Sie können VMware Integrated OpenStack in jede Identitätsanbieterlösung eines Drittanbieters integrieren, die das SAML 2.0-Protokoll (Security Association Markup Language) verwendet. Der Keystone in VMware Integrated OpenStack fungiert als Dienstanbieter für diese Konfiguration.
- VMware unterstützt keine Drittanbieter als Identitätsanbieter. Die für dieses Verfahren erforderlichen Informationen erhalten Sie beim Administrator Ihres Identitätsanbieters.
- Verbinden Sie VMware Integrated OpenStack nicht mit der LDAP-Authentifizierung und dem Verbund, die über dasselbe AD-Back-End verfügen.
Informationen zur Integration von VMware Integrated OpenStack in VMware Identity Manager mithilfe von SAML 2.0 finden Sie unter Konfigurieren des VMware Identity Manager-Verbunds.
Voraussetzungen
- Ermitteln Sie den Speicherort der Metadatendatei Ihres Identitätsanbieters und das Attribut entityID in der Datei.
- Stellen Sie sicher, dass die VMware Integrated OpenStack-Bereitstellung auf den FQDN der Identitätsanbieterlösung zugreifen kann.
- Für die SAML2-Attributzuordnung verwendet Keystone Shibboleth als SSO-Komponente. Shibboleth ordnet die Benutzerattribute des Identitätsanbieters den von Keystone verwendeten lokalen Attributen zu. Wenden Sie sich an den Administrator Ihres Identitätsanbieters, um die Benutzerattribute zu erhalten.
- Für die SAML2-Regelzuordnung benötigt Keystone Regeln für die Zuordnung der Remotebenutzer zu lokalen Domänen, Projekten und Gruppen. Weitere Informationen finden Sie unter Zuordnungskombinationen in der OpenStack-Dokumentation.
- Auf der Identitätsanbieterseite müssen Sie den Dienstanbieter ordnungsgemäß konfigurieren. Auf die Metadaten des Dienstanbieters kann über die folgende URL zugegriffen werden: https://<vio_public_endpoint>:5000/<your_idp_name>/Shibboleth.sso/Metadata
Prozedur
Ergebnisse
VMware Integrated OpenStack ist in Ihre Identitätsanbieterlösung integriert, und Verbundbenutzer und Gruppen werden in OpenStack importiert. Wenn Sie auf das VMware Integrated OpenStack-Dashboard zugreifen, können Sie den angegebenen Identitätsanbieter auswählen, um sich als Verbundbenutzer anzumelden.
Beispiel: Integration von VMware Integrated OpenStack in Active Directory-Verbunddienste
Mit dem folgenden Verfahren wird der Identitätsverbund zwischen VMware Integrated OpenStack und Active Directory-Verbunddiensten (ADFS) basierend auf dem Benutzerprinzipalnamen (UPN) implementiert. Das Verfahren der ADFS-Konfiguration soll als Beispiel dienen. Die tatsächliche Unternehmenskonfiguration kann anders aussehen. Sie müssen die entsprechende SAML-Konfiguration von VMware Integrated OpenStack ändern.
In diesem Beispiel lautet die öffentliche virtuelle IP-Adresse der VMware Integrated OpenStack-Bereitstellung 192.0.2.160, und die ADFS-Rolle gehört zur Windows Server-VM unter adfs.example.com. Der Name des Identitätsanbieters in VMware Integrated OpenStack lautet adfsvio
.
- Fügen Sie in ADFS eine Vertrauensstellung der vertrauenden Seite für VMware Integrated OpenStack hinzu.
- Wählen Sie unter ADFS-Verwaltung die Option aus.
- Klicken Sie auf Start.
- Wählen Sie Daten über die vertrauende Seite manuell eingeben aus und klicken Sie auf Weiter.
- Geben Sie als Anzeigenamen OpenStack ein und klicken Sie auf Weiter.
- Wählen Sie ADFS-Profil aus und klicken Sie auf Weiter.
- Klicken Sie auf Weiter.
- Wählen Sie Unterstützung für SAML 2.0 WebSSO-Protokoll aktivieren aus.
- Geben Sie als URL der vertrauenden Seite https://192.0.2.160:5000/adfsvio/Shibboleth.sso/SAML2 ein und klicken Sie auf Weiter.
- Geben Sie als Bezeichner der Vertrauensstellung der vertrauenden Seite https://192.0.2.160:5000/adfsvio ein, klicken Sie auf Hinzufügen und dann auf Weiter.
- Wählen Sie Ich möchte keine Multi-Faktor-Authentifizierung konfigurieren und klicken Sie auf Weiter.
- Wählen Sie Allen Benutzern den Zugriff auf diese vertrauende Seite erlauben, und klicken Sie auf Weiter.
- Klicken Sie auf Weiter wählen Sie Anspruchsregeln bearbeiten aus und klicken Sie auf Schließen.
- Klicken Sie auf Regel hinzufügen….
- Wählen Sie Eingehenden Anspruch weiterleiten oder filtern aus und klicken Sie auf Weiter.
- Geben Sie als Namen der Regel UPN-Passthrough ein und wählen Sie als eingehenden Anspruchstyp UPN aus.
- Wählen Sie Alle Anspruchswerte zulassen aus und klicken Sie auf Fertig stellen.
- Melden Sie sich bei der Webschnittstelle für Integrated OpenStack Manager an und wechseln Sie zum
admin
-Benutzer. - Klicken Sie in OpenStack-Bereitstellung auf den Namen der Bereitstellung und öffnen Sie die Registerkarte Verwalten.
- Klicken Sie auf der Registerkarte Identitätsverbund auf Hinzufügen.
- Wählen Sie im Dropdown-Menü Verbundtyp die Option Generische SAML2 aus.
- Geben Sie die folgende Konfiguration ein:
Option Beschreibung Name adfsvio Beschreibung ADFS-Identitätsanbieter Attributzuordnung [ { "name": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", "id": "upn" } ]
Einheits-ID für generische SAML2 http://adfs.example.com/adfs/services/trust SAML2-Metadaten-URL https://adfs.example.com/federationmetadata/2007-06/federationmetadata.xml SAML2-Zuordnung [ { "local": [ { "user": { "name": "{0}" }, "group": { "domain": { "name": "adfs-users" }, "name": "Federated Users" } } ], "remote": [ { "type": "upn" } ] } ]
- Aktivieren Sie das Kontrollkästchen Erweiterte Einstellungen.
- Wählen Sie Allgemeine erweiterte Einstellungen aus und geben Sie die folgende Konfiguration ein.
Option Beschreibung Domäne adfs-users Projekt Lassen Sie das Textfeld leer.
Gruppe Verbundbenutzer
Öffnen Sie nach Abschluss der Konfigurationsüberprüfung und -aktualisierung das VMware Integrated OpenStack-Dashboard. Sie können jetzt den ADFS-Identitätsanbieter auswählen und sich als Verbundbenutzer anmelden.
Nächste Maßnahme
Um einen konfigurierten Identitätsanbieter zu löschen, wählen Sie die Integrated OpenStack Manager-Webschnittstelle aus und klicken Sie auf Löschen. Melden Sie sich dann beim VMware Integrated OpenStack-Dashboard an, wählen Sie und den gewünschten Anbieter aus und klicken Sie auf Registrierung der Identitätsanbieter aufheben.