Sie können VMware Integrated OpenStack in jede Identitätsanbieterlösung eines Drittanbieters integrieren, die das SAML 2.0-Protokoll (Security Association Markup Language) verwendet.

Wichtig:

Externe Identitätsanbieter werden von VMware nicht unterstützt. Die für dieses Verfahren erforderlichen Informationen erhalten Sie beim Administrator Ihres Identitätsanbieters.

Informationen zur Integration von VMware Integrated OpenStack in VMware Identity Manager mithilfe von SAML 2.0 finden Sie unter Konfigurieren des VMware Identity Manager-Verbunds.

Voraussetzungen

  • Stellen Sie Ihre Identitätsanbieterlösung bereit, und bestimmen Sie den Speicherort der Metadatendatei.

  • Stellen Sie sicher, dass der VMware Integrated OpenStack-Controller-Knoten auf den FQDN der Identitätsanbieterlösung zugreifen kann.

  • Erstellen Sie eine Zuordnungsdatei im JSON-Format und speichern Sie sie auf dem OpenStack Management Server. Weitere Informationen finden Sie unter Zuordnungskombinationen in der OpenStack-Dokumentation.

  • Erstellen Sie eine Zuordnungsdatei für SAML-Attribute im JSON-Format und speichern Sie sie auf dem OpenStack Management Server. Verwenden Sie die folgende Syntax: 

    [
    {
        "name": "attribute-1",
        "id": "id-1"
    },
    {
        "name": "attribute-2",
        "id": "id-2"
    },
    ...
]
Hinweis:

Eine VMware Integrated OpenStack-Bereitstellung kann nur einen Verbundidentitätsanbieter enthalten. Sie können viocli federation identity-provider list ausführen, um alle konfigurierten Identitätsanbieter anzuzeigen. Mit dem Befehl viocli federation identity-provider remove können Sie die Identitätsanbieter nach ID entfernen.

Prozedur

  1. Melden Sie sich beim OpenStack Management Server als viouser an.
  2. Fügen Sie Ihre Identitätsanbieterlösung zu VMware Integrated OpenStack hinzu. 
    sudo viocli federation identity-provider add --type saml2
  3. Geben Sie die folgenden Informationen ein, wenn Sie dazu aufgefordert werden.

    Option

    Beschreibung

    Name des Identitätsanbieters

    Geben Sie einen Namen für den Identitätsanbieter ein. Dieser Name wird in Befehlszeilenvorgängen von OpenStack Management Server verwendet und darf weder Sonderzeichen noch Leerzeichen enthalten.

    Anzeigename des Identitätsanbieters (für Horizon)

    Geben Sie einen Anzeigenamen für den Identitätsanbieter ein. Dieser Name wird Benutzern unter Authentifizieren mit angezeigt, wenn sie sich beim VMware Integrated OpenStack-Dashboard anmelden.

    Beschreibung

    (Optional) Geben Sie eine Beschreibung des Identitätsanbieters ein.

    Möchten Sie für IdP-Metadaten URL oder lokale Datei verwenden?

    Geben Sie url ein. Das Abrufen von Metadaten des Identitätsanbieters aus einer lokalen Datei wird nicht unterstützt.

    URL der IdP-Metadaten

    Geben Sie die URL der Metadatendatei über Ihren Identitätsanbieter ein (z. B. https://idp-fqdn/metadata.xml). Sie müssen den Identitätsanbieter nach FQDN angeben.

    Überprüfen Sie Zertifikate nicht, wenn Sie TLS/SSL-Verbindungen herstellen.

    Geben Sie false ein, um TLS-Zertifikate zu überprüfen, oder true, um die Zertifikatüberprüfung zu deaktivieren.

    Möchten Sie eine statische Datei oder eine Vorlagendatei für Zuordnungsregeln verwenden?

    Geben Sie static ein, um eine statische Zuordnungsdatei zu verwenden, oder template, um eine Zuordnungsvorlage zu verwenden.

    Geben Sie den lokalen Pfad der Zuordnungsregeldatei ein.

    Geben Sie den Pfad zur Zuordnungsregeldatei auf Ihrem lokalen System ein.

    Geben Sie den Namen der Domäne ein, mit der Verbundbenutzer verknüpft werden.

    Geben Sie die Keystone-Domäne ein, zu der Verbundbenutzer gehören sollen. Falls die Domäne nicht vorhanden ist, wird sie erstellt.

    Geben Sie die Namen der Gruppen ein, mit denen Verbundbenutzer verknüpft werden (durch Kommas getrennt „,“).

    Geben Sie eine oder mehrere Gruppen ein, die für Verbundbenutzer erstellt werden sollen. Sie müssen alle Gruppen eingeben, die in der Zuordnungsdatei enthalten sind. Falls die von Ihnen eingegebenen Gruppen nicht vorhanden sind, werden sie erstellt.

    Möchten Sie eine statische Datei oder eine Vorlagendatei für die Attributzuordnung verwenden?

    Geben Sie static ein, um eine statische Zuordnungsdatei zu verwenden, oder template, um eine Zuordnungsvorlage zu verwenden.

    Geben Sie den lokalen Pfad der Attributzuordnungsdatei ein.

