Konfigurieren eines SAML 2.0-Verbunds

Sie können VMware Integrated OpenStack in jede Identitätsanbieterlösung eines Drittanbieters integrieren, die das SAML 2.0-Protokoll (Security Association Markup Language) verwendet. Der Keystone in VMware Integrated OpenStack fungiert als Dienstanbieter für diese Konfiguration.

Wichtig:

VMware unterstützt keine Drittanbieter als Identitätsanbieter. Die für dieses Verfahren erforderlichen Informationen erhalten Sie beim Administrator Ihres Identitätsanbieters.
Verbinden Sie VMware Integrated OpenStack nicht mit der LDAP-Authentifizierung und dem Verbund, die über dasselbe AD-Back-End verfügen.

Informationen zur Integration von VMware Integrated OpenStack in VMware Identity Manager mithilfe von SAML 2.0 finden Sie unter Konfigurieren des VMware Identity Manager-Verbunds.

Voraussetzungen

Ermitteln Sie den Speicherort der Metadatendatei Ihres Identitätsanbieters und das Attribut entityID in der Datei.
Stellen Sie sicher, dass die VMware Integrated OpenStack-Bereitstellung auf den FQDN der Identitätsanbieterlösung zugreifen kann.
Für die SAML2-Attributzuordnung verwendet Keystone Shibboleth als SSO-Komponente. Shibboleth ordnet die Benutzerattribute des Identitätsanbieters den von Keystone verwendeten lokalen Attributen zu. Wenden Sie sich an den Administrator Ihres Identitätsanbieters, um die Benutzerattribute zu erhalten.
Für die SAML2-Regelzuordnung benötigt Keystone Regeln für die Zuordnung von Remotebenutzer zu den lokalen Domänen, Projekten und Gruppen. Weitere Informationen finden Sie unter „Zuordnungskombinationen“ in der OpenStack-Dokumentation unter https://docs.openstack.org/keystone/train/admin/federation/mapping_combinations.html.
Auf der Identitätsanbieterseite müssen Sie den Dienstanbieter ordnungsgemäß konfigurieren. Auf die Metadaten des Dienstanbieters kann über die folgende URL zugegriffen werden: https://<vio_public_endpoint>:5000/<your_idp_name>/Shibboleth.sso/Metadata

Prozedur

Melden Sie sich bei der Webschnittstelle für Integrated OpenStack Manager an und wechseln Sie zum admin-Benutzer.
Klicken Sie in OpenStack-Bereitstellung auf den Namen Ihrer Bereitstellung und öffnen Sie die Registerkarte Verwalten.
Klicken Sie auf der Registerkarte Keystone-Verbund auf Hinzufügen.
Wählen Sie im Dropdown-Menü Verbundtyp die Option Generische SAML2 aus.

Geben Sie die erforderlichen Parameter ein.

Option	Beschreibung
Name	Geben Sie einen Namen für den Identitätsanbieter ein. VMware Integrated OpenStack verwendet diesen Namen zum Erstellen des OpenStack-Identitätsanbieters.
Beschreibung	Geben Sie eine Beschreibung für den Identitätsanbieter ein.
Attributzuordnung	Geben Sie zusätzliche SAML-Attribute im JSON-Format ein oder laden Sie eine JSON-Datei hoch, die die gewünschten Attribute enthält. VMware Integrated OpenStack verwendet die JSON-Daten zum Konfigurieren der Shibboleth-Datei `attribute-map.xml`.
Generische SAML2 unsicher	Deaktivieren Sie das Kontrollkästchen, damit Sie die Zertifikate Ihres Identitätsanbieters validieren können.
Einheits-ID für generische SAML2	Geben Sie das entityID-Attribut für Ihren Identitätsanbieter ein. Dieser Wert steht in der Verbundmetadatendatei zur Verfügung. VMware Integrated OpenStack verwendet diesen Wert zum Erstellen des OpenStack-Identitätsanbieters.
SAML2-Metadaten-URL	Geben Sie die URL zur Verbundmetadatendatei für Ihren Identitätsanbieter ein. VIO Manager kann auf diese URL zum Herunterladen der Metadatendatei zu greifen.
SAML2-Zuordnung	Geben Sie SAML-Zuordnungen im JSON-Format ein oder laden Sie eine JSON-Datei hoch, die die gewünschten Zuordnungen enthält. VMware Integrated OpenStack verwendet diesen Wert zum Erstellen der OpenStack-Zuordnungen und legt ihn auf das Verbundprotokoll für diesen Identitätsanbieter fest.

