如果您要將使用者和群組從 SAML 身分識別提供者匯入系統組織,您必須為您的系統組織設定此 SAML 身分識別提供者。匯入的使用者可以使用 SAML 身分識別提供者中建立的認證登入系統組織。
若要為 VMware Cloud Director 設定 SAML 身分識別提供者,請透過交換 SAML 服務提供者和身分識別提供者中繼資料來建立相互信任關係。
匯入的使用者嘗試登入時,系統會從 SAML Token (如果可用) 擷取下列屬性,並使用這些屬性解譯對應的使用者相關資訊。email address = "EmailAddress"
user name = "UserName"
full name = "FullName"
user's groups = "Groups"
user's roles = "Roles"
(可以設定此屬性)
如果沒有直接匯入使用者,但仍期望憑藉已匯入群組的成員資格登入,則會使用群組資訊。使用者可能屬於多個群組,因此在工作階段期間可能具有多個角色。
如果將 [遵從身分識別提供者] 角色指派給匯入的使用者或群組,則將根據從 Token 中 [角色] 屬性收集的資訊指派這些角色。如果使用其他屬性,則此屬性名稱僅可使用 API 進行設定,並且僅可設定 [角色] 屬性。如果使用 [遵從身分識別提供者] 角色,但沒有可擷取的角色資訊,則使用者可以登入,但沒有執行任何活動的權限。
提示: 如果您使用的是
VMware Cloud Director 10.3.2 版或更低版本,並且需要以本機使用者身分登入,則可以使用您設定的基底 URL,例如
https://vcloud.example.com/tenant/tenant_name/login。
必要條件
- 確認您具有 SAML 2.0 相容身分識別提供者的存取權。
- 使用下列來自 SAML 身分識別提供者的中繼資料取得 XML 檔案。
- 單一登入服務的位置
- 單一登出服務的位置
- 服務的 X.509 憑證位置
如需設定以及從 SAML 提供者取得中繼資料的相關資訊,請參閱 SAML 提供者的說明文件。