VMware Integrated OpenStack 3.1 开始,可以将 VMware Integrated OpenStack 部署与 VMware Identity Manager 集成在一起。

开始之前

  • 确认 VMware Identity Manager 为 2.8.0 或更高版本。

  • 确认您能以管理员的身份通过 VMware Identity Manager 实例的身份验证。

关于此任务

通过将 VMware Integrated OpenStackVMware Identity Manager 相集成,您就可以安全地使用现有凭据跨多个授权云中的多个端点访问各种云资源(例如服务器、卷和数据库)。您只有一组凭据,无需置备其他身份或多次登录。此凭据由用户的身份提供程序来维护。

过程

  1. 执行 custom.yml 文件。
    sudo mkdir -p /opt/vmware/vio/custom
    sudo cp /var/lib/vio/ansible/custom/custom.yml.sample /opt/vmware/vio/custom/custom.yml
  2. 在文本编辑器中编辑 /opt/vmware/vio/custom/custom.yml 文件,以便针对您的环境进行配置。
    1. Federation 下,取消对以下参数的注释并针对您的环境设置相应的值。

      以下示例为 VMware Identity Manager 的最常见配置提供了参考。

      参数

      federation_protocol

      saml2

      federation_idp_id

      vidm

      federation_idp_name

      vIDM SSO

      federation_idp_metadata_url

      https://IDP_HOSTNAME/SAAS/API/1.0/GET/metadata/idp.xml

      federation_group

      联合用户

      federation_group_description

      所有联合用户的组

      vidm_address

      IDP_URL

      vidm_user

      vidm_administrative_user

      vidm_password

      vidm_administrative_user_password

      vidm_insecure

      False

      vidm_group

      所有用户

    2. 保存 custom.yml 文件。
  3. 使用在 custom.yml 文件中配置的设置启用联合。
    viocli deployment configure --tags federation --limit controller,lb

    成功完成集成操作后,VMware Integrated OpenStack 仪表板会显示一个新的身份验证方法下拉菜单,用户可通过该菜单选择身份验证方法。

  4. VMware Identity Manager 用户所属的组分配角色/项目,然后该用户才能登录到 VMware Integrated OpenStack

    您可能需要在 keystone 中创建一个与 VMware Identity Manager 中用户所属的组相对应的组。对于 VMware Identity Manager 用户,Keystone 不会自动创建组,而是会创建临时用户。如果该组不存在,则该用户将成为默认 Federated Users 组的成员。

    1. 以管理员身份登录到 VMware Integrated OpenStack 仪表板。
    2. 在“联合”下,单击映射以查看当前映射。
    3. 单击“编辑”以根据需要配置映射。

      有关映射的详细信息,请参见 OpenStack 文档中的联合的映射组合