Format der Attributzuordnung und Beispiele:

[
      {
        "name": "urn:oid:0.9.2342.19200300.100.1.1",
        "nameFormat": "urn:oasis:names:tc:SAML:2.0:attrname-format:uri",
        "id": "username"
      },
      {
        "name": "urn:oid:0.9.2342.19200300.100.1.3",
        "nameFormat": "urn:oasis:names:tc:SAML:2.0:attrname-format:uri",
        "id": "email"
      }
    ]


Option	Beschreibung
name	Geben Sie den Attributnamen ein. Keystone erfordert mindestens ein Attribut, das als eindeutige Benutzeridentifikation verwendet werden kann. Beispielsweise username, email usw. Wenden Sie sich an den Administrator Ihres Identitätsanbieters, um den Attributnamen zu ermitteln. Er kann sich von demjenigen auf den Servern des Identitätsanbieters unterscheiden.
nameFormat	Geben Sie das Namensformat des Attributs ein. Wenden Sie sich an den Administrator Ihres Identitätsanbieters, um den Wert für das Format zu ermitteln. Dieses Attribut ist optional.
id	Geben Sie den Zeichenfolgenwert für dieses Attribut ein. Verwenden Sie kein Leerzeichen für den Zeichenfolgenwert. Verwenden Sie beispielsweise nicht „user name“, sondern stattdessen "username". Dieser Wert kann in Zuordnungsregeln als remote:type verwendet werden.

Format der SAML2-Regelzuordnung und Beispiele:

[
  {
    "local": [
      {
        "user": {
          "name": "{1}"
        },
        "group": {
          "name": "federated_users",
          "domain": {
            "name": "federated_domain"
          }
        }
      }
    ],
    "remote": [
      {
        "type": "username"
      },	
      {
        "type": "email"
      }
    ]
  }
]

Sie finden die Regelzuordnungsdefinition unter Zuordnungskombinationen für Keystone in der OpenStack-Community.


Option	Beschreibung
local	Die JSON-Datei definiert die lokalen OpenStack-Domänen und -Projekte. Dieses Attribut kann für Benutzer verwendet werden, die vom Identitätsanbieter zugeordnet werden. Beispiel: Bei der SAML2-Regelzuordnung läuft es auf dasselbe heraus, ob Sie "name": "{1}" oder "type": "email" als Anmeldenamen für Keystone verwenden und sich für die bestimmte Domäne oder das bestimmte Projekt anmelden.
remote	Der Abschnitt definiert die Regeln und Bedingungen für die Zuordnung der Remoteattribute.

(Optional) Aktivieren Sie das Kontrollkästchen Erweiterte Einstellungen für die Konfiguration von Domänen-, Projekt- und Gruppenparametern.
1. Geben Sie unter Allgemeine erweiterte Einstellungen federated_domain als OpenStack Domäne, federated_project als Projekt und federated_group als Gruppe ein.
2. Der Name der OpenStack-Domäne, des OpenStack-Projekts oder der OpenStack-Gruppe muss mit den Informationen in der JSON-Datei mit der Regelzuordnung "local" übereinstimmen.
3. VMware Integrated OpenStack erstellt die Domäne und das Projekt für die angegebenen Verbundbenutzer.
  
  Hinweis: Geben Sie nicht federated als Domänennamen ein, da dieser Name von Keystone verwendet wird.
Klicken Sie auf OK.

Hinweis: Nachdem Sie die SAML2-Konfiguration abgeschlossen haben, können Sie sehen, dass der Keystone-Dienst automatisch neu gestartet wird. Stellen Sie vor dem Herunterladen der Metadaten sicher, dass sich Ihr Bereitstellungsstatus in WIRD AUSGEFÜHRT geändert hat, indem Sie viocli get deployment ausführen.
Stellen Sie sicher, dass auf https://<vio_public_endpoint>:5000/<your_idp_name>/Shibboleth.sso/Metadata zugegriffen werden kann, und konfigurieren Sie Ihren Identitätsanbieterdienst so, dass er VMware Integrated OpenStack Keystone als Dienstanbieter vertraut.

Ergebnisse

VMware Integrated OpenStack ist in Ihre Identitätsanbieterlösung integriert, und Verbundbenutzer und Gruppen werden in OpenStack importiert. Wenn Sie auf das VMware Integrated OpenStack-Dashboard zugreifen, können Sie den angegebenen Identitätsanbieter auswählen, um sich als Verbundbenutzer anzumelden.

Hinweis: Bei Verwendung des Identitätsverbunds müssen Sie über den öffentlichen OpenStack-Endpoint auf das VMware Integrated OpenStack-Dashboard zugreifen. Verwenden Sie nicht den privaten OpenStack-Endpoint oder die IP-Adresse eines Controllers, um sich als Verbundbenutzer anzumelden.

Beispiel: Integration von VMware Integrated OpenStack in Active Directory-Verbunddienste

Mit dem folgenden Verfahren wird der Identitätsverbund zwischen VMware Integrated OpenStack und Active Directory-Verbunddiensten (ADFS) basierend auf dem Benutzerprinzipalnamen (UPN) implementiert. Das Verfahren der ADFS-Konfiguration soll als Beispiel dienen. Die tatsächliche Unternehmenskonfiguration kann anders aussehen. Sie müssen die entsprechende SAML-Konfiguration von VMware Integrated OpenStack ändern.

