您可以配置 VMware Integrated OpenStack 以使用 VMware Identity Manager 作为身份提供程序解决方案。
用户可以通过安全关联标记语言 (SAML) 2.0 协议或 OpenID Connect (OIDC) 协议使用 VMware Identity Manager 进行身份验证。
- SAML 2.0 用户必须使用 VMware Integrated OpenStack 仪表板进行身份验证。SAML 2.0 不支持 OpenStack 命令行界面。
- OpenID Connect 用户可以使用 VMware Integrated OpenStack 仪表板或 OpenStack 命令行界面进行身份验证。
前提条件
- 部署并配置 VMware Identity Manager。有关详细信息,请参见VMware Identity Manager 文档。
- 如果要使用 OIDC 协议,并且您的 VMware Identity Manager 实例使用的是自签名证书,请确保在 VMware Identity Manager 中将 CA 安装为可信 CA。有关说明,请参见《安装和配置 VMware Identity Manager》文档中的安装可信根证书。
- 确保 VMware Identity Manager 实例可以与 VMware Integrated OpenStack 管理网络通信。
- OpenStack
admin
用户和 VMware Identity Manageradmin
用户不能位于同一 Keystone 域中。如果要将联合用户导入default
域,请确保 VMware Identity Manageradmin
用户不属于用于联合的 VMware Identity Manager 组。
过程
- 以
admin
用户身份登录到 Integrated OpenStack Manager Web 界面。 - 在 OpenStack 部署中,单击部署的名称,然后打开管理选项卡。
- 在身份联合选项卡中,单击添加。
- 从联合类型下拉菜单中,选择 VIDM。
- 输入所需的参数。
选项 说明 协议类型 选择 SAML2 或 OIDC 作为标识协议。
名称 为身份提供程序输入名称。
注: 添加身份提供程序后,无法更改身份提供程序名称。描述 输入身份提供程序的描述。
VIDM 地址 在没有协议的情况下输入 VMware Identity Manager 实例的 FQDN(例如,vidm.example.com)。
注: FQDN 必须唯一。不能将单个 VMware Identity Manager 实例作为两个单独的身份提供程序添加到 VMware Integrated OpenStack。VIDM 用户名 输入 VMware Identity Manager 管理员的用户名。
VIDM 密码 输入指定管理员的密码。
VIDM 验证证书 选中此复选框可验证 VMware Identity Manager 证书。
重要事项: 如果选择了 OIDC 协议,并且您的 VMware Identity Manager 实例使用的是自签名证书,则必须验证证书。 - (可选) 选中高级设置复选框以配置其他参数。
- 在通用高级设置下,输入要将联合用户导入至的 OpenStack 域、项目和组。
注:
- 如果未输入域、项目或组,则使用以下默认值:
- 域:
federated_domain
- 项目:
federated_project
- 组:
federated_group
- 域:
- 不要输入
federated
作为域名。此名称由 Keystone 预留。 - 如果提供自定义映射,则必须输入这些映射中包含的所有 OpenStack 域、项目和组。
- 如果未输入域、项目或组,则使用以下默认值:
- 在属性映射字段中,以 JSON 格式输入其他属性,或者上载包含所需属性的 JSON 文件。
- 在 VIDM 高级设置下,输入要从中导入用户的 VMware Identity Manager 租户和组。
如果在 vRealize Automation 部署中使用 VMware Identity Manager 实例,则输入 vsphere.local 作为租户。如果使用独立 VMware Identity Manager 实例,请勿输入租户。
- 在 SAML2 高级设置下,输入 VMware Identity Manager 实例的联合元数据文件的 URL。
- 在 SAML2 映射字段中,以 JSON 格式输入 SAML 映射,或者上载包含所需映射的 JSON 文件。
- 在 OIDC 高级设置下,输入 VMware Identity Manager 实例的联合元数据文件的 URL。
- 在 OIDC 映射字段中,以 JSON 格式输入 OIDC 映射,或者上载包含所需映射的 JSON 文件。
- 在已映射的映射字段中,以 JSON 格式输入 OAuth 映射,或者上载包含所需映射的 JSON 文件。
- 在通用高级设置下,输入要将联合用户导入至的 OpenStack 域、项目和组。
- 单击确定。
结果
将在 VMware Identity Manager 中创建 VMware Integrated OpenStack 作为 Web 应用程序,并从 VMware Identity Manager 将联合用户和组导入至 OpenStack。访问 VMware Integrated OpenStack 仪表板时,您可以选择 VMware Identity Manager 身份提供程序以联合用户的身份登录。
系统将自动为联合用户分配成员角色。如有必要,可以使用 OpenStack 命令行界面为联合用户分配云管理员特权。
注: 使用身份联合时,必须通过公共 OpenStack 端点访问
VMware Integrated OpenStack 仪表板。不要使用专用 OpenStack 端点或控制器 IP 地址以联合用户的身份登录。