VMware Identity Manager を ID プロバイダ ソリューションとして使用するように VMware Integrated OpenStack を設定できます。

ユーザーは Security Association Markup Language (SAML) 2.0 プロトコルまたは OpenID Connect (OIDC) プロトコルを介して VMware Identity Manager を認証できます。

  • SAML 2.0 ユーザーは、VMware Integrated OpenStack ダッシュボードを使用して認証する必要があります。OpenStack のコマンドライン インターフェイスは SAML 2.0 ではサポートされていません。
  • OpenID Connect ユーザーは、VMware Integrated OpenStack ダッシュ ボードまたは OpenStack コマンドライン インターフェイスを使用して認証できます。

前提条件

  • VMware Identity Manager をデプロイおよび構成します。詳細については、VMware Identity Manager ドキュメントを参照してください。
  • VMware Identity Manager インスタンスで自己署名証明書を使用している場合に OIDC プロトコルを使用するには、認証局が VMware Identity Manager で信頼された認証局としてインストールされていることを確認します。手順については、『VMware Identity Manager のインストールと構成』ドキュメントの信頼されているルート証明書のインストールを参照してください。
  • VMware Identity Manager インスタンスが VMware Integrated OpenStack 管理ネットワークと通信できることを確認します。
  • OpenStack の admin ユーザーと VMware Identity Manageradmin ユーザーを同じ Keystone ドメインに配置することはできません。フェデレーション ユーザーを default ドメインにインポートする場合は、VMware Identity Manageradmin ユーザーが、フェデレーションに使用する VMware Identity Manager グループに含まれていないことを確認してください。

手順

  1. Integrated OpenStack Manager Web インターフェイスに admin ユーザーとしてログインします。
  2. [OpenStack デプロイ] で、デプロイの名前をクリックし、[管理] タブを開きます。
  3. [ID フェデレーション] タブで、[追加] をクリックします。
  4. [フェデレーション タイプ] ドロップダウン メニューから、[VIDM] を選択します。
  5. 必須パラメータを入力します。
    オプション 説明
    [プロトコル タイプ]

    ID プロトコルとして [SAML2] または [OIDC] を選択します。

    [名前]

    ID プロバイダの名前を入力します。

    注: ID プロバイダ名は、ID プロバイダを追加した後に変更することはできません。
    [説明]

    ID プロバイダの説明を入力します。

    [VIDM アドレス]

    VMware Identity Manager インスタンスの FQDN をプロトコルなしで入力します(例:vidm.example.com)。

    注: FQDN は一意である必要があります。1 つの VMware Identity Manager インスタンスを 2 つの別個の ID プロバイダとして VMware Integrated OpenStack に追加することはできません。
    [VIDM ユーザー名]

    VMware Identity Manager 管理者のユーザー名を入力します。

    [VIDM パスワード]

    指定された管理者のパスワードを入力します。

    [VIDM 検証の証明書]

    VMware Identity Manager 証明書を検証するために、チェックボックスを選択します。

    重要: VMware Identity Manager インスタンスで自己署名証明書を使用している場合に OIDC プロトコルを選択したときは、証明書を検証する必要があります。
  6. (オプション) [詳細設定] チェックボックスを選択して、追加のパラメータを構成します。
    1. [共通の詳細設定] で、フェデレーション ユーザーのインポート先となる OpenStack ドメイン、プロジェクト、グループを入力します。
      注:
      • ドメイン、プロジェクト、またはグループを入力しない場合は、次のデフォルト値が使用されます。
        • ドメイン:federated_domain
        • プロジェクト:federated_project
        • グループ:federated_group
      • ドメイン名として federated は入力しないでください。この名前は、Keystone によって予約済みです。
      • カスタム マッピングを指定する場合は、それらのマッピングに含まれているすべての OpenStack ドメイン、プロジェクト、グループを入力する必要があります。
    2. [属性マッピング] フィールドに追加の属性を JSON 形式で入力するか、必要な属性を含む JSON ファイルをアップロードします。
    3. [VIDM 詳細設定] で、ユーザーのインポート元となる VMware Identity Manager テナントとグループを入力します。
      vRealize Automation デプロイで VMware Identity Manager インスタンスを使用している場合は、テナントとして vsphere.local を入力します。スタンドアローンの VMware Identity Manager インスタンスを使用している場合は、テナントを入力しないでください。
    4. [SAML2 詳細設定] で、VMware Identity Manager インスタンスのフェデレーション メタデータ ファイルの URL を入力します。
    5. [SAML2 マッピング] フィールドに SAML マッピングを JSON 形式で入力するか、必要なマッピングを含む JSON ファイルをアップロードします。
    6. [OIDC 詳細設定] で、VMware Identity Manager インスタンスのフェデレーション メタデータ ファイルの URL を入力します。
    7. [OIDC マッピング] フィールドに OIDC マッピングを JSON 形式で入力するか、必要なマッピングを含む JSON ファイルをアップロードします。
    8. [マップされたマッピング] フィールドに OAuth マッピングを JSON 形式で入力するか、必要なマッピングを含む JSON ファイルをアップロードします。
  7. [OK] をクリックします。

結果

VMware Integrated OpenStackVMware Identity Manager 内で Web アプリケーションとして作成され、フェデレーション ユーザーとグループは VMware Identity Manager から OpenStack にインポートされます。VMware Integrated OpenStack ダッシュボードにアクセスすると、VMware Identity Manager ID プロバイダを選択して、フェデレーション ユーザーとしてログインすることができます。

フェデレーション ユーザーには、メンバーのロールが自動的に割り当てられます。必要に応じて、OpenStack コマンドライン インターフェイスを使用して、フェデレーション ユーザーにクラウド管理者の権限を割り当てることができます。

注: ID フェデレーションを使用する場合は、パブリック OpenStack エンドポイントを介して VMware Integrated OpenStack ダッシュボードにアクセスする必要があります。フェデレーション ユーザーとしてログインする際は、プライベート OpenStack エンドポイントまたはコントローラの IP アドレスを使用しないでください。

次のタスク

同じ VMware Identity Manager インスタンスを使用する新しい ID フェデレーションを作成する場合は、構成済みの ID プロバイダを削除し、削除が完了していることを確認してからそのプロバイダを再度追加します。

構成済みの ID プロバイダを削除するには、Integrated OpenStack Manager の Web インターフェイスでそのプロバイダを選択し、[削除] をクリックしてから、削除が完了するまで待機します。