您可以配置 VMware Integrated OpenStack 以使用 VMware Identity Manager 作为身份提供程序解决方案。
用户可以通过安全关联标记语言 (SAML) 2.0 协议或 OpenID Connect (OIDC) 协议使用 VMware Identity Manager 进行身份验证。
- SAML 2.0 用户必须使用 VMware Integrated OpenStack 仪表板进行身份验证。SAML 2.0 不支持 OpenStack 命令行界面。
- OpenID Connect 用户可以使用 VMware Integrated OpenStack 仪表板或 OpenStack 命令行界面进行身份验证。
前提条件
- 部署并配置 VMware Identity Manager。有关详细信息,请参见VMware Identity Manager文档。
- 如果要使用 OIDC 协议,并且您的 VMware Identity Manager 实例使用的是自签名证书,请确保在 VMware Identity Manager 中将 CA 安装为可信 CA。有关说明,请参见《安装和配置 VMware Identity Manager》文档中的“安装可信根证书”。
- 确保 VMware Identity Manager 实例可以与 VMware Integrated OpenStack 管理网络通信。
- OpenStack
admin
用户和 VMware Identity Manageradmin
用户不能位于同一 Keystone 域中。如果要将联合用户导入default
域,请确保 VMware Identity Manageradmin
用户不属于用于联合的 VMware Identity Manager 组。 - 必须使用不同的联合名称将多个 VMware Integrated OpenStack 配置到同一个 VMware Identity Manager。
过程
- 以
admin
用户身份登录到 Integrated OpenStack Manager Web 界面。 - 在 OpenStack 部署中,单击部署的名称,然后打开管理选项卡。
- 在身份联合选项卡中,单击添加。
- 从联合类型下拉菜单中,选择 VIDM。
- 输入所需的参数。
选项 说明 协议类型 选择 SAML2 或 OIDC 作为标识协议。
名称 为身份提供程序输入名称。
注: 添加身份提供程序后,无法更改身份提供程序名称。描述 输入身份提供程序的描述。
VIDM 地址 在没有协议的情况下输入 VMware Identity Manager 实例的 FQDN(例如,vidm.example.com)。
注: FQDN 必须唯一。不能将单个 VMware Identity Manager 实例作为两个单独的身份提供程序添加到 VMware Integrated OpenStack。VIDM 用户名 输入 VMware Identity Manager 管理员的用户名。
VIDM 密码 输入指定管理员的密码。
VIDM 验证证书 选中此复选框可验证 VMware Identity Manager 证书。
重要说明: 如果选择了 OIDC 协议,并且您的 VMware Identity Manager 实例使用的是自签名证书,则必须验证证书。 - (可选) 选中高级设置复选框以配置其他参数。
- 在通用高级设置下,输入要将联合用户导入至的 OpenStack 域、项目和组。
注:
- 如果未输入域、项目或组,则使用以下默认值:
- 域:
federated_domain
- 项目:
federated_project
- 组:
federated_group
- 域:
- 不要输入
federated
作为域名。此名称由 Keystone 预留。 - 如果提供自定义映射,则必须输入这些映射中包含的所有 OpenStack 域、项目和组。
- 如果未输入域、项目或组,则使用以下默认值:
- 在属性映射字段中,以 JSON 格式输入其他属性,或者上载包含所需属性的 JSON 文件。
- 在 VIDM 高级设置下,输入要从中导入用户的 VMware Identity Manager 租户和组。
如果在 vRealize Automation 部署中使用 VMware Identity Manager 实例,则输入 vsphere.local 作为租户。如果使用独立 VMware Identity Manager 实例,请勿输入租户。
- 在 SAML2 高级设置下,输入 VMware Identity Manager 实例的联合元数据文件的 URL。
- 在 SAML2 映射字段中,以 JSON 格式输入 SAML 映射,或者上载包含所需映射的 JSON 文件。
- 在 OIDC 高级设置下,输入 VMware Identity Manager 实例的联合元数据文件的 URL。
- 在 OIDC 映射字段中,以 JSON 格式输入 OIDC 映射,或者上载包含所需映射的 JSON 文件。
- 在已映射的映射字段中,以 JSON 格式输入 OAuth 映射,或者上载包含所需映射的 JSON 文件。
- 在通用高级设置下,输入要将联合用户导入至的 OpenStack 域、项目和组。
- 单击确定。
结果
将在 VMware Identity Manager 中创建 VMware Integrated OpenStack 作为 Web 应用程序,并从 VMware Identity Manager 将联合用户和组导入至 OpenStack。访问 VMware Integrated OpenStack 仪表板时,您可以选择 VMware Identity Manager 身份提供程序以联合用户的身份登录。
系统将自动为联合用户分配成员角色。如有必要,可以使用 OpenStack 命令行界面为联合用户分配云管理员特权。
下一步做什么
如果要创建使用同一 VMware Identity Manager 实例的新身份联合,请删除已配置的身份提供程序,并确保删除完成后再重新添加它。
要删除已配置的身份提供程序,请先在 Integrated OpenStack Manager Web 界面中将其选中并单击删除,然后等待删除操作完成。