VMware Identity Manager를 ID 제공자 솔루션으로 사용하도록 VMware Integrated OpenStack을 구성할 수 있습니다.

사용자는 SAML(Security Association Markup Language) 2.0 프로토콜 또는 OIDC(OpenID Connect) 프로토콜을 통해 VMware Identity Manager를 사용하여 인증할 수 있습니다.

  • SAML 2.0 사용자는 VMware Integrated OpenStack 대시보드를 사용하여 인증해야 합니다. OpenStack 명령줄 인터페이스는 SAML 2.0에 대해 지원되지 않습니다.
  • OpenID Connect 사용자는 VMware Integrated OpenStack 대시보드 또는 OpenStack 명령줄 인터페이스를 사용하여 인증할 수 있습니다.

사전 요구 사항

  • VMware Identity Manager을 배포 및 구성합니다. 자세한 내용은 VMware Identity Manager 설명서 항목을 참조하십시오.
  • OIDC 프로토콜을 사용해야 하고 VMware Identity Manager 인스턴스가 자체 서명된 인증서를 사용하는 경우에는 CA가 VMware Identity Manager에 신뢰할 수 있는 CA로 설치되어 있는지 확인합니다. 지침은 "VMware Identity Manager 설치 및 구성" 문서에서 신뢰할 수 있는 루트 인증서 설치 항목을 참조하십시오.
  • VMware Identity Manager 인스턴스에서 VMware Integrated OpenStack 관리 네트워크와 통신할 수 있는지 확인합니다.
  • OpenStack admin 사용자와 VMware Identity Manager admin 사용자는 동일한 Keystone 도메인에 있을 수 없습니다. 페더레이션 사용자를 default 도메인으로 가져오려면 VMware Identity Manager admin 사용자가 페더레이션에 사용하는 VMware Identity Manager 그룹에 속하지 않아야 합니다.

프로시저

  1. Integrated OpenStack Manager 웹 인터페이스에 admin 사용자로 로그인합니다.
  2. OpenStack 배포에서 배포 이름을 클릭하고 관리탭을 엽니다.
  3. ID 페더레이션 탭에서 추가를 클릭합니다.
  4. 페더레이션 유형 드롭다운 메뉴에서 VIDM을 선택합니다.
  5. 필요한 매개 변수를 입력합니다.
    옵션 설명
    프로토콜 유형

    SAML2 또는 OIDC를 ID 프로토콜로 선택합니다.

    이름

    ID 제공자의 이름을 입력합니다.

    참고: ID 제공자가 추가된 후에는 ID 제공자 이름을 변경할 수 없습니다.
    설명

    ID 제공자에 대한 설명을 입력합니다.

    vIDM 주소

    VMware Identity Manager 인스턴스의 FQDN을 프로토콜 없이 입력합니다(예: vidm.example.com).

    참고: FQDN은 고유해야 합니다. 단일 VMware Identity Manager 인스턴스를 두 개의 개별 ID 제공자로 VMware Integrated OpenStack에 추가할 수 없습니다.
    vIDM 사용자 이름

    VMware Identity Manager 관리자의 사용자 이름을 입력합니다.

    vIDM 암호

    지정된 관리자의 암호를 입력합니다.

    vIDM 인증서 확인

    VMware Identity Manager 인증서의 유효성을 검사하려면 확인란을 선택합니다.

    중요: OIDC 프로토콜을 선택했고 VMware Identity Manager 인스턴스가 자체 서명된 인증서를 사용하는 경우에는 인증서의 유효성을 검사해야 합니다.
  6. (선택 사항) 추가 매개 변수를 구성하려면 고급 설정 확인란을 선택합니다.
    1. 일반 고급 설정에서 페더레이션 사용자를 가져올 OpenStack 도메인, 프로젝트 및 그룹을 입력합니다.
      참고:
      • 도메인, 프로젝트 또는 그룹을 입력하지 않으면 다음 기본값이 사용됩니다.
        • 도메인: federated_domain
        • 프로젝트: federated_project
        • 그룹: federated_group
      • federated를 도메인 이름으로 입력하지 마십시오. 이 이름은 Keystone에 예약되어 있습니다.
      • 사용자 지정 매핑을 제공하는 경우 해당 매핑에 포함된 모든 OpenStack 도메인, 프로젝트 및 그룹을 입력해야 합니다.
    2. 특성 매핑 필드에 추가 특성을 JSON 형식으로 입력하거나 원하는 특성이 포함된 JSON 파일을 업로드합니다.
    3. vIDM 고급 설정에 사용자를 가져올 VMware Identity Manager 테넌트 및 그룹을 입력합니다.
      vRealize Automation 배포에서 VMware Identity Manager인스턴스를 사용하는 경우 vsphere.local을 테넌트로 입력합니다. 독립형 VMware Identity Manager 인스턴스를 사용하는 경우에는 테넌트를 입력하지 마십시오.
    4. SAML2 고급 설정에서 VMware Identity Manager 인스턴스에 대한 페더레이션 메타데이터 파일의 URL을 입력합니다.
    5. SAML2 매핑 필드에 SAML 매핑을 JSON 형식으로 입력하거나 원하는 매핑이 포함된 JSON 파일을 업로드합니다.
    6. OIDC 고급 설정에서 VMware Identity Manager 인스턴스에 대한 페더레이션 메타데이터 파일의 URL을 입력합니다.
    7. OIDC 매핑 필드에 OIDC 매핑을 JSON 형식으로 입력하거나 원하는 매핑이 포함된 JSON 파일을 업로드합니다.
    8. 매핑된 매핑 필드에 OAuth 매핑을 JSON 형식으로 입력하거나 원하는 매핑이 포함된 JSON 파일을 업로드합니다.
  7. 확인을 클릭합니다.

결과

VMware Integrated OpenStackVMware Identity Manager에서 웹 애플리케이션으로 생성되고, VMware Identity Manager에서 OpenStack으로 페더레이션된 사용자와 그룹을 가져옵니다. VMware Integrated OpenStack 대시보드에 액세스할 때 VMware Identity Manager ID 제공자를 선택하여 페더레이션된 사용자로 로그인할 수 있습니다.

페더레이션된 사용자에게는 멤버 역할이 자동으로 할당됩니다. 필요한 경우 OpenStack 명령줄 인터페이스를 사용하여 페더레이션된 사용자에게 클라우드 관리자 권한을 할당할 수 있습니다.

참고: ID 페더레이션을 사용하는 경우 공용 OpenStack 끝점을 통해 VMware Integrated OpenStack 대시보드에 액세스해야 합니다. 전용 OpenStack 끝점 또는 컨트롤러 IP 주소를 사용하여 페더레이션된 사용자로 로그인하지 마십시오.

다음에 수행할 작업

동일한 VMware Identity Manager 인스턴스를 사용하는 새 ID 페더레이션을 생성하려면 구성된 ID 제공자를 삭제하고 삭제가 완료되었는지 확인한 후에 다시 추가해야 합니다.

구성된 ID 제공자를 삭제하려면 먼저 Integrated OpenStack Manager 웹 인터페이스에서 선택하고 삭제를 클릭한 후 삭제가 완료될 때까지 기다립니다.