Security Assertion Markup Language (SAML) の ID プロバイダからユーザーおよびグループをインポートし、インポートされたユーザーが SAML の ID プロバイダで設定した認証情報を使用して VMware Cloud Director 組織にログインできるようにするには、組織での SAML の ID プロバイダ(シングル サインオンとも呼ばれる)の使用を有効にします。

ユーザーおよびグループをインポートすると、SAML トークンから属性のリストが抽出され(使用できる場合)、ユーザーのログイン試行に関する情報の対応箇所を解釈する際に使用されます。
  • email address = "EmailAddress"
  • user name = "UserName"
  • full name = "FullName"
  • user's groups = "Groups"
  • user's roles = "Roles"

    属性は、SAML 構成の編集時にTenant Portal[属性のマッピング] タブで構成できます。

ユーザーを直接インポートする代わりに、インポートしたグループのメンバーシップによってユーザーがログインできるようにする場合は、グループ情報が必要です。ユーザーは複数のグループに所属することができるため、1 人のユーザーがセッションの実行中に複数のロールを持つ場合があります。

インポートしたユーザーまたはグループに ID プロバイダに従うロールが割り当てられている場合は、トークンの Roles 属性から収集された情報に基づいてロールが割り当てられます。別の属性が使用されている場合、この属性名は API を使用した場合のみ構成可能です。また、構成できるのは Roles 属性のみとなります。ID プロバイダに従うロールが使用されているにもかかわらずロール情報を抽出できない場合、ユーザーはログインできますが、操作を実行する権限はありません。

[SAML 構成の編集] ダイアログ ボックスを使用して SAML 設定を変更できます。

前提条件

  • 組織管理者または同等の権限セットを持つロールとしてログインしていることを確認します。

  • SAML 2.0 に準拠した ID プロバイダへのアクセス権があることを確認します。
  • SAML の ID プロバイダから必要なメタデータを受信していることを確認します。メタデータを VMware Cloud Director に手動でインポートするか、XML ファイルとしてインポートする必要があります。メタデータには、次の情報を含める必要があります。
    • Single Sign-On サービスの場所
    • シングル ログアウト サービスの場所
    • サービスの X.509 証明書の場所

    構成方法および SAML プロバイダからのメタデータの取得方法については、SAML ID プロバイダのドキュメントを参照してください。

手順

  1. プライマリの左側ナビゲーション パネルで [管理] を選択します。
  2. [ID プロバイダ][SAML] をクリックします。
  3. [[編集]]をクリックします。
  4. [サービス プロバイダ] タブで [エンティティ ID] を入力します。
    エンティティ ID は、ID プロバイダに対して一意となる組織の識別子です。組織名、または SAML ID プロバイダの要件を満たす他の任意の文字列を使用できます。
    重要: エンティティ ID は、指定した後に削除することはできません。エンティティ ID を変更するには、組織の SAML を完全に再構成する必要があります。エンティティ ID の詳細については、『 Assertions and Protocols for the OASIS Security Assertion Markup Language (SAML) 2.0』を参照してください。
  5. 組織の SAML メタデータをダウンロードするには、[メタデータの取得] をクリックします。
    ブラウザで、ID プロバイダにそのまま提供する必要のある SAML のメタデータが、XML ファイル形式でダウンロードされます。
  6. 証明書の有効期限を確認し、必要な場合は、[再生成] をクリックして、連携メッセージの署名に使用される証明書を再生成します。
    SAML 署名用の独自の証明書を指定するには、ユーザー インターフェイスで証明書ライブラリに証明書をアップロードし、SAML 構成 API で証明書への参照を渡します。
    証明書は SAML メタデータに含まれ、暗号化と署名の両方に使用されます。組織と SAML ID プロバイダ間の信頼の確立方法によっては、暗号化と署名のいずれかまたは両方が必要になることがあります。
  7. [ID プロバイダ] タブで [SAML の ID プロバイダを使用する] トグルをオンにします。
  8. ID プロバイダから受信した SAML メタデータをコピーして、テキスト ボックスに貼り付けるか、[アップロード] をクリックして XML ファイル内のメタデータを参照し、アップロードします。
  9. VMware Cloud Director 10.5.1 以降で、VMware Cloud Director のログイン画面に表示される [SAML でログイン] ボタンのラベルをカスタマイズするには、新しいカスタム ボタン テキストを入力します。

    最大 24 文字入力できます。特殊文字やアクセント付き文字を使用できます。デフォルトのテキストに戻す場合は、カスタム ラベルを削除します。デフォルトのボタン ラベルはローカライズされており、ブラウザの言語設定によっては、異なる言語で表示されることがあります。カスタム ラベルは、入力時に必ず表示されます。

  10. [保存] をクリックします。

次のタスク

  • VMware Cloud Director メタデータを使用して SAML プロバイダを構成します。SAML ID プロバイダのドキュメントおよび『VMware Cloud Director インストール、構成、およびアップグレード ガイド』を参照してください。
  • SAML ID プロバイダからユーザーおよびグループをインポートします。VMware Cloud Director でのユーザー、グループ、ロールの管理を参照してください。