Vous pouvez intégrer VMware Integrated OpenStack à toute solution de fournisseur d'identité tiers qui utilise le protocole Security Association Markup Language (SAML) 2.0.

Important : Les fournisseurs d'identité tiers ne sont pas pris en charge par VMware. Contactez votre administrateur de fournisseur d'identité pour obtenir les informations requises dans cette procédure.

Si vous souhaitez intégrer VMware Integrated OpenStack à VMware Identity Manager à l'aide de SAML 2.0, reportez-vous à la section Configurer la fédération VMware Identity Manager.

Conditions préalables

  • Déployez et configurez votre fournisseur d'identité. Déterminez l'emplacement de son fichier de métadonnées et la valeur de l'attribut entityID dans ce fichier.
  • Assurez-vous que votre déploiement VMware Integrated OpenStack peut accéder au nom de domaine complet du fournisseur d'identité.
  • Créez un fichier de mappage au format JSON. Pour plus d'informations, reportez-vous à la section Combinations de mappage de la documentation d'OpenStack.
  • Dans votre fichier de mappage, n'utilisez pas federated comme nom de domaine. Ce nom est réservé par Keystone.
  • Créez un fichier de mappage d'attribut SAML au format JSON. Utilisez la structure suivante : 
    [
    {
        "name": "attribute-1",
        "id": "id-1"
    },
    {
        "name": "attribute-2",
        "id": "id-2"
    },
    ...
]

Procédure

  1. Connectez-vous à l'interface Web de Integrated OpenStack Manager en tant qu'utilisateur admin.
  2. Dans Déploiement OpenStack, cliquez sur le nom de votre déploiement et ouvrez l'onglet Gérer.
  3. Dans l'onglet Fédération d'identité, cliquez sur Ajouter.
  4. Dans le menu déroulant Type de fédération, sélectionnez SAML2 générique.
  5. Entrez les paramètres requis.
    Option Description
    Nom

    Entrez le nom du fournisseur d'identité.
    Description

    Entrez la description du fournisseur d'identité.
    Mappage d'attribut

    Entrez des attributs SAML supplémentaires au format JSON ou téléchargez un fichier JSON contenant les attributs souhaités.
    SAML2 générique non sécurisé

    Décochez cette case pour valider les certificats de votre fournisseur d'identité.
    ID d'entité SAML2 générique

    Entrez l'attribut entityID pour votre fournisseur d'identité. Vous pouvez trouver cette valeur dans le fichier de métadonnées de fédération.
    URL des métadonnées SAML2

    Entrez l'URL du fichier de métadonnées de fédération pour votre fournisseur d'identité.
    Mappage SAML2

    Entrez les mappages SAML au format JSON ou téléchargez un fichier JSON contenant les mappages souhaités.
  6. (Facultatif) Cochez la case Paramètres avancés pour configurer des paramètres supplémentaires.
    1. Sous Paramètres avancés communs, entrez un domaine, un projet et un groupe OpenStack dans lesquels les utilisateurs fédérés seront importés.
      Note :
      • Si vous n'entrez pas de domaine, de projet ou de groupe, les valeurs par défaut suivantes sont utilisées :
        • Domaine : federated_domain
        • Projet : federated_project
        • Groupe : federated_group
      • N'entrez pas federated comme nom de domaine. Ce nom est réservé par Keystone.
      • Si vous fournissez des mappages personnalisés, vous devez entrer tous les domaines, projets et groupes OpenStack qui sont inclus dans ces mappages.
  7. Cliquez sur OK.

Résultats

VMware Integrated OpenStack est intégré à votre solution de fournisseur d'identité, et les groupes et utilisateurs fédérés sont importés dans OpenStack. Lorsque vous accédez au tableau de bord VMware Integrated OpenStack, vous pouvez choisir le fournisseur d'identité spécifié auquel se connecter en tant qu'un utilisateur fédéré.

Note : Lorsque vous utilisez la fédération d'identités, vous devez accéder au tableau de bord VMware Integrated OpenStack sur le point de terminaison OpenStack public. N'utilisez pas le point de terminaison OpenStack privé ou une adresse IP de contrôleur pour vous connecter en tant qu'utilisateur fédéré.

