Security Assertion Markup Language (SAML) の ID プロバイダからユーザーおよびグループをインポートし、インポートされたユーザーが SAML の ID プロバイダで設定した認証情報を使用して VMware Cloud Director 組織にログインできるようにするには、組織での SAML の ID プロバイダ(シングル サインオンとも呼ばれる)の使用を有効にします。
- email address = "EmailAddress"
- user name = "UserName"
- full name = "FullName"
- user's groups = "Groups"
- user's roles = "Roles"
属性は、SAML 構成の編集時にTenant Portalの [属性のマッピング] タブで構成できます。
ユーザーを直接インポートする代わりに、インポートしたグループのメンバーシップによってユーザーがログインできるようにする場合は、グループ情報が必要です。ユーザーは複数のグループに所属することができるため、1 人のユーザーがセッションの実行中に複数のロールを持つ場合があります。
インポートしたユーザーまたはグループに ID プロバイダに従うロールが割り当てられている場合は、トークンの Roles
属性から収集された情報に基づいてロールが割り当てられます。別の属性が使用されている場合、この属性名は API を使用した場合のみ構成可能です。また、構成できるのは Roles
属性のみとなります。ID プロバイダに従うロールが使用されているにもかかわらずロール情報を抽出できない場合、ユーザーはログインできますが、操作を実行する権限はありません。
前提条件
-
組織管理者または同等の権限セットを持つロールとしてログインしていることを確認します。
- SAML 2.0 に準拠した ID プロバイダへのアクセス権があることを確認します。
- SAML の ID プロバイダから必要なメタデータを受信していることを確認します。メタデータを VMware Cloud Director に手動でインポートするか、XML ファイルとしてインポートする必要があります。メタデータには、次の情報を含める必要があります。
- Single Sign-On サービスの場所
- シングル ログアウト サービスの場所
- サービスの X.509 証明書の場所
構成方法および SAML プロバイダからのメタデータの取得方法については、SAML ID プロバイダのドキュメントを参照してください。
手順
次のタスク
- VMware Cloud Director メタデータを使用して SAML プロバイダを構成します。SAML ID プロバイダのドキュメントおよび『VMware Cloud Director インストール、構成、およびアップグレード ガイド』を参照してください。
- SAML ID プロバイダからユーザーおよびグループをインポートします。VMware Cloud Director でのユーザー、グループ、ロールの管理を参照してください。