配置 VMware Identity Manager 联合

您可以配置 VMware Integrated OpenStack 以使用 VMware Identity Manager 作为身份提供程序解决方案。

用户可以通过安全关联标记语言 (SAML) 2.0 协议使用 VMware Identity Manager 进行身份验证。联合用户必须使用 VMware Integrated OpenStack 仪表板进行身份验证。不支持 OpenStack 命令行界面。

前提条件

部署和配置 VMware Identity Manager 2.8 或更高版本。
确保 VMware Identity Manager 实例可以与 VMware Integrated OpenStack 管理网络通信。

如果要导入自定义映射，而不使用默认映射，请预先准备映射文件。

创建 JSON 格式的映射文件，并将其保存在 OpenStack 管理服务器中。有关详细信息，请参见 OpenStack 文档中的映射组合。

创建 JSON 格式的 SAML 属性映射文件，并将其保存在 OpenStack 管理服务器中。使用以下结构：

[
    {
        "name": "attribute-1",
        "id": "id-1"
    },
    {
        "name": "attribute-2",
        "id": "id-2"
    },
    ...
]

过程

以 viouser 用户身份登录到 OpenStack 管理服务器。

添加 VMware Identity Manager 作为身份提供程序。

sudo viocli federation identity-provider add --type vidm

根据提示输入以下信息。

选项	说明
身份提供程序名称	为身份提供程序输入名称。此名称用于 OpenStack 管理服务器命令行操作，不能包含特殊字符或空格。
身份提供程序显示名称（适用于 Horizon）	为身份提供程序输入显示名称。用户登录到 VMware Integrated OpenStack 仪表板时，可在执行身份验证时使用下看到此名称。
说明	（可选）输入身份提供程序的描述。
vIDM 端点地址	输入 VMware Identity Manager 实例的 FQDN（例如，https://vxlan-vm-2-10.network.example.com）。
vIDM 管理员用户	输入 VMware Identity Manager 管理员的用户名。
vIDM 管理员密码	输入 VMware Identity Manager 管理员的密码。
建立 TLS/SSL 连接时不验证证书	输入 `false` 验证 TLS 证书，或输入 `true` 禁用证书验证。
vIDM 租户名称	如果要在 vRealize Automation 部署中使用 VMware Identity Manager，请输入 `vsphere.local`。否则，将该值留空，然后按 Enter 键。
输入联合用户关联的域的名称	输入所有联合用户所属的 Keystone 域。如果此域不存在，则将创建一个。
输入联合用户关联的组的名称（以逗号“,”分隔）	输入包含联合用户的一个或多个组。如果要使用自定义映射，请输入包含在映射文件中的所有组。如果您输入的组不存在，将创建这些组。
是否要更改高级设置?	输入 `n` 使用默认映射，或输入 `y` 指定映射文件。

如果选择更改高级设置，请根据提示输入以下信息。

选项	说明
您要将静态文件还是模板文件用于映射规则	输入 `static` 使用静态映射文件，或输入 `template` 使用映射模板。
输入映射规则文件的本地路径	输入本地系统上的映射规则文件的路径。
您要将静态文件还是模板文件用于属性映射	输入 `static` 使用静态映射文件，或输入 `template` 使用映射模板。
输入属性映射文件的本地路径	输入本地系统上的属性映射文件的路径。

部署更新后的身份配置。
```
sudo viocli identity configure
```
部署身份配置会短暂中断 OpenStack 服务。

结果

VMware Identity Manager 与 VMware Integrated OpenStack 相集成，联合用户和组会导入到 OpenStack。访问 VMware Integrated OpenStack 仪表板时，您可以选择 VMware Identity Manager 身份提供程序以联合用户的身份登录。