SAML ID 제공자의 사용자 및 그룹을 VMware Cloud Director 시스템 조직에 가져오려면 이 SAML ID 제공자를 사용하여 시스템 조직을 구성해야 합니다. 가져온 사용자는 SAML ID 제공자에 설정된 자격 증명을 사용하여 시스템 조직에 로그인할 수 있습니다.
가져온 사용자가 로그인을 시도하면 시스템에서는 SAML 토큰(사용할 수 있는 경우)에서 다음 특성을 추출하여, 사용자에 대한 해당 정보를 해석하는 데 사용합니다.
email address = "EmailAddress"
user name = "UserName"
full name = "FullName"
user's groups = "Groups"
user's roles = "Roles"
(구성 가능한 특성)
그룹 정보는 사용자를 직접 가져오지 않았지만 가져온 그룹의 구성원 자격으로 사용자의 로그인이 예상되는 경우에 사용됩니다. 사용자는 여러 그룹에 속해 있을 수 있으므로 세션 중에 여러 개의 역할을 가질 수 있습니다.
가져온 사용자 또는 그룹에 ID 제공자로 지연 역할이 할당된 경우, 역할은 토큰의 역할 특성에서 수집된 정보를 기반으로 할당됩니다. 다른 특성을 사용할 경우, API를 사용하여 이 특성 이름을 구성할 수 있으며 역할 특성만 구성 가능합니다. ID 제공자로 지연 역할을 사용하지만 추출된 역할 정보가 없는 경우, 사용자는 로그인할 수 있지만 활동을 수행할 수 있는 권한이 없습니다.
버전 10.4.2 이상의 경우 VMware Cloud Director의 조직에 SAML 또는 OIDC가 구성되어 있으면 UI에 Single Sign-On으로 로그인 옵션만 표시됩니다. 로컬 사용자로 로그인하려면 https://vcloud.example.com/tenant/tenant_name/login 또는 https://vcloud.example.com/provider/login으로 이동합니다.
버전 10.3.3~10.4.1의 경우 VMware Cloud Director의 조직에 SAML 또는 OIDC가 구성된 경우 ID 제공자로 로그인하려면 Single Sign-On으로 로그인 옵션을 선택합니다.
사전 요구 사항
- SAML 2.0을 준수하는 ID 제공자에 액세스할 수 있는지 확인합니다.
- 다음 메타데이터가 포함된 XML 파일을 SAML ID 제공자로부터 가져옵니다.
- Single Sign-On 서비스의 위치
- 단일 로그아웃 서비스의 위치
- 서비스의 X.509 인증서 위치
SAML ID 제공자의 메타데이터를 구성하고 확보하는 방법에 대한 자세한 내용은 SAML 제공자에게 문의하여 설명서를 참조하십시오.