Security Association Markup Language (SAML) 2.0 プロトコルを使用する任意のサードパーティ ID プロバイダ ソリューションと VMware Integrated OpenStack を統合できます。

重要: サードパーティ ID プロバイダは、VMware でサポートされていません。この手順で必要な情報を取得するには、ID プロバイダの管理者にお問い合わせください。

SAML 2.0 を使用して VMware Integrated OpenStackVMware Identity Manager を統合する場合は、VMware Identity Manager フェデレーションの設定を参照してください。

前提条件

  • ID プロバイダをデプロイして構成します。そのメタデータ ファイルの場所と、そのファイルの entityID 属性の値を決定します。
  • VMware Integrated OpenStack デプロイから ID プロバイダの FQDN にアクセスできることを確認します。
  • マッピング ファイルを JSON 形式で作成します。詳細については、OpenStack ドキュメントのマッピングの組み合わせを参照してください。
  • マッピング ファイルでは、ドメイン名に federated を使用しないでください。この名前は、Keystone によって予約済みです。
  • SAML 属性マッピング ファイルを JSON 形式で作成します。次の構造を使用します。 
    [
    {
        "name": "attribute-1",
        "id": "id-1"
    },
    {
        "name": "attribute-2",
        "id": "id-2"
    },
    ...
]

手順

  1. Integrated OpenStack Manager Web インターフェイスに admin ユーザーとしてログインします。
  2. [OpenStack デプロイ] で、デプロイの名前をクリックし、[管理] タブを開きます。
  3. [ID フェデレーション] タブで、[追加] をクリックします。
  4. [フェデレーション タイプ] ドロップダウン メニューから、[Generic SAML2] を選択します。
  5. 必須パラメータを入力します。
    オプション 説明
    [名前]

    ID プロバイダの名前を入力します。
    [説明]

    ID プロバイダの説明を入力します。
    [属性マッピング]

    追加の SAML 属性を JSON 形式で入力するか、必要な属性を含む JSON ファイルをアップロードします。
    [GENIRIC SAML2 は安全ではありません]

    ID プロバイダの証明書を検証するために、このチェックボックスを選択解除します。
    [GENIRIC SAML2 エンティティ ID]

    ID プロバイダの entityID 属性を入力します。この値はフェデレーション メタデータ ファイルで確認できます。
    [SAML2 メタデータ URL]

    ID プロバイダのフェデレーション メタデータ ファイルの URL を入力します。
    [SAML2 マッピング]

    SAML マッピングを JSON 形式で入力するか、必要なマッピングを含む JSON ファイルをアップロードします。
  6. (オプション) [詳細設定] チェックボックスを選択して、追加のパラメータを構成します。
    1. [共通の詳細設定] で、フェデレーション ユーザーのインポート先となる OpenStack ドメイン、プロジェクト、グループを入力します。
      注:
      • ドメイン、プロジェクト、またはグループを入力しない場合は、次のデフォルト値が使用されます。
        • ドメイン:federated_domain
        • プロジェクト:federated_project
        • グループ:federated_group
      • ドメイン名として federated は入力しないでください。この名前は、Keystone によって予約済みです。
      • カスタム マッピングを指定する場合は、それらのマッピングに含まれているすべての OpenStack ドメイン、プロジェクト、グループを入力する必要があります。
  7. [OK] をクリックします。

結果

VMware Integrated OpenStack は ID プロバイダ ソリューションと統合され、フェデレーション ユーザーおよびグループは OpenStack にインポートされます。VMware Integrated OpenStack ダッシュボードにアクセスすると、指定した ID プロバイダを選択して、フェデレーション ユーザーとしてログインすることができます。

注: ID フェデレーションを使用する場合は、パブリック OpenStack エンドポイントを介して VMware Integrated OpenStack ダッシュボードにアクセスする必要があります。フェデレーション ユーザーとしてログインする際は、プライベート OpenStack エンドポイントまたはコントローラの IP アドレスを使用しないでください。

