Vous pouvez intégrer VMware Integrated OpenStack à toute solution de fournisseur d'identité tiers qui utilise le protocole Security Association Markup Language (SAML) 2.0.
Si vous souhaitez intégrer VMware Integrated OpenStack à VMware Identity Manager à l'aide de SAML 2.0, reportez-vous à la section Configurer la fédération VMware Identity Manager.
Conditions préalables
- Déployez et configurez votre fournisseur d'identité. Déterminez l'emplacement de son fichier de métadonnées et la valeur de l'attribut entityID dans ce fichier.
- Assurez-vous que votre déploiement VMware Integrated OpenStack peut accéder au nom de domaine complet du fournisseur d'identité.
- Créez un fichier de mappage au format JSON. Pour plus d'informations, reportez-vous à la section Mappage de combinaisons de la documentation d'OpenStack.
- Dans votre fichier de mappage, n'utilisez pas
federated
comme nom de domaine. Ce nom est réservé par Keystone. - Créez un fichier de mappage d'attribut SAML au format JSON. Utilisez la structure suivante :
[ { "name": "attribute-1", "id": "id-1" }, { "name": "attribute-2", "id": "id-2" }, ... ]
Procédure
- Connectez-vous à l'interface Web de Integrated OpenStack Manager en tant qu'utilisateur
admin
. - Dans Déploiement OpenStack, cliquez sur le nom de votre déploiement et ouvrez l'onglet Gérer.
- Dans l'onglet Fédération d'identité, cliquez sur Ajouter.
- Dans le menu déroulant Type de fédération, sélectionnez SAML2 générique.
- Entrez les paramètres requis.
Option Description Nom Entrez le nom du fournisseur d'identité.
Description Entrez la description du fournisseur d'identité.
Mappage d'attribut Entrez des attributs SAML supplémentaires au format JSON ou téléchargez un fichier JSON contenant les attributs souhaités.
SAML2 générique non sécurisé Décochez cette case pour valider les certificats de votre fournisseur d'identité.
ID d'entité SAML2 générique Entrez l'attribut entityID pour votre fournisseur d'identité. Vous pouvez trouver cette valeur dans le fichier de métadonnées de fédération.
URL des métadonnées SAML2 Entrez l'URL du fichier de métadonnées de fédération pour votre fournisseur d'identité.
Mappage SAML2 Entrez les mappages SAML au format JSON ou téléchargez un fichier JSON contenant les mappages souhaités.
- (Facultatif) Cochez la case Paramètres avancés pour configurer des paramètres supplémentaires.
- Sous Paramètres avancés communs, entrez un domaine, un projet et un groupe OpenStack dans lesquels les utilisateurs fédérés seront importés.
Note :
- Si vous n'entrez pas de domaine, de projet ou de groupe, les valeurs par défaut suivantes sont utilisées :
- Domaine :
federated_domain
- Projet :
federated_project
- Groupe :
federated_group
- Domaine :
- N'entrez pas
federated
comme nom de domaine. Ce nom est réservé par Keystone. - Si vous fournissez des mappages personnalisés, vous devez entrer tous les domaines, projets et groupes OpenStack qui sont inclus dans ces mappages.
- Si vous n'entrez pas de domaine, de projet ou de groupe, les valeurs par défaut suivantes sont utilisées :
- Sous Paramètres avancés communs, entrez un domaine, un projet et un groupe OpenStack dans lesquels les utilisateurs fédérés seront importés.
- Cliquez sur OK.
Résultats
VMware Integrated OpenStack est intégré à votre solution de fournisseur d'identité, et les groupes et utilisateurs fédérés sont importés dans OpenStack. Lorsque vous accédez au tableau de bord VMware Integrated OpenStack, vous pouvez choisir le fournisseur d'identité spécifié auquel se connecter en tant qu'un utilisateur fédéré.
