Es posible integrar VMware Integrated OpenStack con cualquier solución de proveedor de identidad de terceros que use el protocolo de lenguaje de marcado de asociación de seguridad (Security Association Markup Language, SAML) 2.0.
Si desea integrar VMware Integrated OpenStack con VMware Identity Manager mediante SAML 2.0, consulte Configurar la federación de VMware Identity Manager.
Requisitos previos
- Implemente y configure el proveedor de identidades. Determine la ubicación del archivo de metadatos y el valor del atributo entityID en ese archivo.
- Asegúrese de que la implementación de VMware Integrated OpenStack puede acceder al FQDN del proveedor de identidad.
- Cree un archivo de asignación en formato JSON. Para obtener más información, consulte Combinaciones de asignación en la documentación de OpenStack.
- En el archivo de asignación, no utilice
federated
como nombre de dominio. Este nombre está reservado por Keystone. - Cree un archivo de asignación de atributos SAML en formato JSON. Utilice la estructura siguiente:
[ { "name": "attribute-1", "id": "id-1" }, { "name": "attribute-2", "id": "id-2" }, ... ]
Procedimiento
- Inicie sesión en la interfaz web Integrated OpenStack Manager como el usuario de
admin
. - En Implementación de OpenStack, haga clic en el nombre de la implementación y abra la pestaña Administrar.
- En la pestaña Federación de identidades, haga clic en Agregar.
- En el menú desplegable Tipo de federación, seleccione Instancia genérica de SAML2.
- Introduzca los parámetros requeridos.
Opción Descripción Nombre Escriba un nombre para el proveedor de identidad.
Descripción Introduzca una descripción del proveedor de identidad.
Asignación de atributos Introduzca atributos de SAML adicionales en formato JSON o cargue un archivo JSON que contenga los atributos deseados.
Instancia genérica de SAML2 no segura Anule la selección de la casilla de verificación para validar los certificados del proveedor de identidad.
Identificador de entidad de instancia genérica de SAML2 Introduzca el atributo entityID para el proveedor de identidad. Puede encontrar este valor en el archivo de metadatos de federación.
URL de metadatos de SAML2 Introduzca la dirección URL del archivo de metadatos de federación del proveedor de identidad.
Asignación de SAML2 Introduzca asignaciones de SAML en formato JSON o cargue un archivo JSON que contenga las asignaciones deseadas.
- (opcional) Seleccione la casilla de verificación Configuración avanzada para configurar parámetros adicionales.
- En Configuración avanzada común, introduzca un dominio, un proyecto y un grupo de OpenStack en los que se importarán los usuarios federados.
Nota:
- Si no introduce un dominio, un proyecto o un grupo, se utilizan los siguientes valores predeterminados:
- Dominio:
federated_domain
- Proyecto:
federated_project
- Grupo:
federated_group
- Dominio:
- No introduzca
federated
como el nombre de dominio. Este nombre está reservado por Keystone. - Si proporciona asignaciones personalizadas, debe introducir todos los dominios, los proyectos y los grupos de OpenStack que se incluyen en dichas asignaciones.
- Si no introduce un dominio, un proyecto o un grupo, se utilizan los siguientes valores predeterminados:
- En Configuración avanzada común, introduzca un dominio, un proyecto y un grupo de OpenStack en los que se importarán los usuarios federados.
- Haga clic en Aceptar.
Resultados
VMware Integrated OpenStack se integra con la solución de proveedor de identidad, y los grupos y los usuarios federados se importan en OpenStack. Cuando acceda al panel de control de VMware Integrated OpenStack, podrá elegir el proveedor de identidad especificado para iniciar sesión como un usuario federado.
Ejemplo: Integrar VMware Integrated OpenStack con servicios de federación de Active Directory
En el siguiente procedimiento se implementa la federación de identidades entre VMware Integrated OpenStack y los servicios de federación de Active Directory (Active Directory Federation Services, AD FS) en función del nombre principal de usuario (User Principal Name, UPN). En este ejemplo, la dirección IP virtual pública de la implementación de VMware Integrated OpenStack es 192.0.2.160 y la función de AD FS se agregó a una máquina virtual de Windows Server ubicada en adfs.example.com. El nombre del proveedor de identidad en VMware Integrated OpenStack se establecerá en adfsvio
.
- En AD FS, agregue una relación de confianza para usuario autenticado para VMware Integrated OpenStack.
- En Administración de AD FS, seleccione .
- Haga clic en Iniciar.
- Seleccione Escribir manualmente los datos sobre el usuario de confianza y haga clic en Siguiente.
- Introduzca OpenStack para el nombre para mostrar y haga clic en Siguiente.
- Seleccione Perfil de AD FS y haga clic en Siguiente.
- Haga clic en Siguiente.
- Seleccione Habilitar compatibilidad con el protocolo SAML 2.0 WebSSO.
- Introduzca https://192.0.2.160:5000/adfsvio/Shibboleth.sso/SAML2 para la dirección URL del usuario de confianza y haga clic en Siguiente.
- Introduzca https://192.0.2.160:5000/adfsvio para el identificador de confianza del usuario de confianza, haga clic en Agregar y luego en Siguiente.
- Seleccione No deseo establecer la configuración de autenticación multifactor y haga clic en Siguiente.
- Seleccione Permitir que todos los usuarios tengan acceso a este usuario de confianza y haga clic en Siguiente.
- Haga clic en Siguiente, seleccione Editar reglas de notificación y haga clic en Cerrar.
- Haga clic en Agregar regla....
- Seleccione Establecer acceso directo de una notificación entrante o filtrarla y haga clic en Siguiente.
- Introduzca un Acceso directo de UPN para el nombre de regla y seleccione UPN para el tipo de notificación entrante.
- Seleccione Establecer acceso directo de todos los valores de notificaciones y haga clic en Finalizar.
- Inicie sesión en la interfaz web Integrated OpenStack Manager como el usuario de
admin
. - En la Implementación de OpenStack, haga clic en el nombre de la implementación y abra la pestaña Administrar.
- En la pestaña Federación de identidades, haga clic en Agregar.
- En el menú desplegable Tipo de federación, seleccione Instancia genérica de SAML2.
- Introduzca la siguiente configuración.
Opción Descripción Nombre adfsvio Descripción Proveedor de identidad de AD FS Asignación de atributos [ { "name": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", "id": "upn" } ]
Identificador de entidad de instancia genérica de SAML2 http://adfs.example.com/adfs/services/trust URL de metadatos de SAML2 https://adfs.example.com/federationmetadata/2007-06/federationmetadata.xml Asignación de SAML2 [ { "local": [ { "user": { "name": "{0}" }, "group": { "domain": { "name": "adfs-users" }, "name": "Federated Users" } } ], "remote": [ { "type": "upn" } ] } ]
- Seleccione la casilla de verificación Configuración avanzada.
- Seleccione Configuración avanzada común e introduzca la siguiente configuración.
Opción Descripción Dominio adfs-users Proyecto Deje el campo vacío.
Grupo Usuarios federados
Después de verificar y actualizar la configuración, abra el panel de control de VMware Integrated OpenStack. Ya puede seleccionar el proveedor de identidad de AD FS e iniciar sesión como un usuario federado.
Qué hacer a continuación
Si necesita eliminar un proveedor de identidad configurado, primero selecciónelo en la interfaz web de Integrated OpenStack Manager y haga clic en Eliminar. A continuación, inicie sesión en el panel de control de VMware Integrated OpenStack, seleccione , seleccione el proveedor deseado y haga clic en Eliminar del registro los proveedores de identidad.