VMware Integrated OpenStack을 SAML(Security Association Markup Language) 2.0 프로토콜을 사용하는 타사 ID 제공자 솔루션과 통합할 수 있습니다.
SAML 2.0을 사용하여 VMware Integrated OpenStack을 VMware Identity Manager와 통합하려면 VMware Identity Manager 페더레이션 구성항목을 참조하십시오.
사전 요구 사항
- ID 제공자를 배포하고 구성합니다. 메타데이터 파일의 위치와 해당 파일의 entityID 특성 값을 확인합니다.
- VMware Integrated OpenStack 배포에서 ID 제공자의 FQDN에 액세스할 수 있는지 확인합니다.
- 매핑 파일을 JSON 형식으로 생성합니다. 자세한 내용은 OpenStack 설명서에서 매핑 조합 항목을 참조하십시오.
- 매핑 파일에는
federated를 도메인 이름으로 사용하지 마십시오. 이 이름은 Keystone에 예약되어 있습니다. - SAML 특성 매핑 파일을 JSON 형식으로 생성합니다. 다음 구조를 사용합니다.
[ { "name": "attribute-1", "id": "id-1" }, { "name": "attribute-2", "id": "id-2" }, ... ]
프로시저
- Integrated OpenStack Manager 웹 인터페이스에
admin사용자로 로그인합니다. - OpenStack 배포에서 배포 이름을 클릭하고 관리탭을 엽니다.
- ID 페더레이션 탭에서 추가를 클릭합니다.
- 페더레이션 유형 드롭다운 메뉴에서 일반 SAML2를 선택합니다.
- 필요한 매개 변수를 입력합니다.
옵션 설명 이름 ID 제공자의 이름을 입력합니다.
설명 ID 제공자에 대한 설명을 입력합니다.
특성 매핑 추가 SAML 특성을 JSON 형식으로 입력하거나 원하는 특성이 포함된 JSON 파일을 업로드합니다.
일반 SAML2 비보안 ID 제공자의 인증서를 검증하려면 확인란을 선택 취소합니다.
일반 SAML2 엔티티 ID ID 제공자에 대한 entityID 특성을 입력합니다. 이 값은 페더레이션 메타데이터 파일에서 찾을 수 있습니다.
SAML2 메타데이터 URL ID 제공자에 대한 페더레이션 메타데이터 파일의 URL을 입력합니다.
SAML2 매핑 SAML 매핑을 JSON 형식으로 입력하거나 원하는 매핑이 포함된 JSON 파일을 업로드합니다.
- (선택 사항) 추가 매개 변수를 구성하려면 고급 설정 확인란을 선택합니다.
- 일반 고급 설정에서 페더레이션 사용자를 가져올 OpenStack 도메인, 프로젝트 및 그룹을 입력합니다.
참고:
- 도메인, 프로젝트 또는 그룹을 입력하지 않으면 다음 기본값이 사용됩니다.
- 도메인:
federated_domain - 프로젝트:
federated_project - 그룹:
federated_group
- 도메인:
federated를 도메인 이름으로 입력하지 마십시오. 이 이름은 Keystone에 예약되어 있습니다.- 사용자 지정 매핑을 제공하는 경우 해당 매핑에 포함된 모든 OpenStack 도메인, 프로젝트 및 그룹을 입력해야 합니다.
- 도메인, 프로젝트 또는 그룹을 입력하지 않으면 다음 기본값이 사용됩니다.
- 일반 고급 설정에서 페더레이션 사용자를 가져올 OpenStack 도메인, 프로젝트 및 그룹을 입력합니다.
- 확인을 클릭합니다.
결과
VMware Integrated OpenStack 이 ID 제공자 솔루션과 통합되고 페더레이션된 사용자 및 그룹을 OpenStack으로 가져옵니다. VMware Integrated OpenStack 대시보드에 액세스할 때 페더레이션된 사용자로 로그인할 지정된 ID 제공자를 선택할 수 있습니다.
