Configurer la fédération générique SAML 2.0

Vous pouvez intégrer VMware Integrated OpenStack à toute solution de fournisseur d'identité tiers qui utilise le protocole Security Association Markup Language (SAML) 2.0.

Important:

Les fournisseurs d'identité tiers ne sont pas pris en charge par VMware. Contactez votre administrateur de fournisseur d'identité pour obtenir les informations requises dans cette procédure.

Si vous souhaitez intégrer VMware Integrated OpenStack à VMware Identity Manager à l'aide de SAML 2.0, reportez-vous à la section Configurer la fédération VMware Identity Manager.

Conditions préalables

Déployez votre solution de fournisseur d'identité et déterminez l'emplacement de son fichier de métadonnées.
Assurez-vous que le nœud du contrôleur VMware Integrated OpenStack peut accéder au nom de domaine complet de la solution du fournisseur d'identité.
Créez un fichier de mappage au format JSON et enregistrez-le sur le Serveur de gestion OpenStack. Pour plus d'informations, reportez-vous à la section Combinaisons de Mappage de la documentation d'OpenStack.
Créez un fichier de mappage d'attributs SAML au format JSON et enregistrez-le sur le Serveur de gestion OpenStack. Utilisez la structure suivante :
```
[
    {
        "name": "attribute-1",
        "id": "id-1"
    },
    {
        "name": "attribute-2",
        "id": "id-2"
    },
    ...
]
```

Note:

Un déploiement de VMware Integrated OpenStack ne peut inclure qu'un seul fournisseur d'identité fédéré. Vous pouvez exécuter viocli federation identity-provider list pour afficher tous les fournisseurs d'identité configurés et viocli federation identity-provider remove pour les supprimer par ID.

Procédure

Connectez-vous à Serveur de gestion OpenStack en tant que viouser.
Ajouter votre solution de fournisseur d'identité à VMware Integrated OpenStack.
```
sudo viocli federation identity-provider add --type saml2
```

À l'invite, entrez les informations suivantes.

Option	Description
Nom du fournisseur d'identité	Entrez le nom du fournisseur d'identité. Ce nom est utilisé dans les opérations de ligne de commande d'Serveur de gestion OpenStack et ne peut pas inclure de caractères spéciaux ni d'espaces.
Nom d'affichage du fournisseur d'identité (pour Horizon)	Entrez le nom d'affichage du fournisseur d'identité. Ce nom est visible aux utilisateurs sous Authentifier à l'aide de lorsqu'ils se connectent au tableau de bord VMware Integrated OpenStack.
Description	(Facultatif) Entrez la description du fournisseur d'identité.
Souhaitez-vous utiliser une URL ou un fichier local pour les métadonnées du fournisseur d'identité ?	Entrez l'`url`. L'obtention des métadonnées du fournisseur d'identité à partir d'un fichier local n'est pas prise en charge.
URL des métadonnées du fournisseur d'identité	Entrez l'URL vers le fichier de métadonnées sur votre fournisseur d'identité (par exemple, `https://idp-fqdn/metadata.xml`). Vous devez spécifier le fournisseur d'identité par nom de domaine complet.
Ne vérifiez pas les certificats lors de l'établissement de connexions TLS/SSL.	Entrez `false` pour vérifier les certificats TLS ou `true` pour désactiver la vérification du certificat.
Souhaitez-vous utiliser un fichier statique ou un fichier de modèle pour les règles de mappage ?	Entrez `statique` pour utiliser un fichier de mappage statique ou `modèle` pour utiliser un modèle de mappage.
Entrez le chemin d'accès local du fichier de règles de mappage.	Entrez le chemin d'accès au fichier de règles de mappage sur votre système local.
Entrez le nom du domaine auquel les utilisateurs fédérés sont associés.	Entrez le domaine Keystone auquel appartiennent les utilisateurs fédérés. Le domaine sera créé s'il n'existe pas.
Entrez le nom des groupes associés auxquels les utilisateurs fédérés sont associés (séparés par des virgules « , »).	Entrez un ou plusieurs groupes à créer pour les utilisateurs fédérés. Vous devez entrer tous les groupes qui sont inclus dans votre fichier de mappage. Les groupes que vous entrez seront créés s'ils n'existent pas.
Souhaitez-vous utiliser un fichier statique ou un fichier de modèle pour le mappage d'attributs ?	Entrez `statique` pour utiliser un fichier de mappage statique ou `modèle` pour utiliser un modèle de mappage.
Entrez le chemin local du fichier de mappage d'attributs.	Entrez le chemin d'accès au fichier de mappage d'attributs sur votre système local.

