A partir de VMware Integrated OpenStack 3.1, es posible integrar las implementaciones de VMware Integrated OpenStack con VMware Identity Manager.

Antes de empezar

  • Compruebe que la versión de VMware Identity Manager sea 2.8.0 o posterior.

  • Compruebe que sea posible autenticarse como administrador en la instancia de VMware Identity Manager.

Por qué y cuándo se efectúa esta tarea

Al integrar VMware Integrated OpenStack con VMware Identity Manager, se obtiene una manera para utilizar de forma segura las credenciales existentes a fin de acceder a los recursos de la nube, como servidores, volúmenes y base de datos, en endpoints diversos suministrados en varias nubes autorizadas. Se cuenta con un conjunto único de credenciales, sin tener que aprovisionar identidades adicionales ni iniciar sesión varias veces. El mantenimiento de la credencial está a cargo del proveedor de identidad del usuario.

Procedimiento

  1. Implemente el archivo custom.yml.
    sudo mkdir -p /opt/vmware/vio/custom
    sudo cp /var/lib/vio/ansible/custom/custom.yml.sample /opt/vmware/vio/custom/custom.yml
  2. Edite el archivo /opt/vmware/vio/custom/custom.yml en un editor de texto a fin de configurarlo para el entorno.
    1. En Federation, quite la marca de comentario de los siguientes parámetros y establezca valores para el entorno.

      El siguiente ejemplo sirve de guía para la configuración más común con VMware Identity Manager.

      Parámetro

      Valor

      federation_protocol

      saml2

      federation_idp_id

      vidm

      federation_idp_name

      vIDM SSO

      federation_idp_metadata_url

      https://IDP_HOSTNAME/SAAS/API/1.0/GET/metadata/idp.xml

      federation_group

      Usuarios federados

      federation_group_description

      Grupos para todos los usuarios federados

      vidm_address

      IDP_URL

      vidm_user

      vidm_administrative_user

      vidm_password

      vidm_administrative_user_password

      vidm_insecure

      False

      vidm_group

      ALL USERS

    2. Guarde el archivo custom.yml.
  3. Habilite la federación con la configuración que estableció en el archivo custom.yml.
    viocli deployment configure --tags federation --limit controller,lb

    Tras la correcta finalización de la operación de integración, el panel de control de VMware Integrated OpenStack muestra un menú desplegable nuevo denominado Autenticación mediante que permite que el usuario elija el método de autenticación.

  4. Antes de registrar un usuario de VMware Identity Manager en VMware Integrated OpenStack, asigne una función o un proyecto al grupo al cual pertenece el usuario.

    Es posible que deba crear un grupo en Keystone que corresponda a un grupo encontrado en VMware Identity Manager al que pertenezca el usuario. Para los usuarios de VMware Identity Manager, Keystone no crea automáticamente grupos, sino usuarios efímeros. Si el grupo no existe, el usuario pasa a pertenecer al grupo Federated Users predeterminado.

    1. Inicie sesión en el panel de control de VMware Integrated OpenStack como administrador.
    2. En Federación, haga clic en Asignaciones para ver las asignaciones actuales.
    3. Haga clic en Editar para configurar una asignación de acuerdo con sus necesidades.

      Para obtener más información sobre las asignaciones, consulte la sección sobre asignación de combinaciones para federación en la documentación de OpenStack.