    Geben Sie den Pfad zur Attributzuordnungsdatei auf Ihrem lokalen System ein.

  4. Stellen Sie die aktualisierte Identitätskonfiguration bereit. 
    sudo viocli identity configure

    Die Bereitstellung der Identitätskonfiguration führt zu einer kurzen Unterbrechung der OpenStack-Dienste.

Ergebnisse

VMware Integrated OpenStack ist in Ihre Identitätsanbieterlösung integriert, und Verbundbenutzer und Gruppen werden in OpenStack importiert. Wenn Sie auf das VMware Integrated OpenStack-Dashboard zugreifen, können Sie den angegebenen Identitätsanbieter auswählen, um sich als Verbundbenutzer anzumelden.

Beispiel: Integration von VMware Integrated OpenStack in Active Directory-Verbunddienste.

Bei dem folgenden Verfahren wird ein Identitätsverbund zwischen VMware Integrated OpenStack und Active Directory-Verbunddiensten (AD FS) implementiert. In diesem Beispiel lautet die öffentliche virtuelle IP-Adresse der VMware Integrated OpenStack-Bereitstellung 192.0.2.160, und die AD FS-Rolle wurde einer Windows-SVM (Server Virtual Machine) unter adfs.example.com hinzugefügt.

  1. Fügen Sie in AD FS eine Vertrauensstellung der vertrauenden Seite für VMware Integrated OpenStack hinzu.

    1. Wählen Sie in der AD FS-Verwaltung die Option Aktion > Vertrauensstellung der vertrauenden Seite hinzufügen… aus.

    2. Klicken Sie auf Start.

    3. Wählen Sie Daten über die vertrauende Seite manuell eingeben aus und klicken Sie auf Weiter.

    4. Geben Sie als Anzeigenamen OpenStack ein und klicken Sie auf Weiter.

    5. Wählen Sie AD FS-Profil aus und klicken Sie auf Weiter.

    6. Klicken Sie auf Weiter.

    7. Wählen Sie Unterstützung für SAML 2.0 WebSSO-Protokoll aktivieren aus.

    8. Geben Sie als URL der vertrauenden Seite https://192.0.2.160:5000/saml ein und klicken Sie auf Weiter.

    9. Geben Sie als Bezeichner der Vertrauensstellung der vertrauenden Seite https://192.0.2.160:5000/saml ein, klicken Sie auf Hinzufügen und dann auf Weiter.

    10. Wählen Sie Ich möchte keine Multi-Faktor-Authentifizierung konfigurieren und klicken Sie auf Weiter.

    11. Wählen Sie Allen Benutzern den Zugriff auf diese vertrauende Seite erlauben, und klicken Sie auf Weiter.

    12. Klicken Sie auf Weiter, wählen Sie Anspruchsregeln bearbeiten aus und klicken Sie auf Schließen.

    13. Klicken Sie auf Regel hinzufügen….

    14. Wählen Sie Eingehenden Anspruch weiterleiten oder filtern aus und klicken Sie auf Weiter.

    15. Geben Sie als Namen der Regel UPN-Passthrough ein und wählen Sie als eingehenden Anspruchstyp UPN aus.

    16. Wählen Sie Alle Anspruchswerte zulassen aus und klicken Sie auf Fertig stellen.

  2. Melden Sie sich beim OpenStack Management Server als viouser an.

  3. Schreiben Sie die folgenden Informationen in eine Datei mit dem Namen mapping.json. 

    [
    {
        "local": [
            {
                "user": {
                    "name": "{0}",
                },
                "group": {
                    "domain": {
                        "name": "adfs-users"
                    },
                    "name": "Federated Users"
                }
            }
        ],
        "remote": [
            {
                "type": "upn"
            }
        ]
    }
]

  4. Schreiben Sie die folgenden Informationen in eine Datei mit dem Namen attribute.json. 

    [
    {
        "name": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
        "id": "upn"
    }
]

  5. Fügen Sie AD FS als Identitätsanbieter hinzu. 

    sudo viocli federation identity-provider add --type saml2

  6. Geben Sie die erforderlichen Informationen ein, wenn Sie dazu aufgefordert werden. 

    Identity provider name []: adfs
Identity provider display name (for Horizon) []: Active Directory Federation Services
Description []: ADFS deployment
Do you wish to use URL or local file for IdP metadata? (url, file) [url]: url
IdP metadata URL []: https://adfs.example.com/federationmetadata/2007-06/federationmetadata.xml
Do not verify certificates when establishing TLS/SSL connections [False]: false
Do you wish to use a static file or template file for mapping rules? (static, template) [static]: static
Enter the local path of mapping rules file: mapping.json
Enter the name of the domain that federated users associate with [Default]: adfs-users
Enter the name to the groups that federated users associate with (separated by commas ",") []: Federated Users
Do you wish to use a static file or template file for attribute mapping? (static, template) [static]: static
Enter the local path of attribute mapping file: attribute.json

  7. Stellen Sie die aktualisierte Identitätskonfiguration bereit. 

    sudo viocli identity configure

Öffnen Sie das VMware Integrated OpenStack-Dashboard, nachdem die Konfiguration bereitgestellt wurde. Sie können nun den AD FS-Identitätsanbieter auswählen und sich als Verbundbenutzer anmelden.