Sie können VMware Integrated OpenStack so konfigurieren, dass VMware Identity Manager als Identitätsanbieterlösung verwendet wird..

Benutzer können sich mit VMware Identity Manager über das SAML 2.0-Protokoll (Security Association Markup Language) oder das OIDC-Protokoll (OpenID Connect) authentifizieren.

  • SAML 2.0-Benutzer müssen sich mithilfe des VMware Integrated OpenStack-Dashboards authentifizieren. Die OpenStack-Befehlszeilenschnittstelle wird für SAML 2.0 nicht unterstützt.
  • OIDC-Benutzer (OpenID Connect) können sich mithilfe des VMware Integrated OpenStack-Dashboards oder der OpenStack-Befehlszeilenschnittstelle authentifizieren.

Voraussetzungen

  • Stellen Sie VMware Identity Manager bereit und konfigurieren Sie ihn. Weitere Informationen finden Sie in der VMware Identity Manager-Dokumentation.
  • Wenn Sie das OIDC-Protokoll verwenden möchten und Ihre VMware Identity Manager-Instanz ein selbstsigniertes Zertifikat verwendet, stellen Sie sicher, dass die Zertifizierungsstelle in VMware Identity Manager als vertrauenswürdige Zertifizierungsstelle installiert ist. Anweisungen finden Sie unter „Installieren vertrauenswürdiger Stammzertifikate“ im Dokument Installieren und Konfigurieren von VMware Identity Manager.
  • Stellen Sie sicher, dass Ihre VMware Identity Manager-Instanz mit dem VMware Integrated OpenStack-Verwaltungsnetzwerk kommunizieren kann.
  • Der OpenStack-admin- und der VMware Identity Manager-admin-Benutzer dürfen sich nicht in derselben Keystone-Domäne befinden. Wenn Sie Verbundbenutzer in die default-Domäne importieren möchten, stellen Sie sicher, dass der VMware Identity Manager-admin-Benutzer nicht zu der für den Verbund verwendeten VMware Identity Manager-Gruppe gehört.
  • Sie müssen verschiedene Verbundnamen verwenden, um mehrere VMware Integrated OpenStack-Instanzen für denselben VMware Identity Manager zu konfigurieren.

Prozedur

  1. Melden Sie sich bei der Webschnittstelle für Integrated OpenStack Manager an und wechseln Sie zum admin-Benutzer.
  2. Klicken Sie in OpenStack-Bereitstellung auf den Namen Ihrer Bereitstellung und öffnen Sie die Registerkarte Verwalten.
  3. Klicken Sie auf der Registerkarte Identitätsverbund auf Hinzufügen.
  4. Wählen Sie im Dropdown-Menü Verbundtyp die Option VIDM aus.
  5. Geben Sie die erforderlichen Parameter ein.
    Option Beschreibung
    Protokolltyp

    Wählen Sie SAML2 oder OIDC als Identitätsprotokoll aus.

    Name

    Geben Sie einen Namen für den Identitätsanbieter ein.

    Hinweis: Der Name des Identitätsanbieters kann nach dem Hinzufügen des Identitätsanbieters nicht mehr geändert werden.
    Beschreibung

    Geben Sie eine Beschreibung des Identitätsanbieters ein.

    vIDM-Adresse

    Geben Sie den FQDN Ihrer VMware Identity Manager-Instanz ohne das Protokoll (z. B. vidm.example.com) ein.

    Hinweis: Der FQDN muss eindeutig sein. Eine einzelne VMware Identity Manager-Instanz kann nicht als zwei separate Identitätsanbieter zu VMware Integrated OpenStack hinzugefügt werden.
    vIDM-Benutzername

    Geben Sie den Benutzernamen eines VMware Identity Manager-Administrators ein.

    vIDM-Kennwort

    Geben Sie das Kennwort für den angegebenen Administrator ein.

    vIDM-Zertifikate validieren

    Aktivieren Sie das Kontrollkästchen, um VMware Identity Manager-Zertifikate zu validieren.

