Vous pouvez configurer VMware Integrated OpenStack pour utiliser VMware Identity Manager en tant que solution de fournisseur d'identité.

Les utilisateurs peuvent s'authentifier avec VMware Identity Manager sur le protocole Security Association Markup Language (SAML) 2.0 ou le protocole OpenID Connect (OIDC).

  • Les utilisateurs de SAML 2.0 doivent s'authentifier à l'aide du tableau de bord VMware Integrated OpenStack. L'interface de ligne de commande d'OpenStack n'est pas prise en charge avec SAML 2.0.
  • Les utilisateurs d'OpenID Connect (OIDC) peuvent s'authentifier à l'aide du tableau de bord VMware Integrated OpenStack ou de l'interface de ligne de commande d'OpenStack.

Conditions préalables

  • Déployez et configurez VMware Identity Manager. Pour plus d'informations, consultez la documentation de VMware Identity Manager.
  • Si vous souhaitez utiliser le protocole OIDC et que votre instance de VMware Identity Manager utilise un certificat auto-signé, assurez-vous que l'autorité de certification est installée en tant qu'autorité de certification approuvée dans VMware Identity Manager. Pour obtenir des instructions, reportez-vous à la section « Installation de certificats racines approuvés » dans le document Installation et configuration de VMware Identity Manager.
  • Assurez-vous que votre instance de VMware Identity Manager peut communiquer avec le réseau de gestion de VMware Integrated OpenStack.
  • L'utilisateur admin OpenStack et l'utilisateur VMware Identity Manager admin ne peuvent pas se trouver dans le même domaine Keystone. Si vous souhaitez importer des utilisateurs fédérés dans le domaine default, assurez-vous que l'utilisateur VMware Identity Manager admin ne fait pas partie du groupe VMware Identity Manager que vous utilisez pour la fédération.
  • Vous devez utiliser différents noms de fédération pour configurer plusieurs instances de VMware Integrated OpenStack sur la même instance de VMware Identity Manager.

Procédure

  1. Connectez-vous à l'interface Web de Integrated OpenStack Manager en tant qu'utilisateur admin.
  2. Dans Déploiement OpenStack, cliquez sur le nom de votre déploiement et ouvrez l'onglet Gérer.
  3. Dans l'onglet Fédération d'identité, cliquez sur Ajouter.
  4. Dans le menu déroulant Type de fédération, sélectionnez VIDM.
  5. Entrez les paramètres requis.
    Option Description
    Type de protocole

    Sélectionnez SAML2 ou OIDC en tant que protocole d'identité.

    Nom

    Entrez le nom du fournisseur d'identité.

    Note : Le nom du fournisseur d'identité ne peut pas être modifié une fois que le fournisseur d'identité a été ajouté.
    Description

    Entrez la description du fournisseur d'identité.

    Adresse VIDM

    Entrez le nom de domaine complet de votre instance de VMware Identity Manager sans le protocole (par exemple, vidm.example.com).

    Note : Le nom de domaine complet doit être unique. Une instance de VMware Identity Manager unique ne peut pas être ajoutée à VMware Integrated OpenStack en tant que deux fournisseurs d'identité distincts.
    Nom d'utilisateur VIDM

    Entrez le nom d'utilisateur d'un administrateur de VMware Identity Manager.

    Mot de passe VIDM

    Entrez le mot de passe de l'administrateur spécifié.

    Certificats de validation VIDM

    Cochez la case pour valider les certificats VMware Identity Manager.

    Important : Si vous avez sélectionné le protocole OIDC et que votre instance de VMware Identity Manager utilise un certificat auto-signé, vous devez valider les certificats.
  6. (Facultatif) Cochez la case Paramètres avancés pour configurer des paramètres supplémentaires.
    1. Sous Paramètres avancés communs, entrez un domaine, un projet et un groupe OpenStack dans lesquels les utilisateurs fédérés seront importés.
      Note :
      • Si vous n'entrez pas de domaine, de projet ou de groupe, les valeurs par défaut suivantes sont utilisées :
        • Domaine : federated_domain
        • Projet : federated_project
        • Groupe : federated_group
      • N'entrez pas federated comme nom de domaine. Ce nom est réservé par Keystone.
      • Si vous fournissez des mappages personnalisés, vous devez entrer tous les domaines, projets et groupes OpenStack qui sont inclus dans ces mappages.
    2. Dans le champ Mappage d'attribut, entrez des attributs supplémentaires au format JSON ou téléchargez un fichier JSON contenant les attributs souhaités.
    3. Sous Paramètres VIDM avancés, entrez un locataire et un groupe VMware Identity Manager à partir desquels importer des utilisateurs.
      Si vous utilisez une instance de VMware Identity Manager dans un déploiement de vRealize Automation, entrez vsphere.local en tant que locataire. Si vous utilisez une instance de VMware Identity Manager autonome, n'entrez pas de locataire.
    4. Sous Paramètres SAML2 avancés, entrez l'URL du fichier de métadonnées de fédération pour votre instance de VMware Identity Manager.
    5. Dans le champ Mappage SAML2, entrez des mappages SAML au format JSON ou téléchargez un fichier JSON contenant les mappages souhaités.
    6. Sous Paramètres OIDC avancés , entrez l'URL du fichier de métadonnées de fédération pour votre instance de VMware Identity Manager.
    7. Dans le champ Mappage OIDC, entrez des mappages OIDC au format JSON ou téléchargez un fichier JSON contenant les mappages souhaités.
    8. Dans le champ Mappage mappé, entrez des mappages OAuth au format JSON ou téléchargez un fichier JSON contenant les mappages souhaités.
  7. Cliquez sur OK.

Résultats

VMware Integrated OpenStack est créé en tant qu'application Web dans VMware Identity Manager et les utilisateurs et les groupes fédérés sont importés de VMware Identity Manager dans OpenStack. Lorsque vous accédez au tableau de bord VMware Integrated OpenStack, vous pouvez choisir le fournisseur d'identité VMware Identity Manager pour vous connecter en tant qu'utilisateur fédéré.

Les utilisateurs fédérés obtiennent automatiquement le rôle de membre. Si nécessaire, vous pouvez utiliser l'interface de ligne de commande OpenStack pour attribuer des privilèges d'administrateur de cloud aux utilisateurs fédérés.

Note : Lorsque vous utilisez la fédération d'identités, vous devez accéder au tableau de bord VMware Integrated OpenStack sur le point de terminaison public OpenStack. N'utilisez pas le point de terminaison OpenStack privé ou une adresse IP de contrôleur pour vous connecter en tant qu'utilisateur fédéré.

Que faire ensuite

Si vous souhaitez créer une fédération d'identités qui utilise la même instance de VMware Identity Manager, supprimez le fournisseur d'identité configuré et assurez-vous que la suppression est terminée avant de l'ajouter à nouveau.

Pour supprimer un fournisseur d'identité configuré, sélectionnez-le d'abord dans l'interface Web de Integrated OpenStack Manager et cliquez sur Supprimer, puis attendez la fin de la suppression.