您可以配置 VMware Integrated OpenStack 以使用 VMware Identity Manager 作为身份提供程序解决方案。

用户可以通过安全关联标记语言 (SAML) 2.0 协议使用 VMware Identity Manager 进行身份验证。联合用户必须使用 VMware Integrated OpenStack 仪表板进行身份验证。不支持 OpenStack 命令行界面。

前提条件

  • 部署和配置 VMware Identity Manager 2.8 或更高版本。

  • 确保 VMware Identity Manager 实例可以与 VMware Integrated OpenStack 管理网络通信。

过程

  1. viouser 用户身份登录到 OpenStack 管理服务器
  2. 如果您的部署未使用 custom.yml 文件,请将模板 custom.yml 文件复制到 /opt/vmware/vio/custom 目录。 
    sudo mkdir -p /opt/vmware/vio/custom
sudo cp /var/lib/vio/ansible/custom/custom.yml.sample /opt/vmware/vio/custom/custom.yml
  3. 在文本编辑器中打开 /opt/vmware/vio/custom/custom.yml 文件。
  4. 添加以下参数。

    选项

    说明

    federation_protocol

    输入 saml2

    federation_idp_id

    为身份提供程序输入名称。此名称用于 OpenStack 管理服务器 命令行操作,不能包含特殊字符或空格。

    federation_idp_name

    为身份提供程序输入显示名称。用户登录到 VMware Integrated OpenStack 仪表板时,可在执行身份验证时使用下看到此名称。

    federation_idp_metadata_url

    输入 https://identity-mgr-fqdn/SAAS/API/1.0/GET/metadata/idp.xml

    federation_group

    输入一个组以包含联合用户。

    federation_group_description

    输入联合用户组的描述。

    vidm_address

    输入 VMware Identity Manager 实例的 FQDN(例如,https://vxlan-vm-2-10.network.example.com)。

    vidm_user

    输入 VMware Identity Manager 管理员的用户名。

    vidm_password

    输入 VMware Identity Manager 管理员的密码。

    vidm_insecure

    输入 false 验证 TLS 证书,或输入 true 禁用证书验证。

    vidm_group

    VMware Identity Manager 中输入用于联合的用户组。

  5. 部署更新的配置。 
    sudo viocli deployment configure

    部署此配置会短暂中断 OpenStack 服务。

  6. 向联合用户或组分配项目和角色。
    1. 以云管理员身份登录 VMware Integrated OpenStack 仪表板。
    2. 从标题栏中的下拉菜单选择管理项目。
    3. 选择身份 > 项目
    4. 单击所需项目旁边的管理成员
    5. 添加联合用户或组,并指定所需的角色。
    6. 单击保存

结果

VMware Identity ManagerVMware Integrated OpenStack 相集成,联合用户和组会导入到 OpenStack。访问 VMware Integrated OpenStack 仪表板时,您可以选择 VMware Identity Manager 身份提供程序以联合用户的身份登录。