如果您要將使用者和群組從 SAML 身分識別提供者匯入 VMware Cloud Director 系統組織,則必須為您的系統組織設定此 SAML 身分識別提供者。匯入的使用者可以使用 SAML 身分識別提供者中建立的認證登入系統組織。

若要為 VMware Cloud Director 設定 SAML 身分識別提供者,請透過交換 SAML 服務提供者和身分識別提供者中繼資料來建立相互信任關係。
備註: 為了成功將 VMware Cloud Director 與外部身分識別提供者整合,以確定正確的值和設定並確保組態正確且準確,另請參閱這些身分識別提供者的產品說明文件。

匯入的使用者嘗試登入時,系統會從 SAML Token (如果可用) 擷取下列屬性,並使用這些屬性解譯對應的使用者相關資訊。

  • email address = "EmailAddress"
  • user name = "UserName"
  • full name = "FullName"
  • user's groups = "Groups"
  • user's roles = "Roles" (可以設定此屬性)

如果沒有直接匯入使用者,但仍期望憑藉已匯入群組的成員資格登入,則會使用群組資訊。使用者可能屬於多個群組,因此在工作階段期間可能具有多個角色。

如果將 [遵從身分識別提供者] 角色指派給匯入的使用者或群組,則將根據從 Token 中 [角色] 屬性收集的資訊指派這些角色。如果使用其他屬性,則此屬性名稱僅可使用 API 進行設定,並且僅可設定 [角色] 屬性。如果使用遵從身分識別提供者角色,但沒有可擷取的角色資訊,則使用者可以登入,但沒有執行任何活動的權限。

提示:

對於版本 10.4.2 及更新版本,如果 VMware Cloud Director 中的組織設定了 SAML 或 OIDC,使用者介面將僅顯示使用 Single Sign-On 登入選項。若要以本機使用者身分登入,請導覽至 https://vcloud.example.com/tenant/tenant_name/loginhttps://vcloud.example.com/provider/login

VMware Cloud Director 登入頁面具有 SSO 登入按鈕。

對於 10.3.3 至 10.4.1 版本,如果 VMware Cloud Director 中的組織設定了 SAML 或 OIDC,若要使用身分識別提供者登入,請選取使用 Single Sign-On 登入選項。

VMware Cloud Director 登入頁面具有 SSO 和本機使用者登入按鈕。

必要條件

  • 確認您具有 SAML 2.0 相容身分識別提供者的存取權。
  • 使用下列來自 SAML 身分識別提供者的中繼資料取得 XML 檔案。
    • 單一登入服務的位置
    • 單一登出服務的位置
    • 服務的 X.509 憑證位置

    如需設定以及從 SAML 提供者取得中繼資料的相關資訊,請參閱 SAML 提供者的說明文件。

程序

  1. 從頂部導覽列中,選取管理
  2. 在左面板的 [身分識別提供者] 下,按一下 SAML,然後按一下編輯
    此時會顯示目前的 SAML 設定。
  3. 服務提供者索引標籤上,下載 VMware Cloud Director SAML 服務提供者中繼資料。
    1. 輸入系統組織的實體識別碼。

      實體識別碼可向您的身分識別提供者唯一識別您的系統組織。

    2. 檢查憑證到期日期,如果即將到期,則按一下重新產生以重新產生憑證。
      此憑證包含在 SAML 中繼資料中,可同時用於加密和簽署。根據在您的組織與 SAML IDP 之間建立信任的方式,可能需要其中一個或兩者都需要。
    3. 按一下擷取中繼資料
      您的瀏覽器會下載 SAML 服務提供者中繼資料,這是您必須提供給身分識別提供者的 XML 檔案。
  4. 身分識別提供者索引標籤上,上傳您先前從身分識別提供者收到的 SAML 中繼資料。
    1. 選取使用 SAML 身分識別提供者
    2. 按一下瀏覽圖示並上傳檔案,或複製其內容並貼到中繼資料 XML 文字方塊中。
  5. 按一下儲存