例: VMware Integrated OpenStack と Active Directory フェデレーション サービスの統合

次の手順では、ユーザー プリンシパル名 (UPN) に基づいて、VMware Integrated OpenStack と Active Directory フェデレーション サービス (AD FS) 間に ID フェデレーションを実装します。この例では、VMware Integrated OpenStack デプロイのパブリック仮想 IP アドレスは 192.0.2.160 であり、adfs.example.com にある Windows Server 仮想マシンに Active Directory フェデレーション サービス ロールが追加されています。VMware Integrated OpenStack での ID プロバイダの名前は adfsvio に設定されます。

  1. Active Directory フェデレーション サービスで、VMware Integrated OpenStack に証明書利用者信頼を追加します。
    1. [Active Directory フェデレーション サービスの管理][アクション] > [証明書利用者信頼の追加...] の順に選択します。
    2. [開始] をクリックします。
    3. [証明書利用者についてのデータを手動で入力する] を選択して、[次へ] をクリックします。
    4. 表示名に OpenStack と入力し、[次へ] をクリックします。
    5. [Active Directory フェデレーション サービス プロファイル] を選択して、[次へ] をクリックします。
    6. [次へ] をクリックします。
    7. [SAML 2.0 WebSSO プロトコルのサポートを有効にする] を選択します。
    8. 証明書利用者の URL として https://192.0.2.160:5000/adfsvio/Shibboleth.sso/SAML2 と入力して、[次へ] をクリックします。
    9. 証明書利用者信頼 ID として https://192.0.2.160:5000/adfsvio と入力し、[追加] をクリックして、[次へ] をクリックします。
    10. [現時点ではこの証明書利用者信頼に多要素認証を構成しない] を選択して、[次へ] をクリックします。
    11. [すべてのユーザーに対してこの証明書利用者へのアクセスを許可する] を選択して、[次へ] をクリックします。
    12. [次へ] をクリックし、[要求規則の編集] を選択して、[閉じる] をクリックします。
    13. [ルールを追加...] をクリックします。
    14. [入力方向の要求をパス スルーまたはフィルタリング] を選択して、[次へ] をクリックします。
    15. ルール名として [UPN パススルー] と入力し、入力方向の要求のタイプに [UPN] を選択します。
    16. [すべての要求値をパス スルーする] を選択して、[終了] をクリックします。
  2. Integrated OpenStack Manager Web インターフェイスに admin ユーザーとしてログインします。
  3. [OpenStack デプロイ] で、デプロイの名前をクリックし、[管理] タブを開きます。
  4. [ID フェデレーション] タブで、[追加] をクリックします。
  5. [フェデレーション タイプ] ドロップダウン メニューから、[Generic SAML2] を選択します。
  6. 以下の構成を入力します。
    オプション 説明
    [名前] adfsvio
    [説明] AD FS ID プロバイダ
    [属性マッピング] 
    [
    {
        "name": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
        "id": "upn"
    }
]
    [GENIRIC SAML2 エンティティ ID] http://adfs.example.com/adfs/services/trust
    [SAML2 メタデータ URL] https://adfs.example.com/federationmetadata/2007-06/federationmetadata.xml
    [SAML2 マッピング] 
    [
    {
        "local": [
            {
                "user": {
                    "name": "{0}"
                },
                "group": {
                    "domain": {
                        "name": "adfs-users"
                    },
                    "name": "Federated Users"
                }
            }
        ],
        "remote": [
            {
                "type": "upn"
            }
        ]
    }
]
  7. [詳細設定] チェックボックスを選択します。
  8. [共通の詳細設定] を選択し、以下の構成を入力します。
    オプション 説明
    [ドメイン] adfs ユーザー
    [プロジェクト]

    このフィールドは空白のままにします。
    [グループ] フェデレーション ユーザー

構成を確認し、更新してから、VMware Integrated OpenStack ダッシュボードを開きます。これで、Active Directory フェデレーション サービス ID プロバイダを選択し、フェデレーション ユーザーとしてログインできるようになりました。

次のタスク

構成済みの ID プロバイダを削除する必要がある場合は、まず Integrated OpenStack Manager の Web インターフェイスでそれを選択し、[削除] をクリックします。次に、VMware Integrated OpenStack ダッシュボードにログインし、[Identity] > [フェデレーション] > [ID プロバイダ] の順に選択して、[ID プロバイダの登録解除] をクリックします。