您可以配置 VMware Integrated OpenStack 以使用 VMware Identity Manager 作为身份提供程序解决方案。

用户可以通过安全关联标记语言 (SAML) 2.0 协议或 OpenID Connect (OIDC) 协议使用 VMware Identity Manager 进行身份验证。

  • SAML 2.0 用户必须使用 VMware Integrated OpenStack 仪表板进行身份验证。SAML 2.0 不支持 OpenStack 命令行界面。
  • OpenID Connect 用户可以使用 VMware Integrated OpenStack 仪表板或 OpenStack 命令行界面进行身份验证。

前提条件

  • 部署并配置 VMware Identity Manager。有关详细信息,请参见VMware Identity Manager 文档
  • 如果要使用 OIDC 协议,并且您的 VMware Identity Manager 实例使用的是自签名证书,请确保在 VMware Identity Manager 中将 CA 安装为可信 CA。有关说明,请参见《安装和配置 VMware Identity Manager》文档中的安装可信根证书
  • 确保 VMware Identity Manager 实例可以与 VMware Integrated OpenStack 管理网络通信。
  • OpenStack admin 用户和 VMware Identity Manager admin 用户不能位于同一 Keystone 域中。要将联合用户导入 default 域,请确保 VMware Identity Manager admin 用户不是用于联合的 VMware Identity Manager 组的一部分。

过程

  1. admin 用户身份登录到 Integrated OpenStack Manager Web 界面。
  2. OpenStack 部署中,单击部署的名称,然后打开管理选项卡。
  3. 身份联合选项卡中,单击添加
  4. 联合类型下拉菜单中,选择 VIDM
  5. 输入所需的参数。
    选项 说明
    协议类型

    选择 SAML2OIDC 作为标识协议。

    名称

    为身份提供程序输入名称。

    注: 添加身份提供程序后,无法更改身份提供程序名称。
    描述

    输入身份提供程序的描述。

    VIDM 地址

    在没有协议的情况下输入 VMware Identity Manager 实例的 FQDN(例如,vidm.example.com)。

    注: FQDN 必须唯一。不能将单个 VMware Identity Manager 实例作为两个单独的身份提供程序添加到 VMware Integrated OpenStack
    VIDM 用户名

    输入 VMware Identity Manager 管理员的用户名。

    VIDM 密码

    输入指定管理员的密码。

    VIDM 验证证书

    选中此复选框可验证 VMware Identity Manager 证书。

    重要事项: 如果选择了 OIDC 协议,并且您的 VMware Identity Manager 实例使用的是自签名证书,则必须验证证书。
  6. (可选) 选中高级设置复选框以配置其他参数。
    1. 通用高级设置下,输入要将联合用户导入至的 OpenStack 域、项目和组。
      注:
      • 如果未输入域、项目或组,则使用以下默认值:
        • 域:federated_domain
        • 项目:federated_project
        • 组:federated_group
      • 不要输入 federated 作为域名。此名称由 Keystone 预留。
      • 如果提供自定义映射,则必须输入这些映射中包含的所有 OpenStack 域、项目和组。
    2. 属性映射字段中,以 JSON 格式输入其他属性,或者上载包含所需属性的 JSON 文件。
    3. VIDM 高级设置下,输入要从中导入用户的 VMware Identity Manager 租户和组。
      如果在 vRealize Automation 部署中使用 VMware Identity Manager 实例,则输入 vsphere.local 作为租户。如果使用独立 VMware Identity Manager 实例,请勿输入租户。
    4. SAML2 高级设置下,输入 VMware Identity Manager 实例的联合元数据文件的 URL。
    5. SAML2 映射字段中,以 JSON 格式输入 SAML 映射,或者上载包含所需映射的 JSON 文件。
    6. OIDC 高级设置下,输入 VMware Identity Manager 实例的联合元数据文件的 URL。
    7. OIDC 映射字段中,以 JSON 格式输入 OIDC 映射,或者上载包含所需映射的 JSON 文件。
    8. 已映射的映射字段中,以 JSON 格式输入 OAuth 映射,或者上载包含所需映射的 JSON 文件。
  7. 单击确定

结果

将在 VMware Identity Manager 中创建 VMware Integrated OpenStack 作为 Web 应用程序,并从 VMware Identity Manager 将联合用户和组导入至 OpenStack。访问 VMware Integrated OpenStack 仪表板时,您可以选择 VMware Identity Manager 身份提供程序以联合用户的身份登录。

将自动为联合用户分配成员角色。如有必要,您可以使用 OpenStack 命令行界面为联合用户分配云管理员特权。

注: 使用身份联合时,必须通过公共 OpenStack 端点访问 VMware Integrated OpenStack 仪表板。不要使用专用 OpenStack 端点或控制器 IP 地址来联合用户身份登录。

后续步骤

如果要创建使用同一 VMware Identity Manager 实例的新身份联合,请删除已配置的身份提供程序,并确保删除完成后再重新添加它。

要删除已配置的身份提供程序,请先在 Integrated OpenStack Manager Web 界面中将其选中并单击删除,然后等待删除操作完成。