Es posible integrar VMware Integrated OpenStack con cualquier solución de proveedor de identidad de terceros que use el protocolo de lenguaje de marcado de asociación de seguridad (Security Association Markup Language, SAML) 2.0. Keystone en VMware Integrated OpenStack funciona como proveedor de servicios para esta configuración.
- VMware no admite proveedores de identidades de terceros. Póngase en contacto con el administrador del proveedor de identidad para obtener la información necesaria para este procedimiento.
- No conecte VMware Integrated OpenStack con Autenticación LDAP y Federación que tengan el mismo back-end de AD.
Si desea integrar VMware Integrated OpenStack con VMware Identity Manager mediante SAML 2.0, consulte Configurar la federación de VMware Identity Manager.
Requisitos previos
- Determine la ubicación del archivo de metadatos de los proveedores de identidad y el atributo de entityID en el archivo.
- Asegúrese de que la implementación de VMware Integrated OpenStack puede acceder al FQDN del proveedor de identidad.
- Para la asignación de atributos de SAML2, Keystone utiliza Shibboleth como componente de SSO. Shibboleth asigna los atributos de usuario de IdP a los atributos locales utilizados por Keystone. Póngase en contacto con el administrador de IdP para obtener información sobre los atributos de usuario.
- Para la asignación de reglas SAML2, Keystone requiere reglas para asignar usuarios remotos a los dominios locales, los proyectos y los grupos. Para obtener más información, consulte "Asignación de combinaciones" en la documentación de OpenStack en https://docs.openstack.org/keystone/train/admin/federation/mapping_combinations.html.
- En el lado del proveedor de identidades, debe configurar correctamente el proveedor de servicios. Se puede acceder a los metadatos del proveedor de servicios con la siguiente URL: https://<vio_public_endpoint>:5000/<your_idp_name>/Shibboleth.sso/Metadata
Procedimiento
Resultados
VMware Integrated OpenStack se integra con la solución de proveedor de identidad, y los grupos y los usuarios federados se importan en OpenStack. Cuando acceda al panel de control de VMware Integrated OpenStack, podrá elegir el proveedor de identidad especificado para iniciar sesión como un usuario federado.
Ejemplo: Integrar VMware Integrated OpenStack con servicios de federación de Active Directory
En el siguiente procedimiento se implementa la federación de identidades entre VMware Integrated OpenStack y los Servicios de Federación de Active Directory (Active Directory Federation Services, ADFS) en función del Nombre Principal de Usuario (User Principal Name, UPN). El procedimiento de configuración de ADFS es un ejemplo para su referencia, la configuración real de la empresa puede ser diferente. Debe cambiar la configuración SAML de VMware Integrated OpenStack correspondiente.
En este ejemplo, la dirección IP virtual pública de la implementación de VMware Integrated OpenStack es 192.0.2.160 y la función de ADFS se agregó a una máquina virtual de Windows Server ubicada en adfs.example.com. El nombre del proveedor de identidades en VMware Integrated OpenStack es adfsvio
.
- En ADFS, agregue una relación de confianza para usuario autenticado para VMware Integrated OpenStack.
- En Administración de ADFS, seleccione .
- Haga clic en Iniciar.
- Seleccione Escribir manualmente los datos sobre el usuario de confianza y haga clic en Siguiente.
- Introduzca OpenStack para el nombre para mostrar y haga clic en Siguiente.
- Seleccione Perfil de ADFS y haga clic en Siguiente.
- Haga clic en Siguiente.
- Seleccione Habilitar compatibilidad con el protocolo SAML 2.0 WebSSO.
- Introduzca https://192.0.2.160:5000/adfsvio/Shibboleth.sso/SAML2 para la dirección URL del usuario de confianza y haga clic en Siguiente.
- Introduzca https://192.0.2.160:5000/adfsvio para el identificador de confianza del usuario de confianza, haga clic en Agregar y luego en Siguiente.
- Seleccione No deseo establecer la configuración de autenticación multifactor y haga clic en Siguiente.
- Seleccione Permitir que todos los usuarios tengan acceso a este usuario de confianza y haga clic en Siguiente.
- Haga clic en Siguiente seleccione Editar reglas de notificación y haga clic en Cerrar.
- Haga clic en Agregar regla....
- Seleccione Establecer acceso directo de una notificación entrante o filtrarla y haga clic en Siguiente.
- Introduzca un Acceso directo de UPN para el nombre de regla y seleccione UPN para el tipo de notificación entrante.
- Seleccione Establecer acceso directo de todos los valores de notificaciones y haga clic en Finalizar.
- Inicie sesión en la interfaz web Integrated OpenStack Manager como el usuario de
admin
. - En la Implementación de OpenStack, haga clic en el nombre de la implementación y abra la pestaña Administrar.
- En la pestaña Federación de identidades, haga clic en Agregar.
- En el menú desplegable Tipo de federación, seleccione Instancia genérica de SAML2.
- Introduzca la siguiente configuración:
Opción Descripción Nombre adfsvio Descripción Proveedor de identidad de ADFS Asignación de atributos [ { "name": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", "id": "upn" } ]
Identificador de entidad de instancia genérica de SAML2 http://adfs.example.com/adfs/services/trust URL de metadatos de SAML2 https://adfs.example.com/federationmetadata/2007-06/federationmetadata.xml Asignación de SAML2 [ { "local": [ { "user": { "name": "{0}" }, "group": { "domain": { "name": "adfs-users" }, "name": "Federated Users" } } ], "remote": [ { "type": "upn" } ] } ]
- Seleccione la casilla de verificación Configuración avanzada.
- Seleccione Configuración avanzada común e introduzca la siguiente configuración.
Opción Descripción Dominio adfs-users Proyecto Deje el cuadro de texto vacío.
Grupo Usuarios federados
Una vez finalizada la verificación y la actualización de la configuración, abra el panel de control de VMware Integrated OpenStack. Ahora puede seleccionar el proveedor de identidad de ADFS e iniciar sesión como usuario federado.
Qué hacer a continuación
Para eliminar un proveedor de identidades configurado, seleccione la interfaz web de Integrated OpenStack Manager y haga clic en Eliminar. A continuación, inicie sesión en el panel de control de VMware Integrated OpenStack, seleccione , seleccione el proveedor deseado y haga clic en Eliminar del registro los proveedores de identidad.