您可以設定 VMware Integrated OpenStack 以使用 VMware Identity Manager 做為身分識別提供者解決方案。
使用者可透過安全性關聯標記語言 (SAML) 2.0 通訊協定或 OpenID Connect (OIDC) 通訊協定使用 VMware Identity Manager 進行驗證。
- SAML 2.0 使用者必須使用 VMware Integrated OpenStack 儀表板進行驗證。SAML 2.0 不支援 OpenStack 命令列介面。
- OpenID Connect 使用者可以使用 VMware Integrated OpenStack 儀表板或 OpenStack 命令列介面進行驗證。
必要條件
- 部署和設定 VMware Identity Manager。如需詳細資訊,請參閱 VMware Identity Manager 說明文件。
- 如果您想要使用 OIDC 通訊協定,並且您的 VMware Identity Manager 執行個體使用自我簽署的憑證,則確保在 VMware Identity Manager 中將 CA 安裝為受信任的 CA。如需相關指示,請參閱《安裝和設定 VMware Identity Manager》文件中的安裝受信任的根憑證。
- 確保 VMware Identity Manager 執行個體可與 VMware Integrated OpenStack 管理網路進行通訊。
- OpenStack
admin
使用者和 VMware Identity Manageradmin
使用者不能位於同一個 Keystone 網域中。如果您想要將同盟使用者匯入default
網域,請確保 VMware Identity Manageradmin
使用者不屬於您用於聯盟的 VMware Identity Manager 群組。
程序
- 以
admin
使用者身分登入 Integrated OpenStack Manager Web 介面。 - 在 OpenStack 部署中,按一下部署名稱,然後開啟管理索引標籤。
- 在身分識別聯盟索引標籤上,按一下新增。
- 從聯盟類型下拉式功能表中,選取 VIDM。
- 輸入必要的參數。
選項 說明 通訊協定類型 選取 SAML2 或 OIDC 做為身分識別通訊協定。
名稱 輸入身分識別提供者的名稱。
備註: 新增身分識別提供者後,無法變更身分識別提供者名稱。說明 輸入身分識別提供者的說明。
VIDM 位址 在沒有通訊協定的情況下輸入 VMware Identity Manager 執行個體的 FQDN (例如 vidm.example.com)。
備註: FQDN 必須是唯一的。無法將單一 VMware Identity Manager 執行個體新增至 VMware Integrated OpenStack 做為兩個單獨的身分識別提供者。VIDM 使用者名稱 輸入 VMware Identity Manager 管理員的使用者名稱。
VIDM 密碼 輸入指定管理員的密碼。
VIDM 驗證憑證 選取此核取方塊以驗證 VMware Identity Manager 憑證。
重要: 如果您已選取 OIDC 通訊協定,並且您的 VMware Identity Manager 執行個體使用自我簽署的憑證,則必須驗證憑證。 - (選擇性) 選取進階設定核取方塊以設定其他參數。
- 在一般進階設定下,輸入將要匯入同盟使用者的 OpenStack 網域、專案以及群組。
備註:
- 如果您未輸入網域、專案或群組,將使用下列預設值:
- 網域:
federated_domain
- 專案:
federated_project
- 群組:
federated_group
- 網域:
- 請勿輸入
federated
做為網域名稱。Keystone 已保留此名稱。 - 如果您提供自訂對應,則必須輸入這些對應中包含的所有 OpenStack 網域、專案和群組。
- 如果您未輸入網域、專案或群組,將使用下列預設值:
- 在屬性對應欄位中,以 JSON 格式輸入其他屬性或上傳包含所需屬性的 JSON 檔案。
- 在 VIDM 進階設定下,輸入 VMware Identity Manager 承租人和要從中匯入使用者的群組。
如果您在 vRealize Automation 部署中使用 VMware Identity Manager 執行個體,請輸入 vsphere.local 做為承租人。如果您使用獨立的 VMware Identity Manager 執行個體,請勿輸入承租人。
- 在 SAML2 進階設定下,輸入 VMware Identity Manager 執行個體的聯盟中繼資料檔案的 URL。
- 在 SAML2 對應欄位中,以 JSON 格式輸入 SAML 對應或上傳包含所需對應的 JSON 檔案。
- 在 OIDC 進階設定下,輸入 VMware Identity Manager 執行個體的聯盟中繼資料檔案的 URL。
- 在 OIDC 對應欄位中,以 JSON 格式輸入 OIDC 對應或上傳包含所需對應的 JSON 檔案。
- 在已對應的對應欄位中,以 JSON 格式輸入 OAuth 對應或上傳包含所需對應的 JSON 檔案。
- 在一般進階設定下,輸入將要匯入同盟使用者的 OpenStack 網域、專案以及群組。
- 按一下確定。
結果
VMware Integrated OpenStack 會建立做為 VMware Identity Manager 中的 Web 應用程式,並且同盟使用者和群組將從 VMware Identity Manager 匯入至 OpenStack 中。存取 VMware Integrated OpenStack 儀表板時,您可以選擇 VMware Identity Manager 身分識別提供者以同盟使用者身分登入。
會自動為同盟使用者指派成員角色。如有必要,您可以使用 OpenStack 命令列介面,將雲端管理員權限指派給同盟使用者。
備註: 使用身分識別聯盟時,您必須透過公用 OpenStack 端點存取
VMware Integrated OpenStack 儀表板。請勿使用私有 OpenStack 端點或控制器 IP 位址以同盟使用者身分登入。