從 VMware Integrated OpenStack 3.1 開始,您可以將 VMware Integrated OpenStack 部署與 VMware Identity Manager 整合。
透過將 VMware Integrated OpenStack 與 VMware Identity Manager 整合,您即可在多個授權雲端中提供的多個端點之間,安全地使用現有認證存取雲端資源,例如伺服器、磁碟區和資料庫。您會擁有一組認證,無需佈建其他身分或多次登入。此認證會由使用者的身分識別提供者維護。
必要條件
- 確認 VMware Identity Manager 的版本為 2.8.0 或更新版本。
- 確認您可以管理員身分向 VMware Identity Manager 執行個體進行驗證。
程序
- 實作 custom.yml 檔案。
sudo mkdir -p /opt/vmware/vio/custom
sudo cp /var/lib/vio/ansible/custom/custom.yml.sample /opt/vmware/vio/custom/custom.yml
- 在文字編輯器中編輯 /opt/vmware/vio/custom/custom.yml 檔案,以針對您的環境進行設定。
- 在
Federation 下,取消下列參數的註解,然後設定適合您環境的值。
下列範例提供
VMware Identity Manager 最常用的組態指引。
| 參數 |
值 |
| federation_protocol |
saml2 |
| federation_idp_id |
vidm |
| federation_idp_name |
vIDM SSO |
| federation_idp_metadata_url |
https://IDP_HOSTNAME/SAAS/API/1.0/GET/metadata/idp.xml |
| federation_group |
Federated Users |
| federation_group_description |
Groups for all federated users |
| vidm_address |
IDP_URL |
| vidm_user |
vidm_administrative_user |
| vidm_password |
vidm_administrative_user_password |
| vidm_insecure |
False |
| vidm_group |
ALL USERS |
- 儲存 custom.yml 檔案。
- 啟用與 custom.yml 檔案中設定的設定聯盟。
viocli deployment configure --tags federation --limit controller,lb
整合作業成功完成後,
VMware Integrated OpenStack 儀表板會顯示新的
驗證方法下拉式功能表,讓使用者選擇驗證方法。
- 請先指派角色/專案至 VMware Identity Manager 使用者所屬的群組,此使用者才能登入 VMware Integrated OpenStack。
您可能必須在 Keystone 中建立一個群組,以對應到在
VMware Identity Manager 中找到且為使用者所屬的群組。對於
VMware Identity Manager 使用者,Keystone 不會自動建立群組,但會建立暫時的使用者。如果群組不存在,則使用者將成為預設
Federated Users 群組的成員。
- 以管理員身分登入 VMware Integrated OpenStack 儀表板。
- 在 [聯盟] 下,按一下對應以查看目前的對應。
- 按一下 [編輯] 以根據您的需求設定對應。
如需有關對應的詳細資訊,請參閱 OpenStack 說明文件中的
〈聯盟對應組合〉。