예: Active Directory Federation Services와 VMware Integrated OpenStack 통합
다음 절차는 UPN(사용자 계정 이름)을 기반으로 VMware Integrated OpenStack과 AD FS(Active Directory Federation Services) 간의 ID 페더레이션을 구현합니다. 이 예에서 VMware Integrated OpenStack 배포의 공용 가상 IP 주소는 192.0.2.160이고 AD FS 역할이 adfs.example.com에 있는 Windows Server 가상 시스템에 추가되었습니다. VMware Integrated OpenStack의 ID 제공자 이름은 adfsvio로 설정됩니다.
- AD FS에서 VMware Integrated OpenStack에 대한 신뢰 당사자 트러스트를 추가합니다.
- AD FS 관리에서 를 선택합니다.
- 시작을 클릭합니다.
- 수동으로 신뢰 당사자 관련 데이터 입력을 선택하고 다음을 클릭합니다.
- 표시 이름으로 OpenStack을 입력하고 다음을 클릭합니다.
- AD FS 프로필을 선택하고 다음을 클릭합니다.
- 다음을 클릭합니다.
- SAML 2.0 WebSSO 프로토콜 지원 사용을 선택합니다.
- 신뢰 당사자 URL로 https://192.0.2.160:5000/adfsvio/Shibboleth.sso/SAML2를 입력하고 다음을 클릭합니다.
- 신뢰 당사자 트러스트 식별자로 https://192.0.2.160:5000/adfsvio를 입력하고 추가를 클릭한 후 다음을 클릭합니다.
- 다단계 인증을 구성하지 않음을 선택하고 다음을 클릭합니다.
- 이 신뢰 당사자에 대한 모든 사용자 액세스 허용을 선택하고 다음을 클릭합니다.
- 다음을 클릭하고 클레임 규칙 편집을 선택한 다음 닫기를 클릭합니다.
- 규칙 추가...를 클릭합니다.
- 들어오는 클레임 통과 또는 필터링을 선택하고 다음을 클릭합니다.
- 규칙 이름으로 UPN 통과를 입력하고 들어오는 클레임 유형으로 UPN을 선택합니다.
- 모든 클레임 값 통과를 선택하고 마침을 클릭합니다.
- Integrated OpenStack Manager 웹 인터페이스에
admin사용자로 로그인합니다. - OpenStack 배포에서 배포 이름을 클릭하고 관리 탭을 엽니다.
- ID 페더레이션 탭에서 추가를 클릭합니다.
- 페더레이션 유형 드롭다운 메뉴에서 일반 SAML2를 선택합니다.
- 다음 구성을 입력합니다.
옵션 설명 이름 adfsvio 설명 AD FS ID 제공자 특성 매핑 [ { "name": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn", "id": "upn" } ]일반 SAML2 엔티티 ID http://adfs.example.com/adfs/services/trust SAML2 메타데이터 URL https://adfs.example.com/federationmetadata/2007-06/federationmetadata.xml SAML2 매핑 [ { "local": [ { "user": { "name": "{0}" }, "group": { "domain": { "name": "adfs-users" }, "name": "Federated Users" } } ], "remote": [ { "type": "upn" } ] } ] - 고급 설정 확인란을 선택합니다.
- 일반 고급 설정을 선택하고 다음 구성을 입력합니다.
옵션 설명 도메인 adfs-users 프로젝트 이 필드는 비워둡니다.
그룹 Federated Users
구성이 검증되고 업데이트되면 VMware Integrated OpenStack 대시보드를 엽니다. 이제 AD FS ID 제공자를 선택하고 페더레이션된 사용자로 로그인할 수 있습니다.
다음에 수행할 작업
구성된 ID 제공자를 삭제해야 하는 경우 먼저 Integrated OpenStack Manager 웹 인터페이스에서 해당 항목을 선택한 후 삭제를 클릭합니다. 그런 다음 VMware Integrated OpenStack 대시보드에 로그인하여 를 선택하고 원하는 제공자를 선택한 후 ID 제공자 등록 취소를 클릭합니다.
