Puede configurar VMware Integrated OpenStack para utilizar VMware Identity Manager como una solución de proveedor de identidad.

Los usuarios pueden autenticarse con VMware Identity Manager a través del protocolo de lenguaje de marcado de asociación de seguridad (Security Association Markup Language, SAML) 2.0 o el protocolo OpenID Connect (OIDC).

  • Los usuarios de SAML 2.0 deben autenticarse mediante el panel de control de VMware Integrated OpenStack. La interfaz de línea de comandos de OpenStack no es compatible con SAML 2.0.
  • Los usuarios de OpenID Connect pueden autenticarse en el panel de control de VMware Integrated OpenStack o en la interfaz de línea de comandos de OpenStack.

Requisitos previos

  • Implemente y configure VMware Identity Manager. Para obtener más información, consulte la documentación de VMware Identity Manager.
  • Si desea utilizar el protocolo OIDC y la instancia de VMware Identity Manager está utilizando un certificado autofirmado, asegúrese de que la CA esté instalada como una CA de confianza en VMware Identity Manager. Para obtener instrucciones, consulte "Instalar certificados raíz de confianza" en el documento Instalar y configurar VMware Identity Manager.
  • Asegúrese de que su instancia de VMware Identity Manager puede comunicarse con la red de administración de VMware Integrated OpenStack.
  • El usuario admin de OpenStack y el usuario admin de VMware Identity Manager no pueden estar en el mismo dominio de Keystone. Si desea importar usuarios federados al dominio default, asegúrese de que el usuario admin de VMware Identity Manager no forme parte del grupo de VMware Identity Manager que emplea para la federación.
  • Debe usar nombres de federación diferentes para configurar varias instancias de VMware Integrated OpenStack en la misma instancia de VMware Identity Manager.

Procedimiento

  1. Inicie sesión en la interfaz web Integrated OpenStack Manager como el usuario de admin.
  2. En Implementación de OpenStack, haga clic en el nombre de la implementación y abra la pestaña Administrar.
  3. En la pestaña Federación de identidades, haga clic en Agregar.
  4. En el menú desplegable Tipo de federación, seleccione VIDM.
  5. Introduzca los parámetros requeridos.
    Opción Descripción
    Tipo de protocolo

    Seleccione SAML2 u OIDC como el protocolo de identidad.

    Nombre

    Escriba un nombre para el proveedor de identidad.

    Nota: El nombre del proveedor de identidad no se puede cambiar después de que se haya agregado el proveedor de identidad.
    Descripción

    Introduzca una descripción del proveedor de identidad.

    Dirección de VIDM

    Introduzca el FQDN de la instancia de VMware Identity Manager sin el protocolo (por ejemplo, vidm.ejemplo.com).

    Nota: El FQDN debe ser único. No se puede agregar una instancia única de VMware Identity Manager a VMware Integrated OpenStack como dos proveedores de identidad independientes.
    Nombre de usuario de VIDM

    Introduzca el nombre de usuario de un administrador de VMware Identity Manager.

    Contraseña de VIDM

    Introduzca la contraseña del administrador especificado.

    Certificados de validación de VIDM

    Seleccione la casilla de verificación para validar certificados de VMware Identity Manager.

    Importante: Si seleccionó el protocolo OIDC y su instancia de VMware Identity Manager está usando un certificado autofirmado, debe validar los certificados.
  6. (opcional) Seleccione la casilla de verificación Configuración avanzada para configurar parámetros adicionales.
    1. En Configuración avanzada común, introduzca un dominio, un proyecto y un grupo de OpenStack en los que se importarán los usuarios federados.
      Nota:
      • Si no introduce un dominio, un proyecto o un grupo, se utilizan los siguientes valores predeterminados:
        • Dominio: federated_domain
        • Proyecto: federated_project
        • Grupo: federated_group
      • No introduzca federated como el nombre de dominio. Este nombre está reservado por Keystone.
      • Si proporciona asignaciones personalizadas, debe introducir todos los dominios, los proyectos y los grupos de OpenStack que se incluyen en dichas asignaciones.
    2. En el campo Asignación de atributos, introduzca atributos adicionales en formato JSON o cargue un archivo JSON que contenga los atributos deseados.
    3. En Configuración avanzada de VIDM, introduzca un tenant y un grupo de VMware Identity Manager desde el que se importarán usuarios.
      Si está usando una instancia de VMware Identity Manager en una implementación de vRealize Automation, introduzca vsphere. local como el tenant. Si utiliza una instancia de VMware Identity Manager independiente, no introduzca un tenant.
    4. En Configuración avanzada de SAML2, introduzca la dirección URL del archivo de metadatos de federación de la instancia de VMware Identity Manager.
    5. En el campo Asignación de SAML2, introduzca las asignaciones de SAML en formato JSON o cargue un archivo JSON que contenga las asignaciones deseadas.
    6. En Configuración avanzada de OIDC, introduzca la dirección URL del archivo de metadatos de federación de la instancia de VMware Identity Manager.
    7. En el campo Asignación de OIDC, introduzca las asignaciones de OIDC en formato JSON o cargue un archivo JSON que contenga las asignaciones deseadas.
    8. En el campo Asignación asignada, introduzca asignaciones de OAuth en formato JSON o cargue un archivo JSON que contenga las asignaciones deseadas.
  7. Haga clic en Aceptar.

Resultados

VMware Integrated OpenStack se crea como una aplicación web en VMware Identity Manager y los usuarios y grupos federados se importan de VMware Identity Manager a OpenStack. Cuando acceda al panel de control de VMware Integrated OpenStack, podrá elegir el proveedor de identidad VMware Identity Manager para iniciar sesión como un usuario federado.

A los usuarios federados se les asigna automáticamente la función de miembro. Si es necesario, puede usar la interfaz de línea de comandos de OpenStack para asignar privilegios de administrador de nube a usuarios federados.

Nota: Al utilizar la federación de identidades, debe acceder al panel de control de VMware Integrated OpenStack a través del endpoint de OpenStack público. No utilice el endpoint de OpenStack privado ni una dirección IP de controlador para iniciar sesión como usuario federado.

Qué hacer a continuación

Si desea crear una nueva federación de identidades que utilice la misma instancia de VMware Identity Manager, elimine el proveedor de identidad configurado y asegúrese de que la eliminación se haya completado antes de volver a agregarlo.

Para eliminar un proveedor de identidad configurado, selecciónelo primero en la interfaz web de Integrated OpenStack Manager y haga clic en Eliminar; a continuación, espere hasta que se complete la eliminación.