您可以将 VMware Integrated OpenStack 与使用安全关联标记语言 (SAML) 2.0 协议的任何第三方身份提供程序解决方案相集成。VMware Integrated OpenStack 中的 Keystone 可用作此配置的服务提供程序。
- VMware不支持第三方身份提供程序。请联系您的身份提供程序管理员,获取此过程中所需的信息。
- 请勿将 VMware Integrated OpenStack 同时连接到具有相同 AD 后端的 LDAP 身份验证和联合。
如果要使用 SAML 2.0 将 VMware Integrated OpenStack 与 VMware Identity Manager 集成,请参见配置 VMware Identity Manager 联合。
前提条件
- 确定身份提供程序元数据文件的位置以及文件中的 entityID 属性。
- 确保 VMware Integrated OpenStack 部署可以访问身份提供程序的 FQDN。
- 对于 SAML2 属性映射,Keystone 使用 Shibboleth 作为 SSO 组件。Shibboleth 将 IdP 用户属性映射到 Keystone 使用的本地属性。有关用户属性,请联系您的 IdP 管理员。
- 对于 SAML2 规则映射,Keystone 需要使用规则将远程用户映射到本地域、项目和组。有关详细信息,请参见 OpenStack 文档中的“映射组合”,文档网址为 https://docs.openstack.org/keystone/train/admin/federation/mapping_combinations.html。
- 在身份提供程序端,您必须正确配置服务提供程序。可以使用以下 URL 访问服务提供程序元数据:https://<vio_public_endpoint>:5000/<your_idp_name>/Shibboleth.sso/Metadata
过程
结果
VMware Integrated OpenStack 与您的身份提供程序解决方案相集成,并且联合用户和组将导入到 OpenStack 中。访问 VMware Integrated OpenStack 仪表板时,您可以选择指定的身份提供程序以联合用户的身份登录。
示例: 将 VMware Integrated OpenStack 与 Active Directory 联合身份验证服务集成
以下过程基于用户主体名称 (UPN) 在 VMware Integrated OpenStack 和 Active Directory 联合身份验证服务 (ADFS) 之间实现身份联合。ADFS 配置过程是供您参考的示例,实际企业配置可能有所不同。您必须更改相应的 VMware Integrated OpenStack SAML 配置。
在此示例中,VMware Integrated OpenStack 部署的公共虚拟 IP 地址是 192.0.2.160,ADFS 角色是位于 adfs.example.com 的 Windows Server 虚拟机的一部分。VMware Integrated OpenStack 中身份提供程序的名称是 adfsvio
。
- 在 ADFS 中,为 VMware Integrated OpenStack 添加信赖方信任。
- 在 ADFS 管理中,选择 。
- 单击启动。
- 选择手动输入有关信赖方的数据,然后单击下一步。
- 输入 OpenStack 作为显示名称,然后单击下一步。
- 选择 ADFS 配置文件,然后单击下一步。
- 单击下一步。
- 选择启用对 SAML 2.0 WebSSO 协议的支持。
- 输入 https://192.0.2.160:5000/adfsvio/Shibboleth.sso/SAML2 作为信赖方 URL,然后单击下一步。
- 输入 https://192.0.2.160:5000/adfsvio 作为信赖方信任标识符,依次单击添加和下一步。
- 选择我不想配置多重身份验证,然后单击下一步。
- 选择允许所有用户访问此信赖方,然后单击下一步。
- 单击下一步,选择编辑声明规则,然后单击关闭。
- 单击添加规则...。
- 选择经历或筛选传入声明,并单击下一步。
- 输入 UPN passthrough 作为规则名称,然后选择 UPN 作为传入声明类型。
- 选择传递所有声明值,并单击完成
- 以
admin
用户身份登录到 Integrated OpenStack Manager Web 界面。 - 在 OpenStack 部署中,单击部署的名称,然后打开管理选项卡。
- 在身份联合选项卡中,单击添加。
- 从联合类型下拉菜单中,选择 Generic SAML2。
- 输入以下配置:
选项 说明 名称 adfsvio 描述 ADFS 身份提供程序 属性映射 [ { "name": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", "id": "upn" } ]
Generic SAML2 实体 ID http://adfs.example.com/adfs/services/trust SAML2 元数据 URL https://adfs.example.com/federationmetadata/2007-06/federationmetadata.xml SAML2 映射 [ { "local": [ { "user": { "name": "{0}" }, "group": { "domain": { "name": "adfs-users" }, "name": "Federated Users" } } ], "remote": [ { "type": "upn" } ] } ]
- 选中高级设置复选框。
- 选择通用高级设置,然后输入以下配置。
选项 说明 域 adfs-users 项目 将文本框留空。
组 联合用户
配置验证和更新完成后,打开 VMware Integrated OpenStack 仪表板。现在,您可以选择 ADFS 身份提供程序并以联合用户身份登录。
下一步做什么
要删除已配置的身份提供程序,请选择 Integrated OpenStack Manager Web 界面,然后单击删除。之后,登录到 VMware Integrated OpenStack 仪表板,选择 ,选择所需的提供程序,然后单击取消注册身份提供程序。