Konfigurieren eines generischen SAML 2.0-Verbunds

Sie können VMware Integrated OpenStack in jede Identitätsanbieterlösung eines Drittanbieters integrieren, die das SAML 2.0-Protokoll (Security Association Markup Language) verwendet.

Wichtig: Externe Identitätsanbieter werden von VMware nicht unterstützt. Die für dieses Verfahren erforderlichen Informationen erhalten Sie beim Administrator Ihres Identitätsanbieters.

Informationen zur Integration von VMware Integrated OpenStack in VMware Identity Manager mithilfe von SAML 2.0 finden Sie unter Konfigurieren des VMware Identity Manager-Verbunds.

Voraussetzungen

Stellen Sie Ihren Identitätsanbieter bereit und konfigurieren Sie ihn. Bestimmen Sie den Speicherort seiner Metadatendatei und den Wert des entityID-Attributs in dieser Datei.
Stellen Sie sicher, dass die VMware Integrated OpenStack-Bereitstellung auf den FQDN der Identitätsanbieterlösung zugreifen kann.
Erstellen Sie eine Zuordnungsdatei im JSON-Format. Weitere Informationen finden Sie unter Zuordnungskombinationen in der OpenStack-Dokumentation.
Verwenden Sie in Ihrer Zuordnungsdatei nicht federated als Domänennamen. Dieser Name ist für Keystone reserviert.

Erstellen Sie eine SAML-Attributzuordnungsdatei im JSON-Format. Verwenden Sie die folgende Syntax:

[
    {
        "name": "attribute-1",
        "id": "id-1"
    },
    {
        "name": "attribute-2",
        "id": "id-2"
    },
    ...
]

Prozedur

Melden Sie sich bei der Webschnittstelle für Integrated OpenStack Manager an und wechseln Sie zum admin-Benutzer.
Klicken Sie in OpenStack-Bereitstellung auf den Namen Ihrer Bereitstellung und öffnen Sie die Registerkarte Verwalten.
Klicken Sie auf der Registerkarte Identitätsverbund auf Hinzufügen.
Wählen Sie im Dropdown-Menü Verbundtyp die Option Generische SAML2 aus.

Geben Sie die erforderlichen Parameter ein.

Option	Beschreibung
Name	Geben Sie einen Namen für den Identitätsanbieter ein.
Beschreibung	Geben Sie eine Beschreibung des Identitätsanbieters ein.
Attributzuordnung	Geben Sie zusätzliche SAML-Attribute im JSON-Format ein oder laden Sie eine JSON-Datei hoch, die die gewünschten Attribute enthält.
Generische SAML2 unsicher	Deaktivieren Sie das Kontrollkästchen, um die Zertifikate Ihres Identitätsanbieters zu validieren.
Einheits-ID für generische SAML2	Geben Sie das entityID-Attribut für Ihren Identitätsanbieter ein. Dieser Wert steht in der Verbundmetadatendatei zur Verfügung.
SAML2-Metadaten-URL	Geben Sie die URL der Verbund-Metadatendatei für Ihren Identitätsanbieter ein.
SAML2-Zuordnung	Geben Sie SAML-Zuordnungen im JSON-Format ein oder laden Sie eine JSON-Datei hoch, die die gewünschten Zuordnungen enthält.

(Optional) Aktivieren Sie das Kontrollkästchen Erweiterte Einstellungen, um zusätzliche Parameter zu konfigurieren.
1. Geben Sie unter Allgemeine erweiterte Einstellungen eine OpenStack-Domäne, ein OpenStack-Projekt und eine OpenStack-Gruppe ein, in die die Verbundbenutzer importiert werden sollen.
  Hinweis:
  - Wenn Sie keine Domäne, kein Projekt oder keine Gruppe eingeben, werden die folgenden Standardwerte verwendet:
    
    Domäne: federated_domain
    
    Projekt: federated_project
    
    Gruppe: federated_group
  - Geben Sie nicht federated als Domänennamen ein. Dieser Name ist für Keystone reserviert.
  - Wenn Sie benutzerdefinierte Zuordnungen bereitstellen, müssen Sie alle OpenStack-Domänen, -Projekte und -Gruppen eingeben, die in diesen Zuordnungen enthalten sind.
Klicken Sie auf OK.

Ergebnisse

VMware Integrated OpenStack ist in Ihre Identitätsanbieterlösung integriert, und Verbundbenutzer und Gruppen werden in OpenStack importiert. Wenn Sie auf das VMware Integrated OpenStack-Dashboard zugreifen, können Sie den angegebenen Identitätsanbieter auswählen, um sich als Verbundbenutzer anzumelden.

Hinweis: Wenn Sie den Identitätsverbund verwenden, müssen Sie über den öffentlichen OpenStack-Endpoint auf das VMware Integrated OpenStack-Dashboard zugreifen. Verwenden Sie nicht den privaten OpenStack-Endpoint oder eine Controller-IP-Adresse für die Anmeldung als Verbundbenutzer.

