VMware Identity Manager를 ID 제공자 솔루션으로 사용하도록 VMware Integrated OpenStack을 구성할 수 있습니다.
사용자는 SAML(Security Association Markup Language) 2.0 프로토콜 또는 OIDC(OpenID Connect) 프로토콜을 통해 VMware Identity Manager를 사용하여 인증할 수 있습니다.
- SAML 2.0 사용자는 VMware Integrated OpenStack 대시보드를 사용하여 인증해야 합니다. OpenStack 명령줄 인터페이스는 SAML 2.0에 대해 지원되지 않습니다.
- OpenID Connect 사용자는 VMware Integrated OpenStack 대시보드 또는 OpenStack 명령줄 인터페이스를 사용하여 인증할 수 있습니다.
사전 요구 사항
- VMware Identity Manager을 배포 및 구성합니다. 자세한 내용은 VMware Identity Manager 설명서 항목을 참조하십시오.
- OIDC 프로토콜을 사용해야 하고 VMware Identity Manager 인스턴스가 자체 서명된 인증서를 사용하는 경우에는 CA가 VMware Identity Manager에 신뢰할 수 있는 CA로 설치되어 있는지 확인합니다. 지침은 "VMware Identity Manager 설치 및 구성" 문서에서 신뢰할 수 있는 루트 인증서 설치 항목을 참조하십시오.
- VMware Identity Manager 인스턴스에서 VMware Integrated OpenStack 관리 네트워크와 통신할 수 있는지 확인합니다.
- OpenStack
admin
사용자와 VMware Identity Manageradmin
사용자는 동일한 Keystone 도메인에 있을 수 없습니다. 페더레이션 사용자를default
도메인으로 가져오려면 VMware Identity Manageradmin
사용자가 페더레이션에 사용하는 VMware Identity Manager 그룹에 속하지 않아야 합니다.
프로시저
- Integrated OpenStack Manager 웹 인터페이스에
admin
사용자로 로그인합니다. - OpenStack 배포에서 배포 이름을 클릭하고 관리탭을 엽니다.
- ID 페더레이션 탭에서 추가를 클릭합니다.
- 페더레이션 유형 드롭다운 메뉴에서 VIDM을 선택합니다.
- 필요한 매개 변수를 입력합니다.
옵션 설명 프로토콜 유형 SAML2 또는 OIDC를 ID 프로토콜로 선택합니다.
이름 ID 제공자의 이름을 입력합니다.
참고: ID 제공자가 추가된 후에는 ID 제공자 이름을 변경할 수 없습니다.설명 ID 제공자에 대한 설명을 입력합니다.
vIDM 주소 VMware Identity Manager 인스턴스의 FQDN을 프로토콜 없이 입력합니다(예: vidm.example.com).
참고: FQDN은 고유해야 합니다. 단일 VMware Identity Manager 인스턴스를 두 개의 개별 ID 제공자로 VMware Integrated OpenStack에 추가할 수 없습니다.vIDM 사용자 이름 VMware Identity Manager 관리자의 사용자 이름을 입력합니다.
vIDM 암호 지정된 관리자의 암호를 입력합니다.
vIDM 인증서 확인 VMware Identity Manager 인증서의 유효성을 검사하려면 확인란을 선택합니다.
중요: OIDC 프로토콜을 선택했고 VMware Identity Manager 인스턴스가 자체 서명된 인증서를 사용하는 경우에는 인증서의 유효성을 검사해야 합니다. - (선택 사항) 추가 매개 변수를 구성하려면 고급 설정 확인란을 선택합니다.
- 일반 고급 설정에서 페더레이션 사용자를 가져올 OpenStack 도메인, 프로젝트 및 그룹을 입력합니다.
참고:
- 도메인, 프로젝트 또는 그룹을 입력하지 않으면 다음 기본값이 사용됩니다.
- 도메인:
federated_domain
- 프로젝트:
federated_project
- 그룹:
federated_group
- 도메인:
federated
를 도메인 이름으로 입력하지 마십시오. 이 이름은 Keystone에 예약되어 있습니다.- 사용자 지정 매핑을 제공하는 경우 해당 매핑에 포함된 모든 OpenStack 도메인, 프로젝트 및 그룹을 입력해야 합니다.
- 도메인, 프로젝트 또는 그룹을 입력하지 않으면 다음 기본값이 사용됩니다.
- 특성 매핑 필드에 추가 특성을 JSON 형식으로 입력하거나 원하는 특성이 포함된 JSON 파일을 업로드합니다.
- vIDM 고급 설정에 사용자를 가져올 VMware Identity Manager 테넌트 및 그룹을 입력합니다.
vRealize Automation 배포에서 VMware Identity Manager인스턴스를 사용하는 경우 vsphere.local을 테넌트로 입력합니다. 독립형 VMware Identity Manager 인스턴스를 사용하는 경우에는 테넌트를 입력하지 마십시오.
- SAML2 고급 설정에서 VMware Identity Manager 인스턴스에 대한 페더레이션 메타데이터 파일의 URL을 입력합니다.
- SAML2 매핑 필드에 SAML 매핑을 JSON 형식으로 입력하거나 원하는 매핑이 포함된 JSON 파일을 업로드합니다.
- OIDC 고급 설정에서 VMware Identity Manager 인스턴스에 대한 페더레이션 메타데이터 파일의 URL을 입력합니다.
- OIDC 매핑 필드에 OIDC 매핑을 JSON 형식으로 입력하거나 원하는 매핑이 포함된 JSON 파일을 업로드합니다.
- 매핑된 매핑 필드에 OAuth 매핑을 JSON 형식으로 입력하거나 원하는 매핑이 포함된 JSON 파일을 업로드합니다.
- 일반 고급 설정에서 페더레이션 사용자를 가져올 OpenStack 도메인, 프로젝트 및 그룹을 입력합니다.
- 확인을 클릭합니다.
결과
VMware Integrated OpenStack이 VMware Identity Manager에서 웹 애플리케이션으로 생성되고, VMware Identity Manager에서 OpenStack으로 페더레이션된 사용자와 그룹을 가져옵니다. VMware Integrated OpenStack 대시보드에 액세스할 때 VMware Identity Manager ID 제공자를 선택하여 페더레이션된 사용자로 로그인할 수 있습니다.
페더레이션된 사용자에게는 멤버 역할이 자동으로 할당됩니다. 필요한 경우 OpenStack 명령줄 인터페이스를 사용하여 페더레이션된 사용자에게 클라우드 관리자 권한을 할당할 수 있습니다.
다음에 수행할 작업
동일한 VMware Identity Manager 인스턴스를 사용하는 새 ID 페더레이션을 생성하려면 구성된 ID 제공자를 삭제하고 삭제가 완료되었는지 확인한 후에 다시 추가해야 합니다.
구성된 ID 제공자를 삭제하려면 먼저 Integrated OpenStack Manager 웹 인터페이스에서 선택하고 삭제를 클릭한 후 삭제가 완료될 때까지 기다립니다.