如果您要將使用者和群組從 SAML 身分識別提供者匯入 VMware Cloud Director 系統組織,則必須為您的系統組織設定此 SAML 身分識別提供者。匯入的使用者可以使用 SAML 身分識別提供者中建立的認證登入系統組織。
匯入的使用者嘗試登入時,系統會從 SAML Token (如果可用) 擷取下列屬性,並使用這些屬性解譯對應的使用者相關資訊。
email address = "EmailAddress"
user name = "UserName"
full name = "FullName"
user's groups = "Groups"
user's roles = "Roles"
(可以設定此屬性)
如果沒有直接匯入使用者,但仍期望憑藉已匯入群組的成員資格登入,則會使用群組資訊。使用者可能屬於多個群組,因此在工作階段期間可能具有多個角色。
如果將 [遵從身分識別提供者] 角色指派給匯入的使用者或群組,則將根據從 Token 中 [角色] 屬性收集的資訊指派這些角色。如果使用其他屬性,則此屬性名稱僅可使用 API 進行設定,並且僅可設定 [角色] 屬性。如果使用遵從身分識別提供者角色,但沒有可擷取的角色資訊,則使用者可以登入,但沒有執行任何活動的權限。
對於版本 10.4.2 及更新版本,如果 VMware Cloud Director 中的組織設定了 SAML 或 OIDC,使用者介面將僅顯示使用 Single Sign-On 登入選項。若要以本機使用者身分登入,請導覽至 https://vcloud.example.com/tenant/tenant_name/login 或 https://vcloud.example.com/provider/login。
對於 10.3.3 至 10.4.1 版本,如果 VMware Cloud Director 中的組織設定了 SAML 或 OIDC,若要使用身分識別提供者登入,請選取使用 Single Sign-On 登入選項。
必要條件
- 確認您具有 SAML 2.0 相容身分識別提供者的存取權。
- 使用下列來自 SAML 身分識別提供者的中繼資料取得 XML 檔案。
- 單一登入服務的位置
- 單一登出服務的位置
- 服務的 X.509 憑證位置
如需設定以及從 SAML 提供者取得中繼資料的相關資訊,請參閱 SAML 提供者的說明文件。