Exemple : Intégration de VMware Integrated OpenStack aux services de fédération Active Directory
La procédure suivante met en œuvre la fédération d'identité entre VMware Integrated OpenStack et les services de fédération Active Directory (AD FS) en fonction du nom d'utilisateur principal (UPN). Dans cet exemple, l'adresse IP virtuelle publique du déploiement de VMware Integrated OpenStack est 192.0.2.160 et le rôle AD FS a été ajouté à une machine virtuelle Windows Server située à l'adresse adfs.example.com. Le nom du fournisseur d'identité dans VMware Integrated OpenStack sera défini sur adfsvio
.
- Dans AD FS, ajoutez une approbation de partie de confiance pour VMware Integrated OpenStack.
- Dans Gestion AD FS, sélectionnez .
- Cliquez sur Démarrer.
- Sélectionnez Entrer manuellement les données concernant la partie de confiance et cliquez sur Suivant.
- Entrez OpenStack pour le nom d'affichage et cliquez sur Suivant.
- Sélectionnez Profil AD FS, puis cliquez sur Suivant.
- Cliquez sur Suivant.
- Sélectionnez Activer la prise en charge du protocole WebSSO SAML 2.0.
- Entrez https://192.0.2.160:5000/adfsvio/Shibboleth.sso/SAML2 pour l'URL de la partie de confiance et cliquez sur Suivant.
- Entrez https://192.0.2.160:5000/adfsvio pour l'identifiant de l'approbation de la partie de confiance et cliquez sur Ajouter, puis sur Suivant.
- Sélectionnez Ne pas configurer les paramètres d'authentification multifacteur et cliquez sur Suivant.
- Sélectionnez Autoriser l'accès de tous les utilisateurs à cette partie de confiance et cliquez sur Suivant.
- Cliquez sur Suivant, sélectionnez Modifier les règles de revendication, puis cliquez sur Fermer.
- Cliquez sur Ajouter une règle….
- Sélectionnez Passer ou filtrer une revendication entrante, puis cliquez sur Suivant.
- Entrez Relais UPN pour le nom de la règle et sélectionnez UPN pour le type de réclamation entrante.
- Sélectionnez Passer toutes les valeurs de revendication, puis cliquez sur Terminer.
- Connectez-vous à l'interface Web de Integrated OpenStack Manager en tant qu'utilisateur
admin
. - Dans Déploiement OpenStack, cliquez sur le nom du déploiement et ouvrez l'onglet Gérer.
- Dans l'onglet Fédération d'identité, cliquez sur Ajouter.
- Dans le menu déroulant Type de fédération, sélectionnez SAML2 générique.
- Entrez la configuration suivante.
Option Description Nom adfsvio Description Fournisseur d'identité AD FS Mappage d'attribut [ { "name": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", "id": "upn" } ]
ID d'entité SAML2 générique http://adfs.example.com/adfs/services/trust URL des métadonnées SAML2 https://adfs.example.com/federationmetadata/2007-06/federationmetadata.xml Mappage SAML2 [ { "local": [ { "user": { "name": "{0}" }, "group": { "domain": { "name": "adfs-users" }, "name": "Federated Users" } } ], "remote": [ { "type": "upn" } ] } ]
- Cochez la case Paramètres avancés.
- Sélectionnez Paramètres avancés communs et entrez la configuration suivante.
Option Description Domaine adfs-users Projet Laissez le champ vide.
Groupe Utilisateurs fédérés
Une fois la configuration vérifiée et mise à jour, ouvrez le tableau de bord VMware Integrated OpenStack. Vous pouvez maintenant sélectionner le fournisseur d'identité AD FS et vous connecter en tant qu'utilisateur fédéré.
Que faire ensuite
Si vous devez supprimer un fournisseur d'identité configuré, sélectionnez-le d'abord dans l'interface Web de Integrated OpenStack Manager et cliquez sur Supprimer. Connectez-vous ensuite au tableau de bord VMware Integrated OpenStack, sélectionnez , sélectionnez le fournisseur souhaité, puis cliquez sur Annuler l'enregistrement des fournisseurs d'identité.