VMware Identity Manager を ID プロバイダ ソリューションとして使用するように VMware Integrated OpenStack を設定できます。

ユーザーは Security Association Markup Language (SAML) 2.0 プロトコルまたは OpenID Connect (OIDC) プロトコルを介して VMware Identity Manager を認証できます。

  • SAML 2.0 ユーザーは、VMware Integrated OpenStack ダッシュボードを使用して認証する必要があります。OpenStack のコマンドライン インターフェイスは SAML 2.0 ではサポートされていません。

  • OpenID Connect ユーザーは、VMware Integrated OpenStack ダッシュ ボードまたは OpenStack コマンドライン インターフェイスを使用して認証できます。

前提条件

  • VMware Identity Manager 3.3 以降をデプロイして設定します。

  • VMware Identity Manager インスタンスが VMware Integrated OpenStack 管理ネットワークと通信できることを確認します。

注:

VMware Integrated OpenStack デプロイには、フェデレーション ID プロバイダを 1 つのみ含めることができます。viocli federation identity-provider list を実行すると、設定されたすべての ID プロバイダを表示できます。viocli federation identity-provider remove を実行すると、ID を使用して ID プロバイダを削除できます。

手順

  1. OpenStack 管理サーバviouser としてログインします。
  2. VMware Identity Manager を ID プロバイダとして追加します。 
    sudo viocli federation identity-provider add --type vidm
  3. プロンプトに応じて、次の情報を入力します。

    オプション

    説明

    Identity provider name(ID プロバイダの名前)

    ID プロバイダの名前を入力します。この名前は、OpenStack 管理サーバ コマンドライン操作で使用され、特殊文字またはスペースを含めることはできません。

    ID プロバイダの表示名(Horizon 用)

    ID プロバイダの表示名前を入力します。この名前は、VMware Integrated OpenStack ダッシュボードにログインするときに 認証方法 の下に表示されます。

    説明

    (オプション)ID プロバイダの説明を入力します。

    vIDM エンドポイント アドレス

    VMware Identity Manager インスタンスの FQDN を入力します(https://vxlan-vm-2-10.network.example.com など)。

    vIDM 管理者ユーザー

    VMware Identity Manager 管理者のユーザー名を入力します。

    vIDM 管理者パスワード

    VMware Identity Manager 管理者のパスワードを入力します。

    TLS/SSL 接続を確立する際に証明書を確認しない

    TLS 証明書を検証するには False を、証明書の検証を無効にするには True を入力します。

    vIDM テナント名

    vRealize Automation デプロイ内で VMware Identity Manager を使用している場合は、vsphere.local と入力します。それ以外の場合は、値を空白のままにして、Enter キーを押します。

    フェデレーション ユーザーに関連付けられるドメイン名の入力

    すべてのフェデレーション ユーザーが属する Keystone ドメインを入力します。このドメインがない場合は、作成されます。

    フェデレーション ユーザーに関連付けられるグループの名前の入力(カンマ「,」区切り)

    フェデレーション ユーザーが含まれている 1 つ以上のグループを入力します。カスタム マッピングを使用する場合は、マッピング ファイルに含まれているすべてのグループを入力します。入力したグループがない場合は、作成されます。

    OpenID Connect サポートの有効化

    SAML を使用するには、false と入力します。OpenID Connect を使用するには、true と入力します。

    OAuth API ワークフローの有効化

    SAML を使用するには、false と入力します。OpenID Connect を使用するには、true と入力します。

    詳細設定の変更

    n と入力します。

  4. 更新された ID の設定をデプロイします。 
    sudo viocli identity configure

    ID 設定をデプロイすると、OpenStack サービスが一時的に中断されます。

タスクの結果

VMware Integrated OpenStackVMware Identity Manager と統合され、フェデレーション ユーザーおよびグループは OpenStack にインポートされます。VMware Integrated OpenStack ダッシュボードにアクセスすると、VMware Identity Manager ID プロバイダを選択して、フェデレーション ユーザーとしてログインすることができます。