Security Association Markup Language (SAML) 2.0 プロトコルを使用する任意のサードパーティ ID プロバイダ ソリューションと VMware Integrated OpenStack を統合できます。
サードパーティ ID プロバイダは、VMware でサポートされていません。この手順で必要な情報を取得するには、ID プロバイダの管理者にお問い合わせください。
SAML 2.0 を使用して VMware Integrated OpenStack と VMware Identity Manager を統合する場合は、VMware Identity Manager フェデレーションの設定を参照してください。
前提条件
ID プロバイダ ソリューションをデプロイし、このメタデータ ファイルの場所を判別します。
ID プロバイダ ソリューションの FQDN に VMware Integrated OpenStack コントローラ ノードがアクセスできることを確認します。
マッピング ファイルを JSON 形式で作成して、OpenStack 管理サーバ に保存します。詳細については、OpenStack ドキュメントのマッピングの組み合わせを参照してください。
SAML 属性マッピング ファイルを JSON 形式で作成して、OpenStack 管理サーバ に保存します。次の構造を使用します。
[ { "name": "attribute-1", "id": "id-1" }, { "name": "attribute-2", "id": "id-2" }, ... ]
VMware Integrated OpenStack デプロイには、フェデレーション ID プロバイダを 1 つのみ含めることができます。viocli federation identity-provider list を実行すると、設定されたすべての ID プロバイダを表示できます。viocli federation identity-provider remove を実行すると、ID を使用して ID プロバイダを削除できます。
手順
タスクの結果
VMware Integrated OpenStack は ID プロバイダ ソリューションと統合され、フェデレーション ユーザーおよびグループは OpenStack にインポートされます。VMware Integrated OpenStack ダッシュボードにアクセスすると、指定した ID プロバイダを選択して、フェデレーション ユーザーとしてログインすることができます。
例︰VMware Integrated OpenStack と Active Directory フェデレーション サービスの統合
次の手順では、VMware Integrated OpenStack と Active Directory フェデレーション サービス (AD FS) の間に ID フェデレーションを実装します。この例では、VMware Integrated OpenStack デプロイのパブリック仮想 IP アドレスは 192.0.2.160 であり、adfs.example.com にある Windows Server 仮想マシンに Active Directory フェデレーション サービス ロールが追加されています。
Active Directory フェデレーション サービスで、VMware Integrated OpenStack に証明書利用者信頼を追加します。
Active Directory フェデレーション サービスの管理 で の順に選択します。
[開始] をクリックします。
[証明書利用者についてのデータを手動で入力する] を選択して、[次へ] をクリックします。
表示名に OpenStack と入力し、[次へ] をクリックします。
[Active Directory フェデレーション サービス プロファイル] を選択して、[次へ] をクリックします。
[次へ] をクリックします。
[SAML 2.0 WebSSO プロトコルのサポートを有効にする] を選択します。
証明書利用者の URL として https://192.0.2.160:5000/saml と入力して、[次へ] をクリックします。
証明書利用者信頼 ID として https://192.0.2.160:5000/saml と入力し、[追加] をクリックして、[次へ] をクリックします。
[現時点ではこの証明書利用者信頼に多要素認証を構成しない] を選択して、[次へ] をクリックします。
[すべてのユーザーに対してこの証明書利用者へのアクセスを許可する] を選択して、[次へ] をクリックします。
[次へ] をクリックし、[要求規則の編集] を選択して、[閉じる] をクリックします。
[ルールを追加...] をクリックします。
[入力方向の要求をパス スルーまたはフィルタリング] を選択して、[次へ] をクリックします。
ルール名として [UPN パススルー] と入力し、入力方向の要求のタイプに [UPN] を選択します。
[すべての要求値をパス スルーする] を選択して、[終了] をクリックします。
OpenStack 管理サーバ に
viouserとしてログインします。mapping.json という名前のファイルに次の情報を書き込みます。
[ { "local": [ { "user": { "name": "{0}", }, "group": { "domain": { "name": "adfs-users" }, "name": "Federated Users" } } ], "remote": [ { "type": "upn" } ] } ]attribute.json という名前のファイルに次の情報を書き込みます。
[ { "name": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", "id": "upn" } ]Active Directory フェデレーション サービスを ID プロバイダとして追加します。
sudo viocli federation identity-provider add --type saml2
プロンプトに応じて、情報を入力します。
Identity provider name []: adfs Identity provider display name (for Horizon) []: Active Directory Federation Services Description []: ADFS deployment Do you wish to use URL or local file for IdP metadata? (url, file) [url]: url IdP metadata URL []: https://adfs.example.com/federationmetadata/2007-06/federationmetadata.xml Do not verify certificates when establishing TLS/SSL connections [False]: false Do you wish to use a static file or template file for mapping rules? (static, template) [static]: static Enter the local path of mapping rules file: mapping.json Enter the name of the domain that federated users associate with [Default]: adfs-users Enter the name to the groups that federated users associate with (separated by commas ",") []: Federated Users Do you wish to use a static file or template file for attribute mapping? (static, template) [static]: static Enter the local path of attribute mapping file: attribute.json
更新された ID の設定をデプロイします。
sudo viocli identity configure
設定をデプロイした後で、VMware Integrated OpenStack ダッシュ ボードを開きます。これで、Active Directory フェデレーション サービス ID プロバイダを選択し、フェデレーション ユーザーとしてログインできるようになりました。
