允許您的組織使用安全性聲明標記語言 (SAML) 身分識別提供者 (亦稱為單一登入),以從 SAML 身分識別提供者匯入使用者與群組,並允許匯入的使用者使用在 SAML 身分識別提供者中建立的認證登入組織。
- email address = "EmailAddress"
- user name = "UserName"
- full name = "FullName"
- user's groups = "Groups"
- user's roles = "Roles"
編輯 SAML 組態時,可以在Tenant Portal中的屬性對應索引標籤下設定屬性。
如果沒有直接匯入使用者,但仍期望可以憑藉已匯入群組的成員資格登入,則必須提供群組資訊。使用者可能屬於多個群組,因此在工作階段期間可能具有多個角色。
如果將遵從身分識別提供者角色指派給匯入的使用者或群組,則將根據從 Token 中 Roles
屬性收集的資訊指派這些角色。如果使用其他屬性,則僅可透過 API 設定此屬性名稱,並且僅可設定 Roles
屬性。如果使用遵從身分識別提供者角色,但沒有可擷取的角色資訊,則使用者可以登入,但沒有執行任何活動的權限。
必要條件
-
此作業需要預先定義之組織管理員角色中包含的權限或一組同等權限。
- 確認您具有 SAML 2.0 相容身分識別提供者的存取權。
- 確認您收到來自 SAML 身分識別提供者的必要中繼資料。您必須將此中繼資料手動或以 XML 檔案形式匯入 VMware Cloud Director。此中繼資料必須包含下列資訊:
- 單一登入服務的位置
- 單一登出服務的位置
- 服務的 X.509 憑證位置
如需設定以及從 SAML 提供者取得中繼資料的相關資訊,請參閱 SAML 身分識別提供者的說明文件。
程序
下一步
- 使用 VMware Cloud Director 中繼資料設定 SAML 提供者。請參閱 SAML 身分識別提供者說明文件和 《VMware Cloud Director 安裝、設定與升級指南》。
- 從 SAML 身分識別提供者匯入使用者與群組。請參閱管理使用者、群組和角色。