vSphere Web Client 會以受信任的 SAML 2.0 服務提供者 (SP) 的身分自動登錄 vCenter Single Sign-On。您可以將其他受信任的服務提供者新增至充當 SAML 身分識別提供者 (IDP) 的 vCenter Single Sign-On 所在的識別身分同盟。服務提供者必須符合 SAML 2.0 通訊協定。在設定聯盟之後,如果使用者可以向 vCenter Single Sign-On 進行驗證,則服務提供者會授與該使用者存取權。
備註:
vCenter Single Sign-On 可以為其他 SP 的 IDP。
vCenter Single Sign-On 不能為使用其他 IDP 的 SP。
已登錄的 SAML 服務提供者可以授與已擁有即時工作階段的使用者 (即已登入身分識別提供者的使用者) 存取權。例如,vRealize Automation 7.0 及更新版本支援 vCenter Single Sign-On 做為身分識別提供者。您可以從 vCenter Single Sign-On 和 vRealize Automation 設定聯盟。在此之後,vCenter Single Sign-On 可以在您登入 vRealize Automation 時執行驗證。
若要將 SAML 服務提供者加入識別身分同盟,您必須透過在 SP 與 IDP 之間交換 SAML 中繼資料來設定它們之間的信任。
您必須同時對
vCenter Single Sign-On 及使用
vCenter Single Sign-On 的服務執行整合工作。
- 將 IDP 中繼資料匯出至檔案,然後將其匯入 SP。
- 匯出 SP 中繼資料並將其匯入 IDP。
您可以使用 vCenter Single Sign-On 的 vSphere Web Client 介面來匯出 IDP 中繼資料,並從 SP 匯入中繼資料。如果您是使用 vRealize Automation 做為 SP,請參閱 vRealize Automation 說明文件,以取得有關匯出 SP 中繼資料和匯入 IDP 中繼資料的詳細資料。
備註: 服務必須完全支援 SAML 2.0 標準,否則整合將無法運作。