Sie können VMware Integrated OpenStack so konfigurieren, dass VMware Identity Manager als Identitätsanbieterlösung verwendet wird..
Benutzer können sich mit VMware Identity Manager über das SAML 2.0-Protokoll (Security Association Markup Language) oder das OIDC-Protokoll (OpenID Connect) authentifizieren.
- SAML 2.0-Benutzer müssen sich mithilfe des VMware Integrated OpenStack-Dashboards authentifizieren. Die OpenStack-Befehlszeilenschnittstelle wird für SAML 2.0 nicht unterstützt.
- OIDC-Benutzer (OpenID Connect) können sich mithilfe des VMware Integrated OpenStack-Dashboards oder der OpenStack-Befehlszeilenschnittstelle authentifizieren.
Voraussetzungen
- Stellen Sie VMware Identity Manager bereit und konfigurieren Sie ihn. Weitere Informationen finden Sie in der VMware Identity Manager-Dokumentation.
- Wenn Sie das OIDC-Protokoll verwenden möchten und Ihre VMware Identity Manager-Instanz ein selbstsigniertes Zertifikat verwendet, stellen Sie sicher, dass die Zertifizierungsstelle in VMware Identity Manager als vertrauenswürdige Zertifizierungsstelle installiert ist. Anweisungen finden Sie unter „Installieren vertrauenswürdiger Stammzertifikate“ im Dokument Installieren und Konfigurieren von VMware Identity Manager.
- Stellen Sie sicher, dass Ihre VMware Identity Manager-Instanz mit dem VMware Integrated OpenStack-Verwaltungsnetzwerk kommunizieren kann.
- Der OpenStack-
admin
- und der VMware Identity Manager-admin
-Benutzer dürfen sich nicht in derselben Keystone-Domäne befinden. Wenn Sie Verbundbenutzer in diedefault
-Domäne importieren möchten, stellen Sie sicher, dass der VMware Identity Manager-admin
-Benutzer nicht zu der für den Verbund verwendeten VMware Identity Manager-Gruppe gehört. - Sie müssen verschiedene Verbundnamen verwenden, um mehrere VMware Integrated OpenStack-Instanzen für denselben VMware Identity Manager zu konfigurieren.
Prozedur
- Melden Sie sich bei der Webschnittstelle für Integrated OpenStack Manager an und wechseln Sie zum
admin
-Benutzer. - Klicken Sie in OpenStack-Bereitstellung auf den Namen Ihrer Bereitstellung und öffnen Sie die Registerkarte Verwalten.
- Klicken Sie auf der Registerkarte Identitätsverbund auf Hinzufügen.
- Wählen Sie im Dropdown-Menü Verbundtyp die Option VIDM aus.
- Geben Sie die erforderlichen Parameter ein.
Option Beschreibung Protokolltyp Wählen Sie SAML2 oder OIDC als Identitätsprotokoll aus.
Name Geben Sie einen Namen für den Identitätsanbieter ein.
Hinweis: Der Name des Identitätsanbieters kann nach dem Hinzufügen des Identitätsanbieters nicht mehr geändert werden.Beschreibung Geben Sie eine Beschreibung des Identitätsanbieters ein.
vIDM-Adresse Geben Sie den FQDN Ihrer VMware Identity Manager-Instanz ohne das Protokoll (z. B. vidm.example.com) ein.
Hinweis: Der FQDN muss eindeutig sein. Eine einzelne VMware Identity Manager-Instanz kann nicht als zwei separate Identitätsanbieter zu VMware Integrated OpenStack hinzugefügt werden.vIDM-Benutzername Geben Sie den Benutzernamen eines VMware Identity Manager-Administrators ein.
vIDM-Kennwort Geben Sie das Kennwort für den angegebenen Administrator ein.
vIDM-Zertifikate validieren Aktivieren Sie das Kontrollkästchen, um VMware Identity Manager-Zertifikate zu validieren.
Wichtig: Wenn Sie das OIDC-Protokoll ausgewählt haben und Ihre VMware Identity Manager-Instanz ein selbstsigniertes Zertifikat verwendet, müssen Sie Zertifikate validieren. - (Optional) Aktivieren Sie das Kontrollkästchen Erweiterte Einstellungen, um zusätzliche Parameter zu konfigurieren.
