VMware Identity Manager を ID プロバイダ ソリューションとして使用するように VMware Integrated OpenStack を設定できます。

ユーザーは Security Association Markup Language (SAML) 2.0 プロトコルを介して VMware Identity Manager を認証できます。フェデレーション ユーザーは、VMware Integrated OpenStack ダッシュボードを使用して認証する必要があります。OpenStack コマンドライン インターフェイスはサポートされていません。

前提条件

  • VMware Identity Manager 2.8 以降をデプロイして設定します。

  • VMware Identity Manager インスタンスが VMware Integrated OpenStack 管理ネットワークと通信できることを確認します。

手順

  1. OpenStack 管理サーバviouser としてログインします。
  2. デプロイで custom.yml ファイルを使用していない場合は、テンプレート custom.yml ファイルを /opt/vmware/vio/custom ディレクトリにコピーします。 
    sudo mkdir -p /opt/vmware/vio/custom
sudo cp /var/lib/vio/ansible/custom/custom.yml.sample /opt/vmware/vio/custom/custom.yml
  3. テキスト エディタで /opt/vmware/vio/custom/custom.yml ファイルを開きます。
  4. 次のパラメータを追加します。

    オプション

    説明

    federation_protocol

    saml2」を入力します。

    federation_idp_id

    ID プロバイダの名前を入力します。この名前は、OpenStack 管理サーバ コマンドライン操作で使用され、特殊文字またはスペースを含めることはできません。

    federation_idp_name

    ID プロバイダの表示名前を入力します。この名前は、VMware Integrated OpenStack ダッシュボードにログインするときに 認証方法 の下に表示されます。

    federation_idp_metadata_url

    https://identity-mgr-fqdn/SAAS/API/1.0/GET/metadata/idp.xml と入力します。

    federation_group

    フェデレーション ユーザーを含めるグループを入力します。

    federation_group_description

    フェデレーション ユーザー グループの説明を入力します。

    vidm_address

    VMware Identity Manager インスタンスの FQDN を入力します(https://vxlan-vm-2-10.network.example.com など)。

    vidm_user

    VMware Identity Manager 管理者のユーザー名を入力します。

    vidm_password

    VMware Identity Manager 管理者のパスワードを入力します。

    vidm_insecure

    TLS 証明書を検証するには False を、証明書の検証を無効にするには True を入力します。

    vidm_group

    フェデレーションを使用するには、VMware Identity Manager でユーザー グループを入力します。

  5. 更新された設定をデプロイします。 
    sudo viocli deployment configure

    設定をデプロイすると、OpenStack サービスが一時的に中断されます。

  6. フェデレーション ユーザーまたはグループにプロジェクトとロールを割り当てます。
    1. VMware Integrated OpenStack ダッシュボードにクラウド管理者としてログインします。
    2. タイトル バーのドロップダウン メニューから [管理] プロジェクトを選択します。
    3. [ID] > [プロジェクト] の順に選択します。
    4. 目的のプロジェクトの横にある [メンバーの管理] をクリックします。
    5. フェデレーション ユーザーまたはグループを追加して、必要なロールを指定します。
    6. [保存] をクリックします。

タスクの結果

VMware Integrated OpenStackVMware Identity Manager と統合され、フェデレーション ユーザーおよびグループは OpenStack にインポートされます。VMware Integrated OpenStack ダッシュボードにアクセスすると、VMware Identity Manager ID プロバイダを選択して、フェデレーション ユーザーとしてログインすることができます。