您可以配置 VMware Integrated OpenStack 以使用 VMware Identity Manager 作为身份提供程序解决方案。

用户可以通过安全关联标记语言 (SAML) 2.0 协议或 OpenID Connect (OIDC) 协议使用 VMware Identity Manager 进行身份验证。

  • SAML 2.0 用户必须使用 VMware Integrated OpenStack 仪表板进行身份验证。SAML 2.0 不支持 OpenStack 命令行界面。

  • OpenID Connect 用户可以使用 VMware Integrated OpenStack 仪表板或 OpenStack 命令行界面进行身份验证。

前提条件

  • 部署和配置 VMware Identity Manager 3.3 或更高版本。

  • 确保 VMware Identity Manager 实例可以与 VMware Integrated OpenStack 管理网络通信。

注:

VMware Integrated OpenStack 部署只能包含一个联合身份提供程序。您可以运行 viocli federation identity-provider list 以显示所有配置的身份提供程序,也可以运行 viocli federation identity-provider remove 以按 ID 将其移除。

过程

  1. viouser 用户身份登录到 OpenStack 管理服务器
  2. 添加 VMware Identity Manager 作为身份提供程序。 
    sudo viocli federation identity-provider add --type vidm
  3. 根据提示输入以下信息。

    选项

    说明

    身份提供程序名称

    为身份提供程序输入名称。此名称用于 OpenStack 管理服务器 命令行操作,不能包含特殊字符或空格。

    身份提供程序显示名称(适用于 Horizon)

    为身份提供程序输入显示名称。用户登录到 VMware Integrated OpenStack 仪表板时,可在执行身份验证时使用下看到此名称。

    说明

    (可选)输入身份提供程序的描述。

    vIDM 端点地址

    输入 VMware Identity Manager 实例的 FQDN(例如,https://vxlan-vm-2-10.network.example.com)。

    vIDM 管理员用户

    输入 VMware Identity Manager 管理员的用户名。

    vIDM 管理员密码

    输入 VMware Identity Manager 管理员的密码。

    建立 TLS/SSL 连接时不验证证书

    输入 false 验证 TLS 证书,或输入 true 禁用证书验证。

    vIDM 租户名称

    如果要在 vRealize Automation 部署中使用 VMware Identity Manager,请输入 vsphere.local。否则,将该值留空,然后按 Enter 键。

    输入联合用户关联的域的名称

    输入所有联合用户所属的 Keystone 域。如果此域不存在,则将创建一个。

    输入联合用户关联的组的名称(以逗号“,”分隔)

    输入包含联合用户的一个或多个组。如果要使用自定义映射,请输入包含在映射文件中的所有组。如果您输入的组不存在,将创建这些组。

    是否要启用 OpenID Connect 支持

    输入 false 使用 SAML,或输入 true 使用 OpenID Connect。

    是否要启用 OAuth API 工作流

    输入 false 使用 SAML,或输入 true 使用 OpenID Connect。

    是否要更改高级设置

    输入 n
  4. 部署更新后的身份配置。 
    sudo viocli identity configure

    部署身份配置会短暂中断 OpenStack 服务。

结果

VMware Identity ManagerVMware Integrated OpenStack 相集成,联合用户和组会导入到 OpenStack。访问 VMware Integrated OpenStack 仪表板时,您可以选择 VMware Identity Manager 身份提供程序以联合用户的身份登录。