您可以將 SAML 服務提供者新增至 vCenter Single Sign-On,並將 vCenter Single Sign-On 做為身分識別提供者新增至該服務。之後,當使用者登入服務提供者時,服務提供者會透過 vCenter Single Sign-On 對這些使用者進行驗證。

開始之前

目標服務必須完全支援 SAML 2.0 標準。

如果中繼資料沒有準確遵循 SAML 2.0 中繼資料架構,您可能必須在匯入前對架構進行編輯。例如,如果使用 Active Directory Federation Services (ADFS) SAML 服務提供者,則必須先編輯中繼資料,然後才能將其匯入。移除以下非標準元素:

fed:ApplicationServiceType
fed:SecurityTokenServiceType

目前無法從 vSphere Web Client 匯入 SAML IDP 中繼資料。

執行這項作業的原因和時機

如果希望將 VMware vRealize Automation 7.0 及更新版本隨附的 Single Sign-On 解決方案與 vCenter Single Sign-On 身分識別提供者進行整合,或者如果正在使用其他外部 SAML 服務提供者,則可以使用該程序。

該程序涉及將 SAML 服務提供者的中繼資料匯入至 vCenter Single Sign-On,以及將 vCenter Single Sign-On 中繼資料匯入至 SAML 服務提供者,以使兩個提供者可以共用全部資料。

程序

  1. 將服務提供者的中繼資料匯出至檔案。
  2. 將服務提供者的中繼資料匯入 vCenter Single Sign-On
    1. 以 administrator@vsphere.local 或擁有 vCenter Single Sign-On 管理員權限的其他使用者身分登入 vSphere Web Client

      具有 vCenter Single Sign-On 管理員權限的使用者位於 vsphere.local 網域的管理員群組中。

    2. 瀏覽到 Single Sign-On > 組態
    3. 選取 SAML 服務提供者索引標籤。
    4. 來自您的 SAML 服務提供者的中繼資料欄位中,按一下匯入,並在對話方塊中貼上 XML 字串,或者按一下從檔案匯入以匯入檔案,然後按一下匯入
  3. 匯出 vCenter Single Sign-On 中繼資料。
    1. 您的 SAML 服務提供者的中繼資料欄位中,按一下下載
    2. 指定檔案位置。
  4. 前往 SAML 服務提供者 (例如 VMware vRealize Automation 7.0 或更新版本),然後依照 SAML 服務提供者的指示,將 vCenter Single Sign-On 中繼資料新增至該服務提供者。

    如需有關匯入中繼資料的詳細資料,請參閱 vRealize Automation 說明文件。