SAML ID プロバイダからユーザーおよびグループを VMware Cloud Director システム組織にインポートする場合は、その SAML の ID プロバイダで、システム組織を構成する必要があります。インポートされたユーザーは、SAML ID プロバイダで確立した認証情報を使用してシステム組織にログインできます。
インポートされたユーザーがログインすると、システムは SAML トークンから以下の属性を抽出し(使用可能な場合)、それらをユーザーに関する情報の対応する要素の解釈に使用します。
email address = "EmailAddress"
user name = "UserName"
full name = "FullName"
user's groups = "Groups"
user's roles = "Roles"
(この属性は設定可能です)
ユーザーが直接インポートされない場合、インポートしたグループのメンバーシップによってユーザーがログインする際には、グループ情報が使用されます。ユーザーは複数のグループに所属することができます。したがって、1 人のユーザーがセッション中に複数のロールを持つ場合があります。
インポートしたユーザーまたはグループに [ID プロバイダに従う] ロールが割り当てられている場合は、トークンの Roles 属性から収集された情報に基づいてロールが割り当てられます。別の属性が使用されている場合、この属性名は API を使用して設定可能です。また、設定できるのは Roles 属性のみとなります。ID プロバイダに従うロールが使用されているにもかかわらずロール情報を抽出できない場合、ユーザーはログインできますが、操作を実行する権限はありません。
バージョン 10.4.2 以降では、VMware Cloud Director の組織に SAML または OIDC が構成されている場合、ユーザー インターフェイスに [シングル サインオンを使用してログイン] オプションのみが表示されます。ローカル ユーザーとしてログインするには、https://vcloud.example.com/tenant/tenant_name/login または https://vcloud.example.com/provider/login に移動します。
前提条件
- SAML 2.0 に準拠した ID プロバイダへのアクセス権があることを確認します。
- SAML の ID プロバイダからの次のメタデータを含む XML ファイルを取得します。
- Single Sign-On サービスの場所
- シングル ログアウト サービスの場所
- サービスの X.509 証明書の場所
構成方法および SAML プロバイダからのメタデータの取得方法については、SAML プロバイダのドキュメントを参照してください。