SAML ID プロバイダからユーザーおよびグループを VMware Cloud Director システム組織にインポートする場合は、その SAML の ID プロバイダで、システム組織を構成する必要があります。インポートされたユーザーは、SAML ID プロバイダで確立した認証情報を使用してシステム組織にログインできます。
VMware Cloud Director を SAML の ID プロバイダで構成するには、SAML サービス プロバイダと ID プロバイダのメタデータを交換して相互信頼を確立します。
注:
VMware Cloud Director と外部 ID プロバイダの連携が成功するよう、正しい値と設定を決定し、適切で正確な構成を確保するためには、各 ID プロバイダの製品ドキュメントも参照してください。
インポートされたユーザーがログインすると、システムは SAML トークンから以下の属性を抽出し(使用可能な場合)、それらをユーザーに関する情報の対応する要素の解釈に使用します。
email address = "EmailAddress"user name = "UserName"full name = "FullName"user's groups = "Groups"user's roles = "Roles"(この属性は設定可能です)
ユーザーが直接インポートされない場合、インポートしたグループのメンバーシップによってユーザーがログインする際には、グループ情報が使用されます。ユーザーは複数のグループに所属することができます。したがって、1 人のユーザーがセッション中に複数のロールを持つ場合があります。
インポートしたユーザーまたはグループに [ID プロバイダに従う] ロールが割り当てられている場合は、トークンの Roles 属性から収集された情報に基づいてロールが割り当てられます。別の属性が使用されている場合、この属性名は API を使用して設定可能です。また、設定できるのは Roles 属性のみとなります。ID プロバイダに従うロールが使用されているにもかかわらずロール情報を抽出できない場合、ユーザーはログインできますが、操作を実行する権限はありません。
前提条件
- SAML 2.0 に準拠した ID プロバイダへのアクセス権があることを確認します。
- SAML の ID プロバイダからの次のメタデータを含む XML ファイルを取得します。
- Single Sign-On サービスの場所
- シングル ログアウト サービスの場所
- サービスの X.509 証明書の場所
構成方法および SAML プロバイダからのメタデータの取得方法については、SAML プロバイダのドキュメントを参照してください。
