Vous pouvez intégrer VMware Integrated OpenStack à toute solution de fournisseur d'identité tierce qui utilise le protocole SAML (Security Association Markup Language) 2.0. Le Keystone dans VMware Integrated OpenStack fonctionne comme fournisseur de services pour cette configuration.
- VMware ne prend pas en charge les fournisseurs d’identité tiers. Contactez votre administrateur de fournisseur d’identité pour obtenir les informations requises pour cette procédure.
- Ne connectez pas VMware Integrated OpenStack à la fois à l'authentification LDAP et à la fédération qui ont le même backend AD.
Si vous souhaitez intégrer VMware Integrated OpenStack à VMware Identity Manager à l'aide de SAML 2.0, reportez-vous à la section Configurer la fédération VMware Identity Manager.
Conditions préalables
- Déterminez l'emplacement du fichier de métadonnées de vos fournisseurs d'identité et de l'attribut entityID dans le fichier.
- Assurez-vous que votre déploiement VMware Integrated OpenStack peut accéder au nom de domaine complet du fournisseur d'identité.
- Pour le mappage d'attributs SAML2, Keystone utilise Shibboleth comme composant SSO. Shibboleth fait correspondre les attributs de l'utilisateur IdP aux attributs locaux utilisés par Keystone. Contactez votre administrateur IdP pour obtenir les attributs d'utilisateur.
- Pour le mappage de règles SAML2, Keystone exige des règles pour mapper les utilisateurs distants aux domaines, projets et groupes locaux. Pour plus d'informations, reportez-vous à la section Combinations de mappage de la documentation d'OpenStack.
- Côté fournisseur d'identité, vous devez configurer correctement le fournisseur de services. Les métadonnées du fournisseur de services sont accessibles à l'aide de l'URL suivante : https://<vio_public_endpoint>:5000/<your_idp_name>/Shibboleth.sso/Metadata
Procédure
Résultats
VMware Integrated OpenStack est intégré à votre solution de fournisseur d'identité, et les groupes et utilisateurs fédérés sont importés dans OpenStack. Lorsque vous accédez au tableau de bord VMware Integrated OpenStack, vous pouvez choisir le fournisseur d'identité spécifié auquel vous connecter en tant qu'utilisateur fédéré.
Exemple : Intégration de VMware Integrated OpenStack aux services de fédération Active Directory
La procédure suivante met en œuvre la fédération d'identité entre VMware Integrated OpenStack et ADFS (Active Directory Federation Services) en fonction du nom d'utilisateur global (UPN). La procédure de configuration de l'ADFS est un exemple type, la configuration réelle de l'entreprise peut être différente. Vous devez modifier la configuration SAML VMware Integrated OpenStack correspondante.
Dans cet exemple, l'adresse IP virtuelle publique du déploiement de VMware Integrated OpenStack est 192.0.2.160 et le rôle de l’ADFS fait partie de la machine virtuelle Windows Server située à l'adresse adfs.example.com. Le nom du fournisseur d'identité dans VMware Integrated OpenStack est adfsvio
.
- Dans l’ADFS, ajoutez une approbation de partie de confiance pour VMware Integrated OpenStack.
- Dans Gestion ADFS, sélectionnez .
- Cliquez sur Démarrer.
- Sélectionnez Entrer manuellement les données concernant la partie de confiance et cliquez sur Suivant.
- Entrez OpenStack pour le nom d'affichage et cliquez sur Suivant.
- Sélectionnez Profil ADFS, puis cliquez sur Suivant.
- Cliquez sur Suivant.
- Sélectionnez Activer la prise en charge du protocole WebSSO SAML 2.0.
- Entrez https://192.0.2.160:5000/adfsvio/Shibboleth.sso/SAML2 pour l'URL de la partie de confiance et cliquez sur Suivant.
- Entrez https://192.0.2.160:5000/adfsvio pour l'identifiant de l'approbation de partie de confiance et cliquez sur Ajouter, puis sur Suivant.
- Sélectionnez Ne pas configurer les paramètres d'authentification multifacteur et cliquez sur Suivant.
- Sélectionnez Autoriser l'accès de tous les utilisateurs à cette partie de confiance et cliquez sur Suivant.
- Cliquez sur Suivant, sélectionnez Modifier les règles de revendication, puis cliquez sur Fermer.
- Cliquez sur Ajouter une règle….
- Sélectionnez Passer ou filtrer une revendication entrante, puis cliquez sur Suivant.
- Entrez Relais UPN pour le nom de la règle et sélectionnez UPN pour le type de réclamation entrante.
- Sélectionnez Transmettre toutes les valeurs de la revendication, puis cliquez sur Terminer.
- Connectez-vous à l'interface Web de Integrated OpenStack Manager en tant qu'utilisateur
admin
. - Dans Déploiement OpenStack, cliquez sur le nom du déploiement et ouvrez l'onglet Gérer.
- Dans l'onglet Fédération d'identité, cliquez sur Ajouter.
- Dans le menu déroulant Type de fédération, sélectionnez SAML2 générique.
- Entrez la configuration suivante :
Option Description Nom adfsvio Description Fournisseur d'identité ADFS Mappage d'attributs [ { "name": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", "id": "upn" } ]
ID d'entité SAML2 générique http://adfs.example.com/adfs/services/trust URL des métadonnées SAML2 https://adfs.example.com/federationmetadata/2007-06/federationmetadata.xml Mappage SAML2 [ { "local": [ { "user": { "name": "{0}" }, "group": { "domain": { "name": "adfs-users" }, "name": "Federated Users" } } ], "remote": [ { "type": "upn" } ] } ]
- Cochez la case Paramètres avancés.
- Sélectionnez Paramètres avancés communs et entrez la configuration suivante.
Option Description Domaine adfs-users Projet Laissez la zone de texte vide.
Groupe Utilisateurs fédérés
Une fois la vérification et la mise à jour de la configuration terminées, ouvrez le tableau de bord VMware Integrated OpenStack. Vous pouvez désormais sélectionner le fournisseur d’identité ADFS et vous connecter en tant qu’utilisateur fédéré.
Que faire ensuite
Pour supprimer un fournisseur d'identité configuré, sélectionnez l'interface Web Integrated OpenStack Manager et cliquez sur Supprimer. Connectez-vous ensuite au tableau de bord VMware Integrated OpenStack, sélectionnez , sélectionnez le fournisseur souhaité, puis cliquez sur Annuler l'enregistrement des fournisseurs d'identité.