VMware Integrated OpenStack 3.1 以降では、VMware Integrated OpenStack デプロイと VMware Identity Manager を統合できます。
VMware Integrated OpenStack と VMware Identity Manager を統合すると、複数の認証済みクラウドで提供される複数のエンドポイントで、既存の認証情報を安全に使用してサーバ、ボリューム、データベースなどのクラウド リソースにアクセスできます。1 つの認証情報セットにより、追加の ID をプロビジョニングすることも、複数回ログインすることも必要なくなります。認証情報は、ユーザーの ID プロバイダによって管理されます。
前提条件
- VMware Identity Manager のバージョンが 2.8.0 以降であることを確認します。
- VMware Identity Manager インスタンスに管理者として認証されることを確認します。
手順
- custom.yml ファイルを実装します。
sudo mkdir -p /opt/vmware/vio/custom
sudo cp /var/lib/vio/ansible/custom/custom.yml.sample /opt/vmware/vio/custom/custom.yml
- テキスト エディタで /opt/vmware/vio/custom/custom.yml ファイルを編集し、環境に合わせて設定します。
-
Federation で、次のパラメータのコメントを解除して、環境の値を設定します。
次の例は、
VMware Identity Manager での最も一般的な設定のガイダンスを示しています。
| パラメータ |
値 |
| federation_protocol |
saml2 |
| federation_idp_id |
vidm |
| federation_idp_name |
vIDM SSO |
| federation_idp_metadata_url |
https://IDP_HOSTNAME/SAAS/API/1.0/GET/metadata/idp.xml |
| federation_group |
Federated Users |
| federation_group_description |
Groups for all federated users |
| vidm_address |
IDP_URL |
| vidm_user |
vidm_administrative_user |
| vidm_password |
vidm_administrative_user_password |
| vidm_insecure |
False |
| vidm_group |
ALL USERS |
- custom.yml ファイルを保存します。
- custom.yml ファイルで行った設定でフェデレーションを有効にします。
viocli deployment configure --tags federation --limit controller,lb
統合処理が正常に完了すると、
[認証方法] ドロップダウン メニューが
VMware Integrated OpenStack ダッシュボードに新たに表示され、ユーザーが認証方法を選択できるようになります。
- VMware Identity Manager ユーザーが VMware Integrated OpenStack にログインできるようにするには、ユーザーが属するグループにロール/プロジェクトを割り当てます。
場合によっては、ユーザーがメンバーである
VMware Identity Manager のグループに対応するグループを Keystone に作成する必要があります。
VMware Identity Manager ユーザーの場合、Keystone によって自動的にグループが作成されず、短期ユーザーが作成されます。グループがない場合、ユーザーはデフォルトの
Federated Users グループのメンバーになります。
- VMware Integrated OpenStack ダッシュボードに管理者としてログインします。
- [フェデレーション] で、[マッピング] をクリックして現在のマッピングを表示します。
- [編集] をクリックし、ニーズに合わせてマッピングを設定します。
