Sie können VMware Integrated OpenStack in jede Identitätsanbieterlösung eines Drittanbieters integrieren, die das SAML 2.0-Protokoll (Security Association Markup Language) verwendet. Der Keystone in VMware Integrated OpenStack fungiert als Dienstanbieter für diese Konfiguration.
Informationen zur Integration von VMware Integrated OpenStack in VMware Identity Manager mithilfe von SAML 2.0 finden Sie unter Konfigurieren des VMware Identity Manager-Verbunds.
Voraussetzungen
- Ermitteln Sie den Speicherort der Metadatendatei Ihres Identitätsanbieters und das Attribut entityID in der Datei.
- Stellen Sie sicher, dass die VMware Integrated OpenStack-Bereitstellung auf den FQDN der Identitätsanbieterlösung zugreifen kann.
- Für die SAML2-Attributzuordnung verwendet Keystone Shibboleth als SSO-Komponente. Shibboleth ordnet die Benutzerattribute des Identitätsanbieters den von Keystone verwendeten lokalen Attributen zu. Wenden Sie sich an den Administrator Ihres Identitätsanbieters, um die Benutzerattribute zu erhalten.
- Für die SAML2-Regelzuordnung benötigt Keystone Regeln für die Zuordnung der Remotebenutzer zu lokalen Domänen, Projekten und Gruppen. Weitere Informationen finden Sie unter Zuordnungskombinationen in der OpenStack-Dokumentation.
- Auf der Identitätsanbieterseite müssen Sie den Dienstanbieter ordnungsgemäß konfigurieren. Auf die Metadaten des Dienstanbieters kann über die folgende URL zugegriffen werden: https://<vio_public_endpoint>:5000/<your_idp_name>/Shibboleth.sso/Metadata
Prozedur
Ergebnisse
VMware Integrated OpenStack ist in Ihre Identitätsanbieterlösung integriert, und Verbundbenutzer und Gruppen werden in OpenStack importiert. Wenn Sie auf das VMware Integrated OpenStack-Dashboard zugreifen, können Sie den angegebenen Identitätsanbieter auswählen, um sich als Verbundbenutzer anzumelden.
Beispiel: Integration von VMware Integrated OpenStack in Active Directory-Verbunddienste
Mit dem folgenden Verfahren wird der Identitätsverbund zwischen VMware Integrated OpenStack und Active Directory-Verbunddiensten (ADFS) basierend auf dem Benutzerprinzipalnamen (UPN) implementiert. Das Verfahren der ADFS-Konfiguration soll als Beispiel dienen. Die tatsächliche Unternehmenskonfiguration kann anders aussehen. Sie müssen die entsprechende SAML-Konfiguration von VMware Integrated OpenStack ändern.
In diesem Beispiel lautet die öffentliche virtuelle IP-Adresse der VMware Integrated OpenStack-Bereitstellung 192.0.2.160, und die ADFS-Rolle gehört zur Windows Server-VM unter adfs.example.com. Der Name des Identitätsanbieters in VMware Integrated OpenStack lautet adfsvio
.
- Fügen Sie in ADFS eine Vertrauensstellung der vertrauenden Seite für VMware Integrated OpenStack hinzu.
- Wählen Sie unter ADFS-Verwaltung die Option aus.
- Klicken Sie auf Start.
- Wählen Sie Daten über die vertrauende Seite manuell eingeben aus und klicken Sie auf Weiter.
- Geben Sie als Anzeigenamen OpenStack ein und klicken Sie auf Weiter.
- Wählen Sie ADFS-Profil aus und klicken Sie auf Weiter.
- Klicken Sie auf Weiter.
- Wählen Sie Unterstützung für SAML 2.0 WebSSO-Protokoll aktivieren aus.
- Geben Sie als URL der vertrauenden Seite https://192.0.2.160:5000/adfsvio/Shibboleth.sso/SAML2 ein und klicken Sie auf Weiter.
- Geben Sie als Bezeichner der Vertrauensstellung der vertrauenden Seite https://192.0.2.160:5000/adfsvio ein, klicken Sie auf Hinzufügen und dann auf Weiter.
- Wählen Sie Ich möchte keine Multi-Faktor-Authentifizierung konfigurieren und klicken Sie auf Weiter.
- Wählen Sie Allen Benutzern den Zugriff auf diese vertrauende Seite erlauben, und klicken Sie auf Weiter.
- Klicken Sie auf Weiter wählen Sie Anspruchsregeln bearbeiten aus und klicken Sie auf Schließen.
- Klicken Sie auf Regel hinzufügen….
- Wählen Sie Eingehenden Anspruch weiterleiten oder filtern aus und klicken Sie auf Weiter.
- Geben Sie als Namen der Regel UPN-Passthrough ein und wählen Sie als eingehenden Anspruchstyp UPN aus.
- Wählen Sie Alle Anspruchswerte zulassen aus und klicken Sie auf Fertig stellen.
- Melden Sie sich bei der Webschnittstelle für Integrated OpenStack Manager an und wechseln Sie zum
admin
-Benutzer. - Klicken Sie in OpenStack-Bereitstellung auf den Namen der Bereitstellung und öffnen Sie die Registerkarte Verwalten.
- Klicken Sie auf der Registerkarte Identitätsverbund auf Hinzufügen.
- Wählen Sie im Dropdown-Menü Verbundtyp die Option Generische SAML2 aus.
- Geben Sie die folgende Konfiguration ein:
Option Beschreibung Name adfsvio Beschreibung ADFS-Identitätsanbieter Attributzuordnung [ { "name": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", "id": "upn" } ]
Einheits-ID für generische SAML2 http://adfs.example.com/adfs/services/trust SAML2-Metadaten-URL https://adfs.example.com/federationmetadata/2007-06/federationmetadata.xml SAML2-Zuordnung [ { "local": [ { "user": { "name": "{0}" }, "group": { "domain": { "name": "adfs-users" }, "name": "Federated Users" } } ], "remote": [ { "type": "upn" } ] } ]
- Aktivieren Sie das Kontrollkästchen Erweiterte Einstellungen.
- Wählen Sie Allgemeine erweiterte Einstellungen aus und geben Sie die folgende Konfiguration ein.
Option Beschreibung Domäne adfs-users Projekt Lassen Sie das Textfeld leer.
Gruppe Verbundbenutzer
Öffnen Sie nach Abschluss der Konfigurationsüberprüfung und -aktualisierung das VMware Integrated OpenStack-Dashboard. Sie können jetzt den ADFS-Identitätsanbieter auswählen und sich als Verbundbenutzer anmelden.
Nächste Maßnahme
Um einen konfigurierten Identitätsanbieter zu löschen, wählen Sie die Integrated OpenStack Manager-Webschnittstelle aus und klicken Sie auf Löschen. Melden Sie sich dann beim VMware Integrated OpenStack-Dashboard an, wählen Sie und den gewünschten Anbieter aus und klicken Sie auf Registrierung der Identitätsanbieter aufheben.