- Geben Sie unter Allgemeine erweiterte Einstellungen eine OpenStack-Domäne, ein OpenStack-Projekt und eine OpenStack-Gruppe ein, in die die Verbundbenutzer importiert werden sollen.
Hinweis:
- Wenn Sie keine Domäne, kein Projekt oder keine Gruppe eingeben, werden die folgenden Standardwerte verwendet:
- Domäne:
federated_domain
- Projekt:
federated_project
- Gruppe:
federated_group
- Domäne:
- Geben Sie nicht
federated
als Domänennamen ein. Dieser Name ist für Keystone reserviert. - Wenn Sie benutzerdefinierte Zuordnungen bereitstellen, müssen Sie alle OpenStack-Domänen, -Projekte und -Gruppen eingeben, die in diesen Zuordnungen enthalten sind.
- Wenn Sie keine Domäne, kein Projekt oder keine Gruppe eingeben, werden die folgenden Standardwerte verwendet:
- Geben Sie im Feld Attributzuordnung zusätzliche Attribute im JSON-Format ein oder laden Sie eine JSON-Datei hoch, die die gewünschten Attribute enthält.
- Geben Sie unter Erweiterte vIDM-Einstellungen einen VMware Identity Manager-Mandanten und eine Gruppe ein, aus der die Benutzer importiert werden sollen.
Wenn Sie eine VMware Identity Manager-Instanz in einer vRealize Automation-Bereitstellung verwenden, geben Sie vsphere.local als Mandanten ein. Wenn Sie eine eigenständige VMware Identity Manager-Instanz verwenden, geben Sie keinen Mandanten ein.
- Geben Sie unter Erweiterte SAML2-Einstellungen die URL der Verbund-Metadatendatei für Ihre VMware Identity Manager-Instanz ein.
- Geben Sie im Feld SAML2-Zuordnung die SAML-Zuordnungen im JSON-Format ein oder laden Sie eine JSON-Datei hoch, die die gewünschten Zuordnungen enthält.
- Geben Sie unter Erweiterte OIDC-Einstellungen die URL der Verbund-Metadatendatei für Ihre VMware Identity Manager-Instanz ein.
- Geben Sie im Feld OIDC-Zuordnung die OIDC-Zuordnungen im JSON-Format ein oder laden Sie eine JSON-Datei hoch, die die gewünschten Zuordnungen enthält.
- Geben Sie im Feld Zugeordnete Zuordnung die OAuth-Zuordnungen im JSON-Format ein oder laden Sie eine JSON-Datei hoch, die die gewünschten Zuordnungen enthält.
- Geben Sie unter Allgemeine erweiterte Einstellungen eine OpenStack-Domäne, ein OpenStack-Projekt und eine OpenStack-Gruppe ein, in die die Verbundbenutzer importiert werden sollen.
- Klicken Sie auf OK.
Ergebnisse
VMware Integrated OpenStack wird als Webanwendung in VMware Identity Manager erstellt, und Verbundbenutzer und -gruppen werden von VMware Identity Manager in OpenStack importiert. Wenn Sie auf das VMware Integrated OpenStack-Dashboard zugreifen, können Sie den angegebenen VMware Identity Manager-Identitätsanbieter auswählen, um sich als Verbundbenutzer anzumelden.
Verbundbenutzern wird automatisch die Rolle „Mitglied“ zugewiesen. Sie können die OpenStack-Befehlszeilenschnittstelle verwenden, um Verbundbenutzern bei Bedarf Netzwerkadministratorrechte zuzuweisen.
Nächste Maßnahme
Wenn Sie einen neuen Identitätsverbund erstellen möchten, der dieselbe VMware Identity Manager-Instanz verwendet, löschen Sie den konfigurierten Identitätsanbieter und stellen Sie sicher, dass der Löschvorgang abgeschlossen ist, bevor Sie den Identitätsanbieter erneut hinzufügen.
Um einen konfigurierten Identitätsanbieter zu löschen, wählen Sie ihn zuerst in der Integrated OpenStack Manager-Webschnittstelle aus, klicken auf Löschen und warten, bis der Löschvorgang abgeschlossen ist.