    Wichtig: Wenn Sie das OIDC-Protokoll ausgewählt haben und Ihre VMware Identity Manager-Instanz ein selbstsigniertes Zertifikat verwendet, müssen Sie Zertifikate validieren.
  6. (Optional) Aktivieren Sie das Kontrollkästchen Erweiterte Einstellungen, um zusätzliche Parameter zu konfigurieren.
    1. Geben Sie unter Allgemeine erweiterte Einstellungen eine OpenStack-Domäne, ein OpenStack-Projekt und eine OpenStack-Gruppe ein, in die die Verbundbenutzer importiert werden sollen.
      Hinweis:
      • Wenn Sie keine Domäne, kein Projekt oder keine Gruppe eingeben, werden die folgenden Standardwerte verwendet:
        • Domäne: federated_domain
        • Projekt: federated_project
        • Gruppe: federated_group
      • Geben Sie nicht federated als Domänennamen ein. Dieser Name ist für Keystone reserviert.
      • Wenn Sie benutzerdefinierte Zuordnungen bereitstellen, müssen Sie alle OpenStack-Domänen, -Projekte und -Gruppen eingeben, die in diesen Zuordnungen enthalten sind.
    2. Geben Sie im Feld Attributzuordnung zusätzliche Attribute im JSON-Format ein oder laden Sie eine JSON-Datei hoch, die die gewünschten Attribute enthält.
    3. Geben Sie unter Erweiterte vIDM-Einstellungen einen VMware Identity Manager-Mandanten und eine Gruppe ein, aus der die Benutzer importiert werden sollen.
      Wenn Sie eine VMware Identity Manager-Instanz in einer vRealize Automation-Bereitstellung verwenden, geben Sie vsphere.local als Mandanten ein. Wenn Sie eine eigenständige VMware Identity Manager-Instanz verwenden, geben Sie keinen Mandanten ein.
    4. Geben Sie unter Erweiterte SAML2-Einstellungen die URL der Verbund-Metadatendatei für Ihre VMware Identity Manager-Instanz ein.
    5. Geben Sie im Feld SAML2-Zuordnung die SAML-Zuordnungen im JSON-Format ein oder laden Sie eine JSON-Datei hoch, die die gewünschten Zuordnungen enthält.
    6. Geben Sie unter Erweiterte OIDC-Einstellungen die URL der Verbund-Metadatendatei für Ihre VMware Identity Manager-Instanz ein.
    7. Geben Sie im Feld OIDC-Zuordnung die OIDC-Zuordnungen im JSON-Format ein oder laden Sie eine JSON-Datei hoch, die die gewünschten Zuordnungen enthält.
    8. Geben Sie im Feld Zugeordnete Zuordnung die OAuth-Zuordnungen im JSON-Format ein oder laden Sie eine JSON-Datei hoch, die die gewünschten Zuordnungen enthält.
  7. Klicken Sie auf OK.

Ergebnisse

VMware Integrated OpenStack wird als Webanwendung in VMware Identity Manager erstellt, und Verbundbenutzer und -gruppen werden von VMware Identity Manager in OpenStack importiert. Wenn Sie auf das VMware Integrated OpenStack-Dashboard zugreifen, können Sie den angegebenen VMware Identity Manager-Identitätsanbieter auswählen, um sich als Verbundbenutzer anzumelden.

Verbundbenutzern wird automatisch die Rolle „Mitglied“ zugewiesen. Sie können die OpenStack-Befehlszeilenschnittstelle verwenden, um Verbundbenutzern bei Bedarf Netzwerkadministratorrechte zuzuweisen.

Hinweis: Bei Verwendung des Identitätsverbunds müssen Sie über den öffentlichen OpenStack-Endpoint auf das VMware Integrated OpenStack-Dashboard zugreifen. Verwenden Sie nicht den privaten OpenStack-Endpoint oder die IP-Adresse eines Controllers, um sich als Verbundbenutzer anzumelden.

Nächste Maßnahme

Wenn Sie einen neuen Identitätsverbund erstellen möchten, der dieselbe VMware Identity Manager-Instanz verwendet, löschen Sie den konfigurierten Identitätsanbieter und stellen Sie sicher, dass der Löschvorgang abgeschlossen ist, bevor Sie den Identitätsanbieter erneut hinzufügen.

Um einen konfigurierten Identitätsanbieter zu löschen, wählen Sie ihn zuerst in der Integrated OpenStack Manager-Webschnittstelle aus, klicken auf Löschen und warten, bis der Löschvorgang abgeschlossen ist.