設定 VMware Identity Manager 聯盟

您可以設定 VMware Integrated OpenStack 以使用 VMware Identity Manager 做為身分識別提供者解決方案。

使用者可透過安全性關聯標記語言 (SAML) 2.0 通訊協定或 OpenID Connect (OIDC) 通訊協定使用 VMware Identity Manager 進行驗證。

SAML 2.0 使用者必須使用 VMware Integrated OpenStack 儀表板進行驗證。SAML 2.0 不支援 OpenStack 命令列介面。
OpenID Connect 使用者可以使用 VMware Integrated OpenStack 儀表板或 OpenStack 命令列介面進行驗證。

先決條件

部署和設定 VMware Identity Manager 3.3 或更新版本。
確保 VMware Identity Manager 執行個體可與 VMware Integrated OpenStack 管理網路進行通訊。

備註：

VMware Integrated OpenStack 部署只能包含一個同盟身分識別提供者。您可以執行 viocli federation identity-provider list 以顯示所有設定的身分識別提供者，並執行 viocli federation identity-provider remove 以按識別碼將其移除。

程序

以 viouser 身分登入 OpenStack 管理伺服器。
新增 VMware Identity Manager 做為身分識別提供者。
```
sudo viocli federation identity-provider add --type vidm
```

出現提示時，輸入下列資訊。

選項	說明
身分識別提供者名稱	輸入身分識別提供者的名稱。此名稱用於 OpenStack 管理伺服器命令列作業，不能包含特殊字元或空格。
身分識別提供者顯示名稱 (適用於 Horizon)	輸入身分識別提供者的顯示名稱。使用者登入 VMware Integrated OpenStack 儀表板時，可在執行驗證時使用下看到此名稱。
說明	(選擇性) 輸入身分識別提供者的說明。
vIDM 端點位址	輸入 VMware Identity Manager 執行個體的 FQDN (例如 https://vxlan-vm-2-10.network.example.com)。
vIDM Admin 使用者	輸入 VMware Identity Manager 管理員的使用者名稱。
vIDM Admin 密碼	為 VMware Identity Manager 管理員輸入密碼。
建立 TLS/SSL 連線時不會驗證憑證	輸入 `false` 驗證 TLS 憑證，或輸入 `true` 停用憑證驗證。
vIDM 承租人名稱	如果您想要在 vRealize Automation 部署中使用 VMware Identity Manager，請輸入 `vsphere.local`。否則，將值保留空白，然後按 Enter 鍵。
輸入同盟使用者相關聯的網域的名稱	輸入所有同盟使用者所屬的 Keystone 網域。如果此網域不存在，則會建立一個。
輸入同盟使用者相關聯的群組名稱 (以逗號「,」分隔)	輸入包含同盟使用者的一或多個群組。如果您要使用自訂對應，請輸入對應檔案中包含的所有群組。如果您輸入的群組不存在，則會建立這些群組。
是否要啟用 OpenID Connect 支援	輸入 `false` 使用 SAML，或輸入 `true` 使用 OpenID Connect。
是否要啟用 OAuth API 工作流程	輸入 `false` 使用 SAML，或輸入 `true` 使用 OpenID Connect。
是否要變更進階設定	輸入 `n`。

部署更新的身分識別組態。
```
sudo viocli identity configure
```
部署身分識別組態會暫時中斷 OpenStack 服務。

結果

VMware Identity Manager 與 VMware Integrated OpenStack 進行整合，且同盟使用者和群組將匯入到 OpenStack 中。存取 VMware Integrated OpenStack 儀表板時，您可以選擇 VMware Identity Manager 身分識別提供者以同盟使用者身分登入。