Security Assertion Markup Language (SAML) の ID プロバイダからユーザーおよびグループをインポートし、インポートされたユーザーが SAML の ID プロバイダで設定した認証情報を使用して組織にログインできるようにするには、組織での SAML の ID プロバイダ(シングル サインオンとも呼ばれる)の使用を有効にします。
- email address = "EmailAddress"
- user name = "UserName"
- full name = "FullName"
- user's groups = "Groups"
- user's roles = "Roles"
属性は、SAML 構成の編集時にTenant Portalの [属性のマッピング] タブで構成できます。
ユーザーを直接インポートする代わりに、インポートしたグループのメンバーシップによってユーザーがログインできるようにする場合は、グループ情報が必要です。ユーザーは複数のグループに所属することができるため、1 人のユーザーがセッションの実行中に複数のロールを持つ場合があります。
インポートしたユーザーまたはグループに ID プロバイダに従うロールが割り当てられている場合は、トークンの Roles
属性から収集された情報に基づいてロールが割り当てられます。別の属性が使用されている場合、この属性名は API を使用した場合のみ構成可能です。また、構成できるのは Roles
属性のみとなります。ID プロバイダに従うロールが使用されているにもかかわらずロール情報を抽出できない場合、ユーザーはログインできますが、操作を実行する権限はありません。
前提条件
-
この操作には、事前定義の組織管理者ロールに含まれている権限、またはそれに相当する権限が必要です。
- SAML 2.0 に準拠した ID プロバイダへのアクセス権があることを確認します。
- SAML の ID プロバイダから必要なメタデータを受信していることを確認します。メタデータを VMware Cloud Director に手動でインポートするか、XML ファイルとしてインポートする必要があります。メタデータには、次の情報を含める必要があります。
- Single Sign-On サービスの場所
- シングル ログアウト サービスの場所
- サービスの X.509 証明書の場所
構成方法および SAML プロバイダからのメタデータの取得方法については、SAML ID プロバイダのドキュメントを参照してください。
手順
次のタスク
- VMware Cloud Director メタデータを使用して SAML プロバイダを構成します。SAML ID プロバイダのドキュメントおよび『VMware Cloud Director インストール、構成、およびアップグレード ガイド』を参照してください。
- SAML ID プロバイダからユーザーおよびグループをインポートします。ユーザー、グループ、ロールの管理を参照してください。