同盟身分識別管理可確保某個網域的電子身分識別及屬性可在其他網域得以接受並用於存取資源。您可以使用 vCenter Single Sign-On 與 VMware Identity Manager,在 vRealize Automation、vRealize Operations Manager 和 vSphere Web Client 之間啟用同盟身分識別管理。
同盟身分識別環境會根據使用者與同盟身分識別系統互動的方式,將使用者劃入稱為「角色」的類別。使用者會使用系統接收服務。管理員可在系統之間設定和管理聯盟。開發人員會建立並延伸使用者耗用的服務。下表說明這些角色享受的同盟身分識別管理的優點。
| 使用者類型 | 同盟身分識別優點 |
|---|---|
| 使用者 |
|
| 管理員 |
|
| 開發人員 |
|
您可以透過在 VMware Identity Manager 與 vCenter Single Sign-On 之間建立 SAML 連線,來設定兩方之間的聯盟。vCenter Single Sign-On 充當身分識別提供者,VMware Identity Manager 充當服務提供者。身分識別提供者會提供電子身分識別。服務提供者會在評估並接受電子身分識別後授與資源存取權。
對於要由 vCenter Single Sign-On 驗證的使用者,VMware Identity Manager 與 vCenter Single Sign-On 中必須存在相同帳戶。至少兩者使用者的 userPrinicpalName 必須相符。其他屬性可以不同,因為它們不會用於識別 SAML 主旨。
對於 vCenter Single Sign-On 中的本機使用者 (例如 [email protected]),必須在 VMware Identity Manager 中建立對應的帳戶,其中,至少使用者的 userPrinicpalName 相符。必須手動建立,或透過使用 VMware Identity Manager 本機使用者建立 API 的指令碼建立對應的帳戶。
在 SSO2 與 vIDM 之間設定 SAML 涉及下列工作。
- 更新 VMware Identity Manager 預設驗證前,將 SAML Token 從 vCenter Single Sign-On 匯入 VMware Identity Manager。
- 在 VMware Identity Manager 中,將 vCenter Single Sign-On 設定為 VMware Identity Manager 上的第三方身分識別提供者,並更新 VMware Identity Manager 預設驗證。
- 在 vCenter Single Sign-On 上,透過匯入 VMware Identity Managersp.xml 檔案,將 VMware Identity Manager 設定為服務提供者。
請參閱下列產品說明文件:
- 如需將 SSO2 設定為 vRealize Automation 身分識別提供者的相關資訊,請參閱 將 VMware vCenter SSO 5.5 U2 與 VMware vCloud Automation Center 6.1 搭配使用。
- 如需 vRealize AutomationVMware Identity Manager 說明文件,請參閱 更新 VMware Identity Manager 的 Single Sign-On 密碼。
- 如需如何設定身分識別目錄管理與 SSO2 之間的聯盟的相關資訊,請參閱 設定身分識別目錄管理與 SSO2 之間的 SAML 聯盟。
- 如需 vRealize Operations Manager SSO 說明文件,請參閱 在 vRealize Operations Manager 中設定 Single Sign-On 來源。
