允許您的組織使用安全性聲明標記語言 (SAML) 身分識別提供者 (亦稱為單一登入),以從 SAML 身分識別提供者匯入使用者與群組,並允許匯入的使用者使用在 SAML 身分識別提供者中建立的認證登入組織。

在匯入使用者和群組時,系統會從 SAML Token 擷取一系列屬性 (如果有),並使用它們來解譯嘗試登入之使用者的相關資訊。
  • email address = "EmailAddress"
  • user name = "UserName"
  • full name = "FullName"
  • user's groups = "Groups"
  • user's roles = "Roles"

    編輯 SAML 組態時,可以在Tenant Portal中的屬性對應索引標籤下設定屬性。

如果沒有直接匯入使用者,但仍期望可以憑藉已匯入群組的成員資格登入,則必須提供群組資訊。使用者可能屬於多個群組,因此在工作階段期間可能具有多個角色。

如果將遵從身分識別提供者角色指派給匯入的使用者或群組,則將根據從 Token 中 Roles 屬性收集的資訊指派這些角色。如果使用其他屬性,則僅可透過 API 設定此屬性名稱,並且僅可設定 Roles 屬性。如果使用遵從身分識別提供者角色,但沒有可擷取的角色資訊,則使用者可以登入,但沒有執行任何活動的權限。

必要條件

  • 此作業需要預先定義之組織管理員角色中包含的權限或一組同等權限。

  • 確認您具有 SAML 2.0 相容身分識別提供者的存取權。
  • 確認您收到來自 SAML 身分識別提供者的必要中繼資料。您必須將此中繼資料手動或以 XML 檔案形式匯入 VMware Cloud Director。此中繼資料必須包含下列資訊:
    • 單一登入服務的位置
    • 單一登出服務的位置
    • 服務的 X.509 憑證位置

    如需設定以及從 SAML 提供者取得中繼資料的相關資訊,請參閱 SAML 身分識別提供者的說明文件。

程序

  1. 在頂部導覽列中,按一下管理
  2. 身分識別提供者下,按一下 SAML
  3. 按一下編輯
  4. 服務提供者索引標籤上,輸入實體識別碼
    實體識別碼是您的組織針對身分識別提供者的唯一識別碼。您可以使用您的組織名稱,或符合 SAML 身分識別提供者需求的任何其他字串。
    重要: 一旦指定實體識別碼,您便無法將其刪除。若要變更實體識別碼,您必須對組織執行完整的 SAML 重新設定。如需實體識別碼的相關資訊,請參閱 《OASIS Security Assertion Markup Language (SAML) 2.0 適用的判斷提示和通訊協定》
  5. 若要為組織下載 SAML 中繼資料,請按一下擷取中繼資料
    您的瀏覽器會下載 SAML 中繼資料,這是您必須按原樣提供給身分識別提供者的 XML 檔案。
  6. 檢閱憑證到期日期,然後選擇性地按一下重新產生來重新產生用於簽署同盟訊息的憑證。
    可以為 SAML 簽署提供自己的憑證,方法是在使用者介面中將憑證上傳到憑證程式庫,然後在 SAML 組態 API 中傳遞對這些憑證的參考。
    此憑證包含在 SAML 中繼資料中,可同時用於加密和簽署。根據您組織與 SAML 身分識別提供者之間建立信任的方式,可能需要加密和簽署中的一個或兩者都需要。
  7. 身分識別提供者索引標籤上,開啟使用 SAML 身分識別提供者切換按鈕。
  8. 複製您收到的來自身分識別提供者的 SAML 中繼資料並貼到文字方塊中,或按一下上傳以瀏覽至 XML 檔案並上傳其中的中繼資料。
  9. 按一下儲存

下一步

  • 使用 VMware Cloud Director 中繼資料設定 SAML 提供者。請參閱 SAML 身分識別提供者說明文件和 VMware Cloud Director 安裝、設定與升級指南》
  • 從 SAML 身分識別提供者匯入使用者與群組。請參閱管理使用者、群組和角色