SAML ID プロバイダからユーザーおよびグループを VMware Cloud Director システム組織にインポートする場合は、その SAML の ID プロバイダで、システム組織を構成する必要があります。インポートされたユーザーは、SAML ID プロバイダで確立した認証情報を使用してシステム組織にログインできます。

VMware Cloud Director を SAML の ID プロバイダで構成するには、SAML サービス プロバイダと ID プロバイダのメタデータを交換して相互信頼を確立します。
注: VMware Cloud Director と外部 ID プロバイダの連携が成功するよう、正しい値と設定を決定し、適切で正確な構成を確保するためには、各 ID プロバイダの製品ドキュメントも参照してください。

インポートされたユーザーがログインすると、システムは SAML トークンから以下の属性を抽出し(使用可能な場合)、それらをユーザーに関する情報の対応する要素の解釈に使用します。

  • email address = "EmailAddress"
  • user name = "UserName"
  • full name = "FullName"
  • user's groups = "Groups"
  • user's roles = "Roles"(この属性は設定可能です)

ユーザーが直接インポートされない場合、インポートしたグループのメンバーシップによってユーザーがログインする際には、グループ情報が使用されます。ユーザーは複数のグループに所属することができます。したがって、1 人のユーザーがセッション中に複数のロールを持つ場合があります。

インポートしたユーザーまたはグループに [ID プロバイダに従う] ロールが割り当てられている場合は、トークンの Roles 属性から収集された情報に基づいてロールが割り当てられます。別の属性が使用されている場合、この属性名は API を使用して設定可能です。また、設定できるのは Roles 属性のみとなります。ID プロバイダに従うロールが使用されているにもかかわらずロール情報を抽出できない場合、ユーザーはログインできますが、操作を実行する権限はありません。

ヒント:

バージョン 10.4.2 以降では、VMware Cloud Director の組織に SAML または OIDC が構成されている場合、ユーザー インターフェイスに [シングル サインオンを使用してログイン] オプションのみが表示されます。ローカル ユーザーとしてログインするには、https://vcloud.example.com/tenant/tenant_name/login または https://vcloud.example.com/provider/login に移動します。

VMware Cloud Director ログイン ページとシングル サインオン (SSO) ログイン ボタン。

前提条件

  • SAML 2.0 に準拠した ID プロバイダへのアクセス権があることを確認します。
  • SAML の ID プロバイダからの次のメタデータを含む XML ファイルを取得します。
    • Single Sign-On サービスの場所
    • シングル ログアウト サービスの場所
    • サービスの X.509 証明書の場所

    構成方法および SAML プロバイダからのメタデータの取得方法については、SAML プロバイダのドキュメントを参照してください。

手順

  1. 上部ナビゲーション バーで [管理] を選択します。
  2. 左側のパネルで、ID プロバイダの下で、[SAML] をクリックし、[編集] をクリックします。
    現在の SAML 設定が表示されます。
  3. [サービス プロバイダ] タブから、VMware Cloud Director SAML サービス プロバイダのメタデータをダウンロードします。
    1. システム組織のエンティティ ID を入力します。

      エンティティ ID は、ID プロバイダがシステム組織を識別するためのものです。

    2. 証明書の有効期限を確認し、期限切れが近い場合、[再生成] をクリックして、証明書を再生成します。
      証明書は SAML メタデータに含まれ、暗号化と署名の両方に使用されます。組織と SAML ID プロバイダ間の信頼の確立方法によっては、これらのいずれかまたは両方が必要になることがあります。
    3. [メタデータの取得] をクリックします。
      ブラウザで、ID プロバイダに提供する必要のある SAML サービス プロバイダのメタデータが、XML ファイル形式でダウンロードされます。
  4. [ID プロバイダ] タブで、ID プロバイダから以前に受信した SAML メタデータをアップロードします。
    1. [SAML の ID プロバイダを使用する] を選択します。
    2. [参照] アイコンをクリックしてファイルをアップロードするか、またはファイルのコンテンツをコピーして [メタデータ XML] テキスト ボックスに貼り付けます。
  5. [保存] をクリックします。