Déployez la configuration d'identité mise à jour.
```
sudo viocli identity configure
```
Le déploiement de la configuration de l'identité interrompt brièvement les services OpenStack.

Résultats

VMware Integrated OpenStack est intégré à votre solution de fournisseur d'identité, et les groupes et utilisateurs fédérés sont importés dans OpenStack. Lorsque vous accédez au tableau de bord VMware Integrated OpenStack, vous pouvez choisir le fournisseur d'identité spécifié auquel se connecter en tant qu'un utilisateur fédéré.

Exemple : intégration de VMware Integrated OpenStack aux services de fédération Active Directory.

La procédure suivante met en œuvre la fédération d'identités entre VMware Integrated OpenStack et les services de fédération Active Directory (ADFS). Dans cet exemple, l'adresse IP virtuelle publique du déploiement de VMware Integrated OpenStack est 192.0.2.160 et le rôle AD FS a été ajouté à une machine virtuelle Windows Server située à l'adresse adfs.example.com.

Dans AD FS, ajoutez une approbation de partie de confiance pour VMware Integrated OpenStack.
1. Dans Gestion AD FS, sélectionnez Action > Ajouter une approbation de partie de confiance….
2. Cliquez sur Démarrer.
3. Sélectionnez Entrer manuellement les données concernant la partie de confiance et cliquez sur Suivant.
4. Entrez OpenStack pour le nom d'affichage et cliquez sur Suivant.
5. Sélectionnez Profil AD FS, puis cliquez sur Suivant.
6. Cliquez sur Suivant.
7. Sélectionnez Activer la prise en charge du protocole WebSSO SAML 2.0.
8. Entrez https://192.0.2.160:5000/saml pour l'URL de la partie de confiance et cliquez sur Suivant.
9. Entrez https://192.0.2.160:5000/saml pour l'identifiant de l'approbation de la partie de confiance, cliquez sur Ajouter, puis sur Suivant.
10. Sélectionnez Ne pas configurer les paramètres d'authentification multifacteur et cliquez sur Suivant.
11. Sélectionnez Autoriser l'accès de tous les utilisateurs à cette partie de confiance et cliquez sur Suivant.
12. Cliquez sur Suivant, sélectionnez Modifier les règles de revendication, puis cliquez sur Fermer.
13. Cliquez sur Ajouter une règle….
14. Sélectionnez Passer ou filtrer une revendication entrante, puis cliquez sur Suivant.
15. Entrez Relais UPN pour le nom de la règle et sélectionnez UPN pour le type de réclamation entrante.
16. Sélectionnez Passer toutes les valeurs de revendication, puis cliquez sur Terminer.
Connectez-vous à Serveur de gestion OpenStack en tant que viouser.

Écrivez les informations suivantes dans un fichier nommé mapping.json.

[
    {
        "local": [
            {
                "user": {
                    "name": "{0}",
                },
                "group": {
                    "domain": {
                        "name": "adfs-users"
                    },
                    "name": "Federated Users"
                }
            }
        ],
        "remote": [
            {
                "type": "upn"
            }
        ]
    }
]

Écrivez les informations suivantes dans un fichier nommé attribute.json.

[
    {
        "name": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
        "id": "upn"
    }
]

Ajoutez AD FS en tant que fournisseur d'identité.

sudo viocli federation identity-provider add --type saml2

Entrez les informations requises.

Identity provider name []: adfs
Identity provider display name (for Horizon) []: Active Directory Federation Services
Description []: ADFS deployment
Do you wish to use URL or local file for IdP metadata? (url, file) [url]: url
IdP metadata URL []: https://adfs.example.com/federationmetadata/2007-06/federationmetadata.xml
Do not verify certificates when establishing TLS/SSL connections [False]: false
Do you wish to use a static file or template file for mapping rules? (static, template) [static]: static
Enter the local path of mapping rules file: mapping.json
Enter the name of the domain that federated users associate with [Default]: adfs-users
Enter the name to the groups that federated users associate with (separated by commas ",") []: Federated Users
Do you wish to use a static file or template file for attribute mapping? (static, template) [static]: static
Enter the local path of attribute mapping file: attribute.json

Déployez la configuration d'identité mise à jour.
```
sudo viocli identity configure
```

Une fois la configuration déployée, ouvrez le tableau de bord VMware Integrated OpenStack. Vous pouvez maintenant sélectionner le fournisseur d'identité AD FS et vous connecter en tant qu'utilisateur fédéré.