VMware Identity Manager フェデレーションの設定

VMware Identity Manager を ID プロバイダソリューションとして使用するように VMware Integrated OpenStack を設定できます。

ユーザーは Security Association Markup Language (SAML) 2.0 プロトコルを介して VMware Identity Manager を認証できます。フェデレーションユーザーは、VMware Integrated OpenStack ダッシュボードを使用して認証する必要があります。OpenStack コマンドラインインターフェイスはサポートされていません。

前提条件

VMware Identity Manager 2.8 以降をデプロイして設定します。
VMware Identity Manager インスタンスが VMware Integrated OpenStack 管理ネットワークと通信できることを確認します。

デフォルトのマッピングを使用せずにカスタムマッピングをインポートする場合は、事前にマッピングファイルを準備しておきます。

マッピングファイルを JSON 形式で作成して、OpenStack 管理サーバに保存します。詳細については、OpenStack ドキュメントのマッピングの組み合わせを参照してください。
SAML 属性マッピングファイルを JSON 形式で作成して、OpenStack 管理サーバに保存します。次の構造を使用します。
```
[
    {
        "name": "attribute-1",
        "id": "id-1"
    },
    {
        "name": "attribute-2",
        "id": "id-2"
    },
    ...
]
```

手順

OpenStack 管理サーバに viouser としてログインします。
VMware Identity Manager を ID プロバイダとして追加します。
```
sudo viocli federation identity-provider add --type vidm
```

プロンプトに応じて、次の情報を入力します。

オプション	説明
Identity provider name（ID プロバイダの名前）	ID プロバイダの名前を入力します。この名前は、OpenStack 管理サーバコマンドライン操作で使用され、特殊文字またはスペースを含めることはできません。
ID プロバイダの表示名（Horizon 用）	ID プロバイダの表示名前を入力します。この名前は、VMware Integrated OpenStack ダッシュボードにログインするときに認証方法の下に表示されます。
説明	（オプション）ID プロバイダの説明を入力します。
vIDM エンドポイントアドレス	VMware Identity Manager インスタンスの FQDN を入力します（https://vxlan-vm-2-10.network.example.com など）。
vIDM 管理者ユーザー	VMware Identity Manager 管理者のユーザー名を入力します。
vIDM 管理者パスワード	VMware Identity Manager 管理者のパスワードを入力します。
TLS/SSL 接続を確立する際に証明書を確認しない	TLS 証明書を検証するには `False` を、証明書の検証を無効にするには `True` を入力します。
vIDM テナント名	vRealize Automation デプロイ内で VMware Identity Manager を使用している場合は、`vsphere.local` と入力します。それ以外の場合は、値を空白のままにして、Enter キーを押します。
フェデレーションユーザーに関連付けられるドメイン名の入力	すべてのフェデレーションユーザーが属する Keystone ドメインを入力します。このドメインがない場合は、作成されます。
フェデレーションユーザーに関連付けられるグループの名前の入力（カンマ「,」区切り）	フェデレーションユーザーが含まれている 1 つ以上のグループを入力します。カスタムマッピングを使用する場合は、マッピングファイルに含まれているすべてのグループを入力します。入力したグループがない場合は、作成されます。
詳細設定の変更	デフォルトマッピングを使用するには、`n`、マッピングファイルを指定するには、`y` と入力します。

詳細設定を変更する場合は、要求に応じて次の情報を入力します。

オプション	説明
マッピングルールに固定ファイルまたはテンプレートファイルを使用	固定マッピングファイルを使用するには `static` を、マッピングテンプレートを使用するには `template` を入力します。
マッピングルールファイルのローカルパスの入力	ローカルシステム上のマッピングルールファイルのパスを入力します。
属性マッピングに固定ファイルまたはテンプレートファイルを使用	固定マッピングファイルを使用するには `static` を、マッピングテンプレートを使用するには `template` を入力します。
属性マッピングファイルのローカルパスの入力	ローカルシステム上の属性マッピングファイルのパスを入力します。

更新された ID の設定をデプロイします。
```
sudo viocli identity configure
```
ID 設定をデプロイすると、OpenStack サービスが一時的に中断されます。

タスクの結果

VMware Integrated OpenStack は VMware Identity Manager と統合され、フェデレーションユーザーおよびグループは OpenStack にインポートされます。VMware Integrated OpenStack ダッシュボードにアクセスすると、VMware Identity Manager ID プロバイダを選択して、フェデレーションユーザーとしてログインすることができます。