Exemple : Intégration de VMware Integrated OpenStack aux services de fédération Active Directory

La procédure suivante met en œuvre la fédération d'identité entre VMware Integrated OpenStack et les services de fédération Active Directory (AD FS) en fonction du nom d'utilisateur principal (UPN). Dans cet exemple, l'adresse IP virtuelle publique du déploiement de VMware Integrated OpenStack est 192.0.2.160 et le rôle AD FS a été ajouté à une machine virtuelle Windows Server située à l'adresse adfs.example.com. Le nom du fournisseur d'identité dans VMware Integrated OpenStack sera défini sur adfsvio.

  1. Dans AD FS, ajoutez une approbation de partie de confiance pour VMware Integrated OpenStack.
    1. Dans Gestion AD FS, sélectionnez Action > Ajouter une approbation de partie de confiance….
    2. Cliquez sur Démarrer.
    3. Sélectionnez Entrer manuellement les données concernant la partie de confiance et cliquez sur Suivant.
    4. Entrez OpenStack pour le nom d'affichage et cliquez sur Suivant.
    5. Sélectionnez Profil AD FS, puis cliquez sur Suivant.
    6. Cliquez sur Suivant.
    7. Sélectionnez Activer la prise en charge du protocole WebSSO SAML 2.0.
    8. Entrez https://192.0.2.160:5000/adfsvio/Shibboleth.sso/SAML2 pour l'URL de la partie de confiance et cliquez sur Suivant.
    9. Entrez https://192.0.2.160:5000/adfsvio pour l'identifiant de l'approbation de la partie de confiance et cliquez sur Ajouter, puis sur Suivant.
    10. Sélectionnez Ne pas configurer les paramètres d'authentification multifacteur et cliquez sur Suivant.
    11. Sélectionnez Autoriser l'accès de tous les utilisateurs à cette partie de confiance et cliquez sur Suivant.
    12. Cliquez sur Suivant, sélectionnez Modifier les règles de revendication, puis cliquez sur Fermer.
    13. Cliquez sur Ajouter une règle….
    14. Sélectionnez Passer ou filtrer une revendication entrante, puis cliquez sur Suivant.
    15. Entrez Relais UPN pour le nom de la règle et sélectionnez UPN pour le type de réclamation entrante.
    16. Sélectionnez Passer toutes les valeurs de revendication, puis cliquez sur Terminer.
  2. Connectez-vous à l'interface Web de Integrated OpenStack Manager en tant qu'utilisateur admin.
  3. Dans Déploiement OpenStack, cliquez sur le nom du déploiement et ouvrez l'onglet Gérer.
  4. Dans l'onglet Fédération d'identité, cliquez sur Ajouter.
  5. Dans le menu déroulant Type de fédération, sélectionnez SAML2 générique.
  6. Entrez la configuration suivante.
    Option Description
    Nom adfsvio
    Description Fournisseur d'identité AD FS
    Mappage d'attribut 
    [
    {
        "name": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
        "id": "upn"
    }
]
    ID d'entité SAML2 générique http://adfs.example.com/adfs/services/trust
    URL des métadonnées SAML2 https://adfs.example.com/federationmetadata/2007-06/federationmetadata.xml
    Mappage SAML2 
    [
    {
        "local": [
            {
                "user": {
                    "name": "{0}"
                },
                "group": {
                    "domain": {
                        "name": "adfs-users"
                    },
                    "name": "Federated Users"
                }
            }
        ],
        "remote": [
            {
                "type": "upn"
            }
        ]
    }
]
  7. Cochez la case Paramètres avancés.
  8. Sélectionnez Paramètres avancés communs et entrez la configuration suivante.
    Option Description
    Domaine adfs-users
    Projet

    Laissez le champ vide.
    Groupe Utilisateurs fédérés

Une fois la configuration vérifiée et mise à jour, ouvrez le tableau de bord VMware Integrated OpenStack. Vous pouvez maintenant sélectionner le fournisseur d'identité AD FS et vous connecter en tant qu'utilisateur fédéré.

Que faire ensuite

Si vous devez supprimer un fournisseur d'identité configuré, sélectionnez-le d'abord dans l'interface Web de Integrated OpenStack Manager et cliquez sur Supprimer. Connectez-vous ensuite au tableau de bord VMware Integrated OpenStack, sélectionnez Identité > Fédération > Fournisseurs d'identité, sélectionnez le fournisseur souhaité, puis cliquez sur Annuler l'enregistrement des fournisseurs d'identité.