À partir de VMware Integrated OpenStack 3.1, vous pouvez intégrer vos déploiements VMware Integrated OpenStack à VMware Identity Manager.

Avant de commencer

  • Vérifiez que la version de VMware Identity Manager est 2.8.0 ou version ultérieure.

  • Vérifiez que vous pouvez vous authentifier en tant qu'administrateur auprès de l'instance de VMware Identity Manager.

Pourquoi et quand exécuter cette tâche

En intégrant VMware Integrated OpenStack à VMware Identity Manager, vous obtenez une manière d'utiliser de façon sécurisée des informations d'identification existantes pour accéder à des ressources cloud telles que des serveurs, des volumes et des bases de données, sur plusieurs points de terminaison fournis dans plusieurs clouds autorisés. Vous disposez d'un ensemble unique d'informations d'identification, sans devoir provisionner d'identités supplémentaires ni vous connecter plusieurs fois. Les informations d'identification sont maintenues par le fournisseur d'identité de l'utilisateur.

Procédure

  1. Mettez en œuvre le fichier custom.yml.
    sudo mkdir -p /opt/vmware/vio/custom
    sudo cp /var/lib/vio/ansible/custom/custom.yml.sample /opt/vmware/vio/custom/custom.yml
  2. Modifiez le fichier /opt/vmware/vio/custom/custom.yml dans un éditeur de texte afin de le configurer pour votre environnement.
    1. Sous Federation, annulez la mise en commentaire des paramètres suivants et définissez des valeurs pour votre environnement.

      L'exemple suivant fournit des instructions pour la configuration la plus fréquente avec VMware Identity Manager.

      Paramètre

      Valeur

      federation_protocol

      saml2

      federation_idp_id

      vidm

      federation_idp_name

      vIDM SSO

      federation_idp_metadata_url

      https://IDP_HOSTNAME/SAAS/API/1.0/GET/metadata/idp.xml

      federation_group

      Utilisateurs fédérés

      federation_group_description

      Groupes pour tous les utilisateurs fédérés

      vidm_address

      IDP_URL

      vidm_user

      vidm_administrative_user

      vidm_password

      vidm_administrative_user_password

      vidm_insecure

      False

      vidm_group

      TOUS LES UTILISATEURS

    2. Enregistrez le fichier custom.yml.
  3. Activez la fédération avec les paramètres que vous avez configurés dans le fichier custom.yml.
    viocli deployment configure --tags federation --limit controller,lb

    Une fois l'opération d'intégration effectuée, le tableau de bord VMware Integrated OpenStack comporte un nouveau menu déroulant Authentifier à l'aide de qui permet à l'utilisateur de choisir la méthode d'authentification.

  4. Avant qu'un utilisateur VMware Identity Manager puisse se connecter à VMware Integrated OpenStack, attribuez un rôle/projet au groupe auquel cet utilisateur appartient.

    Vous devrez éventuellement créer un groupe dans Keystone qui correspond à un groupe présent dans VMware Identity Manager dont un utilisateur est membre. Pour les utilisateurs VMware Identity Manager, Keystone ne crée pas automatiquement des groupes mais des utilisateurs éphémères. Si le groupe n'existe pas, l'utilisateur devient un membre du groupe Federated Users par défaut.

    1. Connectez-vous au tableau de bord VMware Integrated OpenStack en tant qu'administrateur.
    2. Sous Fédération, cliquez sur Mappages pour voir les mappages actuels.
    3. Cliquez sur Modifier pour configurer un mappage selon vos besoins.

      Pour plus d'informations sur les mappages, reportez-vous à Mappage de combinaisons pour une fédération dans la documentation d'OpenStack.