Beispiel: Integration von VMware Integrated OpenStack in Active Directory-Verbunddienste

Mit dem folgenden Verfahren wird der Identitätsverbund zwischen VMware Integrated OpenStack und Active Directory-Verbunddiensten (AD FS) basierend auf dem Benutzerprinzipalnamen (UPN) implementiert. In diesem Beispiel lautet die öffentliche virtuelle IP-Adresse der VMware Integrated OpenStack-Bereitstellung 192.0.2.160, und die AD FS-Rolle wurde einer Windows-SVM (Server Virtual Machine) unter adfs.example.com hinzugefügt. Der Name des Identitätsanbieters in VMware Integrated OpenStack wird auf adfsvio festgelegt.

Fügen Sie in AD FS eine Vertrauensstellung der vertrauenden Seite für VMware Integrated OpenStack hinzu.
1. Wählen Sie in der AD FS-Verwaltung die Option Aktion > Vertrauensstellung der vertrauenden Seite hinzufügen… aus.
2. Klicken Sie auf Start.
3. Wählen Sie Daten über die vertrauende Seite manuell eingeben aus und klicken Sie auf Weiter.
4. Geben Sie als Anzeigenamen OpenStack ein und klicken Sie auf Weiter.
5. Wählen Sie AD FS-Profil aus und klicken Sie auf Weiter.
6. Klicken Sie auf Weiter.
7. Wählen Sie Unterstützung für SAML 2.0 WebSSO-Protokoll aktivieren aus.
8. Geben Sie als URL der vertrauenden Seite https://192.0.2.160:5000/adfsvio/Shibboleth.sso/SAML2 ein und klicken Sie auf Weiter.
9. Geben Sie als Bezeichner der Vertrauensstellung der vertrauenden Seite https://192.0.2.160:5000/adfsvio ein, klicken Sie auf Hinzufügen und dann auf Weiter.
10. Wählen Sie Ich möchte keine Multi-Faktor-Authentifizierung konfigurieren und klicken Sie auf Weiter.
11. Wählen Sie Allen Benutzern den Zugriff auf diese vertrauende Seite erlauben, und klicken Sie auf Weiter.
12. Klicken Sie auf Weiter, wählen Sie Anspruchsregeln bearbeiten aus und klicken Sie auf Schließen.
13. Klicken Sie auf Regel hinzufügen….
14. Wählen Sie Eingehenden Anspruch weiterleiten oder filtern aus und klicken Sie auf Weiter.
15. Geben Sie als Namen der Regel UPN-Passthrough ein und wählen Sie als eingehenden Anspruchstyp UPN aus.
16. Wählen Sie Alle Anspruchswerte zulassen aus und klicken Sie auf Fertig stellen.
Melden Sie sich bei der Webschnittstelle für Integrated OpenStack Manager an und wechseln Sie zum admin-Benutzer.
Klicken Sie in OpenStack-Bereitstellung auf den Namen der Bereitstellung und öffnen Sie die Registerkarte Verwalten.
Klicken Sie auf der Registerkarte Identitätsverbund auf Hinzufügen.
Wählen Sie im Dropdown-Menü Verbundtyp die Option Generische SAML2 aus.

Geben Sie die folgende Konfiguration ein.


Option	Beschreibung
Name	`adfsvio`
Beschreibung	`AD FS-Identitätsanbieter`
Attributzuordnung	[ { "name": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", "id": "upn" } ]
Einheits-ID für generische SAML2	`http://adfs.example.com/adfs/services/trust`
SAML2-Metadaten-URL	`https://adfs.example.com/federationmetadata/2007-06/federationmetadata.xml`
SAML2-Zuordnung	[ { "local": [ { "user": { "name": "{0}" }, "group": { "domain": { "name": "adfs-users" }, "name": "Federated Users" } } ], "remote": [ { "type": "upn" } ] } ]

Aktivieren Sie das Kontrollkästchen Erweiterte Einstellungen.

Wählen Sie Allgemeine erweiterte Einstellungen aus und geben Sie die folgende Konfiguration ein.


Option	Beschreibung
Domäne	`adfs-users`
Projekt	Lassen Sie das Feld leer.
Gruppe	`Verbundbenutzer`

Öffnen Sie das VMware Integrated OpenStack-Dashboard, nachdem die Konfiguration überprüft und bereitgestellt wurde. Sie können nun den AD FS-Identitätsanbieter auswählen und sich als Verbundbenutzer anmelden.

Nächste Maßnahme

Wenn Sie einen konfigurierten Identitätsanbieter löschen müssen, wählen Sie ihn zuerst in der Integrated OpenStack Manager-Webschnittstelle aus und klicken Sie auf Löschen. Melden Sie sich dann beim VMware Integrated OpenStack-Dashboard an, wählen Sie Identität > Verbund > Identitätsanbieter und den gewünschten Anbieter aus und klicken Sie auf Registrierung der Identitätsanbieter aufheben.