从 VMware Integrated OpenStack 3.1 开始,可以将 VMware Integrated OpenStack 部署与 VMware Identity Manager 集成在一起。
通过将 VMware Integrated OpenStack 与 VMware Identity Manager 相集成,您就可以安全地使用现有凭据跨多个授权云中的多个端点访问各种云资源(例如服务器、卷和数据库)。您只有一组凭据,无需置备其他身份或多次登录。此凭据由用户的身份提供程序来维护。
前提条件
- 确认 VMware Identity Manager 为 2.8.0 或更高版本。
- 确认您能以管理员的身份通过 VMware Identity Manager 实例的身份验证。
过程
- 执行 custom.yml 文件。
sudo mkdir -p /opt/vmware/vio/custom
sudo cp /var/lib/vio/ansible/custom/custom.yml.sample /opt/vmware/vio/custom/custom.yml
- 在文本编辑器中编辑 /opt/vmware/vio/custom/custom.yml 文件,以便针对您的环境进行配置。
- 在
Federation 下,取消对以下参数的注释并针对您的环境设置相应的值。
以下示例为
VMware Identity Manager 的最常见配置提供了参考。
| 参数 |
值 |
| federation_protocol |
saml2 |
| federation_idp_id |
vidm |
| federation_idp_name |
vIDM SSO |
| federation_idp_metadata_url |
https://IDP_HOSTNAME/SAAS/API/1.0/GET/metadata/idp.xml |
| federation_group |
联合用户 |
| federation_group_description |
所有联合用户的组 |
| vidm_address |
IDP_URL |
| vidm_user |
vidm_administrative_user |
| vidm_password |
vidm_administrative_user_password |
| vidm_insecure |
False |
| vidm_group |
所有用户 |
- 保存 custom.yml 文件。
- 使用在 custom.yml 文件中配置的设置启用联合。
viocli deployment configure --tags federation --limit controller,lb
成功完成集成操作后,
VMware Integrated OpenStack 仪表板会显示一个新的
身份验证方法下拉菜单,用户可通过该菜单选择身份验证方法。
- 向 VMware Identity Manager 用户所属的组分配角色/项目,然后该用户才能登录到 VMware Integrated OpenStack。
您可能需要在 keystone 中创建一个与
VMware Identity Manager 中用户所属的组相对应的组。对于
VMware Identity Manager 用户,Keystone 不会自动创建组,而是会创建临时用户。如果该组不存在,则该用户将成为默认
Federated Users 组的成员。
- 以管理员身份登录到 VMware Integrated OpenStack 仪表板。
- 在“联合”下,单击映射以查看当前映射。
- 单击“编辑”以根据需要配置映射。
有关映射的详细信息,请参见 OpenStack 文档中的
联合的映射组合。
