prodotto di tali provider di identità.

Quando un utente importato tenta di accedere, il sistema estrae i seguenti attributi dal token SAML, se disponibile, e li utilizza per interpretare le informazioni sull'utente corrispondenti.

  • email address = "EmailAddress"
  • user name = "UserName"
  • full name = "FullName"
  • user's groups = "Groups"
  • user's roles = "Roles" (questo attributo è configurabile)

Le informazioni sul gruppo vengono utilizzate se l'utente non viene importato direttamente ma si suppone che acceda in virtù dell'appartenenza ai gruppi importati. Un utente può appartenere a più gruppi e pertanto può disporre di più ruoli durante una sessione.

Se un utente o un gruppo importato viene assegnato al ruolo Rimanda a provider di identità, i ruoli vengono assegnati in base alle informazioni raccolte dall'attributo Ruoli nel token. Se viene utilizzato un attributo diverso, il nome di questo attributo può essere configurato utilizzando l'API e solo l'attributo Ruoli è configurabile. Se viene utilizzato il ruolo Rimanda a provider di identità, ma non è possibile estrarre alcuna informazione sul ruolo, l'utente può accedere ma non dispone di alcun diritto per eseguire le attività.

Suggerimento:

Per la versione 10.4.2 e le versioni successive, se in un'organizzazione in VMware Cloud Director è configurato SAML oppure OIDC, nell'interfaccia utente viene visualizzata solo l'opzione Accedi con Single Sign-On. Per accedere come utente locale, passare a https://vcloud.example.com/tenant/tenant_name/login o https://vcloud.example.com/provider/login.

Pagina di accesso di VMware Cloud Director con un pulsante di accesso SSO.

Prerequisiti

  • Verificare di disporre dell'accesso a un provider di identità compatibile con SAML 2.0.
  • Ottenere un file XML con i seguenti metadati dal provider di identità SAML.
    • Posizione del servizio single sign-on
    • Posizione del servizio single logout
    • Posizione del certificato del servizio X.509

    Per informazioni sulla configurazione e l'acquisizione di metadati da un provider SAML, consultare la documentazione del provider SAML.

Procedura

  1. Nella barra di navigazione superiore, selezionare Amministrazione.
  2. Nel pannello sinistro, in Provider di identità, fare clic su SAML e quindi su Modifica.
    Vengono visualizzate le impostazioni di SAML correnti.
  3. Nella scheda Provider di servizi, scaricare i metadati del provider di servizi SAML di VMware Cloud Director.
    1. Immettere un ID entità per l'organizzazione di sistema.

      L'ID entità identifica in modo univoco l'organizzazione di sistema per il provider di identità.

    2. Esaminare la data di scadenza del certificato e, se prossima, rigenerare il certificato facendo clic su Rigenera.
      Il certificato è incluso nei metadati SAML e viene utilizzato per la crittografia e per la firma. Potrebbe essere necessario eseguire una di queste operazioni o entrambe, in base a come viene stabilita la relazione di attendibilità tra l'organizzazione e il provider di identità SAML.
    3. Fare clic su Recupera metadati.
      Il browser scarica i metadati del provider di servizi SAML, un file XML che è necessario fornire al provider di identità.
  4. Nella scheda Provider di identità, caricare i metadati SAML ricevuti in precedenza dal provider di identità.
    1. Selezionare Utilizza provider identità SAML.
    2. Fare clic sull'icona Sfoglia e caricare il file o copiare e incollare il suo contenuto nella casella di testo XML metadati.
  5. Fare clic su Salva.