# Налаштування автентифікації на основі SAML в Azure AD

Цей документ пояснює, як увімкнути <span class="s1">**SAML-аутифікацію через Azure Active Directory (Azure AD)**</span> у VMware vCloud Director для <span class="s1">**єдиного входу (SSO)**</span> користувачів Azure AD до вашого vCloud-тенанта. В данній статті розглянемо налаштування тестової організації **TestOrg** в Cloud Director.

#### **🚀 Попередні вимоги**

Перед початком переконайтесь, що у вас є:

- Адміністративний доступ до <span class="s1">**vCloud Director Tenant**</span>.
- <span class="s1">Адміністративний доступ до </span>**Azure Active Directory Tenant**<span class="s1">.</span>

#### **🧭 Кроки налаштування**

##### **1) Отримання метаданих із vCloud Director**

1. <span class="s1">Увійдіть у свій </span><span class="s2">**vCloud Director Tenant**</span><span class="s1"> (URL схожий на </span>https://eurocloud.datagroup.ua/tenant/testorg<span class="s1">).</span>
2. <span class="s1">Перейдіть у меню </span>**Administration**<span class="s1"> → </span>**Identity Providers**<span class="s1"> → </span>**SAML**<span class="s1">.</span>
3. На сторінці конфігурації <span class="s1">**SAML**</span> натисніть посилання поруч із “Metadata” — це завантажить XML-файл метаданих, який потрібен для налаштування в Azure AD.

##### **2) Конфігурація у Azure AD**

1. Перейдіть на портал <span class="s1">**https://portal.azure.com**</span> і ввійдіть як адміністратор Azure.
2. У меню зліва оберіть <span class="s1">**Microsoft Entra ID**</span> (раніше Azure AD).
3. <span class="s1">У розділі </span>**Manage → Enterprise Applications**<span class="s1"> натисніть </span>**New Application**<span class="s1">.</span>
4. Виберіть <span class="s1">**Create your own application**</span>, введіть назву (наприклад, *vCloud Director*) і підтвердьте.
5. У налаштуваннях додайте користувачів або групи, яким дозволено входити (через <span class="s1">**Assign Users and Groups**</span>).
6. Перейдіть до <span class="s1">**2. Setup single sign on**</span> і виберіть <span class="s1">**SAML**</span> як метод аутентифікації.
7. Завантажте раніше збережений XML-файл метаданих vCloud Director.
8. У полі <span class="s1">**Sign On URL**</span> введіть URL вашого тенанта (наприклад, <span class="s2">https://eurocloud.datagroup.ua/tenant/testorg)</span> і збережіть зміни.

##### **3) Налаштування атрибутів та тверджень**

Після базового налаштування SAML:

1. Перейдіть до розділу <span class="s1">**Attributes &amp; Claims**</span> і натисніть <span class="s1">**Edit**</span>.
2. Додайте новий твердження (claim):
    
    
    - <span class="s1">**Roles**</span><span class="s2"> — джерело: </span>user.assignedroles
    - <span class="s1">**UserName**</span> — джерело: <span class="s2">user.mail</span>
3. Додайте груповий твердження <span class="s1">**Groups**</span>:
    
    
    - Оберіть <span class="s1">**All groups**</span>, джерело — <span class="s1">**Group ID**</span>
    - <span class="s1">Увімкніть </span>**Customize the name of the group claim**<span class="s1"> та введіть ім’я </span><span class="s2">Groups</span><span class="s1">.</span>
4. Збережіть зміни.

##### **4) Завантаження метаданих Azure AD у vCloud Director**

1. <span class="s1">Увійдіть назад у </span>**vCloud Director SAML Configuration**<span class="s1">.</span>
2. Відкрийте <span class="s1">**Edit**</span>, перейдіть на вкладку <span class="s1">**Identity Provider**</span>.
3. Активуйте перемикач для ввімкнення <span class="s1">**SAML Identity Provider**</span>.
4. <span class="s1">Завантажте </span>**Federation Metadata XML**<span class="s1"> файл, який ви завантажили з Azure AD (розділ </span>**SAML Signing Certificate → Federation Metadata XML**<span class="s1">).</span>
5. Натисніть <span class="s1">**SAVE**</span> для збереження конфігурації.

##### **5) Імпорт користувачів та груп у vCloud Director**

Після успішного налаштування SAML:

1. У меню vCloud Director перейдіть у <span class="s1">**Users**</span> або <span class="s1">**Groups**</span>.
2. <span class="s1">Натисніть </span>**Import Users**<span class="s1"> або </span>**Import Groups**<span class="s1">.</span>
3. Введіть електронні адреси користувачів так, як вони визначені в Azure AD.
    
    Для груп — використовуйте <span class="s1">**Group ID**</span>, а не назву чи email.
4. Оберіть рівень доступу (ролі) для кожного — і збережіть.

##### **6) Тестування**

Відкрийте приватне/інкогніто вікно браузера та перейдіть до URL vCloud Director. При спробі входу оберіть SSO через Azure — ви повинні бути переадресовані на портал <span class="s2">**Azure AD**</span> для автентифікації.

## **📌 Важливі поради**

- Імена атрибутів чутливі до регістру (case-sensitive).<span class="Apple-converted-space"> </span>
- Переконайтеся, що у Azure AD додані саме ті користувачі/групи, які вам потрібні для доступу.<span class="Apple-converted-space"> </span>
- Після внесення змін до SAML конфігурації може знадобитися кілька хвилин на поширення змін.