Security Association Markup Language (SAML) 2.0 プロトコルを使用する任意のサードパーティ ID プロバイダ ソリューションと VMware Integrated OpenStack を統合できます。VMware Integrated OpenStack の Keystone は、この構成ではサービス プロバイダとして機能します。
- VMware はサードパーティ ID プロバイダをサポートしていません。この手順に必要な情報を取得するには、ID プロバイダの管理者に確認してください。
- 同じ Active Directory バックエンドを持つ LDAP 認証とフェデレーションの両方に VMware Integrated OpenStack を接続しないでください。
SAML 2.0 を使用して VMware Integrated OpenStack と VMware Identity Manager を統合する場合は、VMware Identity Manager フェデレーションの設定を参照してください。
前提条件
- ID プロバイダのメタデータ ファイルの場所と、ファイル内の entityID 属性を決定します。
- VMware Integrated OpenStack デプロイから ID プロバイダの FQDN にアクセスできることを確認します。
- SAML2 属性マッピングでは、Keystone は SSO コンポーネントとして、Shibboleth を使用します。Shibboleth は、IdP のユーザー属性を Keystone が使用するローカル属性にマッピングします。ユーザー属性については、IdP 管理者に確認してください。
- SAML2 ルール マッピングでは、Keystone にはリモート ユーザーをローカル ドメイン、プロジェクト、グループにマッピングするためのルールが必要です。詳細については、https://docs.openstack.org/keystone/train/admin/federation/mapping_combinations.html にある OpenStack ドキュメントの「マッピングの組み合わせ」を参照してください。
- ID プロバイダ側で、サービス プロバイダを適切に構成する必要があります。サービス プロバイダのメタデータには、次の URL を使用してアクセスできます:https://<vio_public_endpoint>:5000/<your_idp_name>/Shibboleth.sso/Metadata
手順
結果
VMware Integrated OpenStack は ID プロバイダ ソリューションと統合され、フェデレーション ユーザーおよびグループは OpenStack にインポートされます。VMware Integrated OpenStack ダッシュボードにアクセスすると、指定した ID プロバイダを選択して、フェデレーション ユーザーとしてログインすることができます。
例: VMware Integrated OpenStack と Active Directory フェデレーション サービスの統合
次の手順では、ユーザー プリンシパル名 (UPN) に基づいて、VMware Integrated OpenStack と Active Directory フェデレーション サービス (ADFS) 間に ID フェデレーションを実装します。ADFS 構成の手順は参考用のサンプルです。実際のエンタープライズ構成は異なる場合があります。対応する VMware Integrated OpenStack SAML 構成は変更する必要があります。
この例では、VMware Integrated OpenStack デプロイのパブリック仮想 IP アドレスは 192.0.2.160 であり、ADFS ロールが adfs.example.com の Windows Server 仮想マシンに属しています。VMware Integrated OpenStack の ID プロバイダの名前は adfsvio
です。
- ADFS で、VMware Integrated OpenStack に証明書利用者信頼を追加します。
- [ADFS 管理] で、 の順にクリックします。
- [開始] をクリックします。
- [証明書利用者についてのデータを手動で入力する] を選択して、[次へ] をクリックします。
- 表示名に OpenStack と入力し、[次へ] をクリックします。
- [ADFS プロファイル] を選択して、[次へ] をクリックします。
- [次へ] をクリックします。
- [SAML 2.0 WebSSO プロトコルのサポートを有効にする] を選択します。
- 証明書利用者の URL として https://192.0.2.160:5000/adfsvio/Shibboleth.sso/SAML2 と入力して、[次へ] をクリックします。
- 証明書利用者信頼 ID として https://192.0.2.160:5000/adfsvio と入力し、[追加] をクリックして、[次へ] をクリックします。
- [現時点ではこの証明書利用者信頼に多要素認証を構成しない] を選択して、[次へ] をクリックします。
- [すべてのユーザーに対してこの証明書利用者へのアクセスを許可する] を選択して、[次へ] をクリックします。
- [次へ] をクリックし、[要求規則の編集] を選択して、[閉じる] をクリックします。
- [ルールを追加...] をクリックします。
- [入力方向の要求をパス スルーまたはフィルタリング] を選択して、[次へ] をクリックします。
- ルール名として [UPN パススルー] と入力し、入力方向の要求のタイプに [UPN] を選択します。
- [すべての要求値をパス スルーする] を選択して、[終了] をクリックします。
- Integrated OpenStack Manager Web インターフェイスに
admin
ユーザーとしてログインします。 - [OpenStack デプロイ] で、デプロイの名前をクリックし、[管理] タブを開きます。
- [ID フェデレーション] タブで、[追加] をクリックします。
- [フェデレーション タイプ] ドロップダウン メニューから、[Generic SAML2] を選択します。
- 次の構成を入力します。
オプション 説明 [名前] adfsvio [説明] ADFS ID プロバイダ [属性マッピング] [ { "name": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", "id": "upn" } ]
[GENIRIC SAML2 エンティティ ID] http://adfs.example.com/adfs/services/trust [SAML2 メタデータ URL] https://adfs.example.com/federationmetadata/2007-06/federationmetadata.xml [SAML2 マッピング] [ { "local": [ { "user": { "name": "{0}" }, "group": { "domain": { "name": "adfs-users" }, "name": "Federated Users" } } ], "remote": [ { "type": "upn" } ] } ]
- [詳細設定] チェックボックスを選択します。
- [共通の詳細設定] を選択し、以下の構成を入力します。
オプション 説明 [ドメイン] adfs ユーザー [プロジェクト] テキスト ボックスを空にします。
[グループ] フェデレーション ユーザー
構成の検証と更新の完了後、VMware Integrated OpenStack ダッシュボードを開きます。これで、ADFS ID プロバイダを選択し、フェデレーション ユーザーとしてログインできるようになりました。
次のタスク
構成した ID プロバイダを削除するには、Integrated OpenStack Manager Web インターフェイスを選択し、[削除] をクリックします。次に、VMware Integrated OpenStack ダッシュボードにログインし、 の順に選択して、[ID プロバイダの登録解除] をクリックします。