您可以将 VMware Integrated OpenStack 与使用安全关联标记语言 (SAML) 2.0 协议的任何第三方身份提供程序解决方案相集成。
VMware 不支持第三方身份提供程序。请联系您的身份提供程序管理员,以获取此过程中所需的信息。
如果您要通过使用 SAML 2.0 将 VMware Integrated OpenStack 与 VMware Identity Manager 相集成,请参见配置 VMware Identity Manager 联合。
前提条件
部署您的身份提供程序解决方案,并确定其元数据文件的位置。
确保 VMware Integrated OpenStack 控制器节点可以访问身份提供程序解决方案的 FQDN。
创建 JSON 格式的映射文件,并将其保存在 OpenStack 管理服务器 中。有关详细信息,请参见 OpenStack 文档中的映射组合。
创建 JSON 格式的 SAML 属性映射文件,并将其保存在 OpenStack 管理服务器 中。使用以下结构:
[ { "name": "attribute-1", "id": "id-1" }, { "name": "attribute-2", "id": "id-2" }, ... ]
VMware Integrated OpenStack 部署只能包含一个联合身份提供程序。您可以运行 viocli federation identity-provider list 以显示所有配置的身份提供程序,也可以运行 viocli federation identity-provider remove 以按 ID 将其移除。
过程
结果
VMware Integrated OpenStack 与您的身份提供程序解决方案相集成,并且联合用户和组将导入到 OpenStack 中。访问 VMware Integrated OpenStack 仪表板时,您可以选择指定的身份提供程序以联合用户的身份登录。
示例:将 VMware Integrated OpenStack 与 Active Directory 联合服务相集成
以下过程实现了 VMware Integrated OpenStack 与 Active Directory 联合身份验证服务 (AD FS) 之间的身份联合。在此示例中,VMware Integrated OpenStack 部署的公共虚拟 IP 地址是 192.0.2.160,AD FS 角色已添加到位于 adfs.example.com 的 Windows Server 虚拟机
在 AD FS 中,为 VMware Integrated OpenStack 添加信赖方信任。
在 AD FS 管理中,选择。
单击启动。
选择手动输入有关信赖方的数据,然后单击下一步。
输入 OpenStack 作为显示名称,然后单击下一步。
选择 AD FS 配置文件,然后单击下一步。
单击下一步。
选择启用对 SAML 2.0 WebSSO 协议的支持。
输入 https://192.0.2.160:5000/saml 作为信赖方 URL,然后单击下一步。
输入 https://192.0.2.160:5000/saml 作为信赖方信任标识符,依次单击添加和下一步。
选择我不想配置多重身份验证,然后单击下一步。
选择允许所有用户访问此信赖方,然后单击下一步。
单击下一步 ,选择编辑声明规则,然后单击关闭。
单击添加规则...。
选择经历或筛选传入声明,并单击下一步。
输入 UPN passthrough 作为规则名称,然后选择 UPN 作为传入声明类型。
选择传递所有声明值,并单击完成
以
viouser用户身份登录到 OpenStack 管理服务器。在名为 mapping.json 的文件中写入以下信息。
[ { "local": [ { "user": { "name": "{0}", }, "group": { "domain": { "name": "adfs-users" }, "name": "Federated Users" } } ], "remote": [ { "type": "upn" } ] } ]在名为 attribute.json 的文件中写入以下信息。
[ { "name": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", "id": "upn" } ]添加 AD FS 作为身份提供程序。
sudo viocli federation identity-provider add --type saml2
根据提示输入信息。
Identity provider name []: adfs Identity provider display name (for Horizon) []: Active Directory Federation Services Description []: ADFS deployment Do you wish to use URL or local file for IdP metadata? (url, file) [url]: url IdP metadata URL []: https://adfs.example.com/federationmetadata/2007-06/federationmetadata.xml Do not verify certificates when establishing TLS/SSL connections [False]: false Do you wish to use a static file or template file for mapping rules? (static, template) [static]: static Enter the local path of mapping rules file: mapping.json Enter the name of the domain that federated users associate with [Default]: adfs-users Enter the name to the groups that federated users associate with (separated by commas ",") []: Federated Users Do you wish to use a static file or template file for attribute mapping? (static, template) [static]: static Enter the local path of attribute mapping file: attribute.json
部署更新后的身份配置。
sudo viocli identity configure
部署配置后,打开 VMware Integrated OpenStack 仪表板。现在,您可以选择 AD FS 身份提供程序,并以联合用户的身份登录。