In diesem Beispiel lautet die öffentliche virtuelle IP-Adresse der VMware Integrated OpenStack-Bereitstellung 192.0.2.160, und die ADFS-Rolle gehört zur Windows Server-VM unter adfs.example.com. Der Name des Identitätsanbieters in VMware Integrated OpenStack lautet adfsvio.

Fügen Sie in ADFS eine Vertrauensstellung der vertrauenden Seite für VMware Integrated OpenStack hinzu.
1. Wählen Sie unter ADFS-Verwaltung die Option Aktion > Vertrauensstellung der vertrauenden Seite hinzufügen… aus.
2. Klicken Sie auf Start.
3. Wählen Sie Daten über die vertrauende Seite manuell eingeben aus und klicken Sie auf Weiter.
4. Geben Sie als Anzeigenamen OpenStack ein und klicken Sie auf Weiter.
5. Wählen Sie ADFS-Profil aus und klicken Sie auf Weiter.
6. Klicken Sie auf Weiter.
7. Wählen Sie Unterstützung für SAML 2.0 WebSSO-Protokoll aktivieren aus.
8. Geben Sie als URL der vertrauenden Seite https://192.0.2.160:5000/adfsvio/Shibboleth.sso/SAML2 ein und klicken Sie auf Weiter.
9. Geben Sie als Bezeichner der Vertrauensstellung der vertrauenden Seite https://192.0.2.160:5000/adfsvio ein, klicken Sie auf Hinzufügen und dann auf Weiter.
10. Wählen Sie Ich möchte keine Multi-Faktor-Authentifizierung konfigurieren und klicken Sie auf Weiter.
11. Wählen Sie Allen Benutzern den Zugriff auf diese vertrauende Seite erlauben, und klicken Sie auf Weiter.
12. Klicken Sie auf Weiter wählen Sie Anspruchsregeln bearbeiten aus und klicken Sie auf Schließen.
13. Klicken Sie auf Regel hinzufügen….
14. Wählen Sie Eingehenden Anspruch weiterleiten oder filtern aus und klicken Sie auf Weiter.
15. Geben Sie als Namen der Regel UPN-Passthrough ein und wählen Sie als eingehenden Anspruchstyp UPN aus.
16. Wählen Sie Alle Anspruchswerte zulassen aus und klicken Sie auf Fertig stellen.
Melden Sie sich bei der Webschnittstelle für Integrated OpenStack Manager an und wechseln Sie zum admin-Benutzer.
Klicken Sie in OpenStack-Bereitstellung auf den Namen der Bereitstellung und öffnen Sie die Registerkarte Verwalten.
Klicken Sie auf der Registerkarte Identitätsverbund auf Hinzufügen.
Wählen Sie im Dropdown-Menü Verbundtyp die Option Generische SAML2 aus.

Geben Sie die folgende Konfiguration ein:


Option	Beschreibung
Name	`adfsvio`
Beschreibung	`ADFS-Identitätsanbieter`
Attributzuordnung	[ { "name": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", "id": "upn" } ]
Einheits-ID für generische SAML2	`http://adfs.example.com/adfs/services/trust`
SAML2-Metadaten-URL	`https://adfs.example.com/federationmetadata/2007-06/federationmetadata.xml`
SAML2-Zuordnung	[ { "local": [ { "user": { "name": "{0}" }, "group": { "domain": { "name": "adfs-users" }, "name": "Federated Users" } } ], "remote": [ { "type": "upn" } ] } ]

Aktivieren Sie das Kontrollkästchen Erweiterte Einstellungen.

Wählen Sie Allgemeine erweiterte Einstellungen aus und geben Sie die folgende Konfiguration ein.


Option	Beschreibung
Domäne	`adfs-users`
Projekt	Lassen Sie das Textfeld leer.
Gruppe	`Verbundbenutzer`

Öffnen Sie nach Abschluss der Konfigurationsüberprüfung und -aktualisierung das VMware Integrated OpenStack-Dashboard. Sie können jetzt den ADFS-Identitätsanbieter auswählen und sich als Verbundbenutzer anmelden.

Nächste Maßnahme

Um einen konfigurierten Identitätsanbieter zu löschen, wählen Sie die Integrated OpenStack Manager-Webschnittstelle aus und klicken Sie auf Löschen. Melden Sie sich dann beim VMware Integrated OpenStack-Dashboard an, wählen Sie Identität > Verbund > Identitätsanbieter und den gewünschten Anbieter aus und klicken Sie auf Registrierung der Identitätsanbieter aufheben.