您可以將 VMware Integrated OpenStack 與使用安全性關聯標記語言 (SAML) 2.0 通訊協定的任何第三方身分識別提供者解決方案進行整合。

重要: VMware 不支援第三方身分識別提供者。請連絡您的身分識別提供者管理員,以取得此程序中所需的資訊。

如果您想要透過使用 SAML 2.0 將 VMware Integrated OpenStackVMware Identity Manager 整合,請參閱設定 VMware Identity Manager 聯盟

必要條件

  • 部署並設定身分識別提供者。確定其中繼資料檔案的位置,以及該檔案中 entityID 屬性的值。
  • 確保 VMware Integrated OpenStack 部署可以存取身分識別提供者的 FQDN。
  • 以 JSON 格式建立對應檔案。如需詳細資訊,請參閱 OpenStack 說明文件中的對應組合
  • 在對應檔案中,請勿使用 federated 做為網域名稱。Keystone 已保留此名稱。
  • 以 JSON 格式建立 SAML 屬性對應檔案。使用下列結構: 
    [
    {
        "name": "attribute-1",
        "id": "id-1"
    },
    {
        "name": "attribute-2",
        "id": "id-2"
    },
    ...
]

程序

  1. admin 使用者身分登入 Integrated OpenStack Manager Web 介面。
  2. OpenStack 部署中,按一下部署名稱,然後開啟管理索引標籤。
  3. 身分識別聯盟索引標籤上,按一下新增
  4. 聯盟類型下拉式功能表中,選取 Generic SAML2
  5. 輸入必要的參數。
    選項 說明
    名稱

    輸入身分識別提供者的名稱。
    說明

    輸入身分識別提供者的說明。
    屬性對應

    以 JSON 格式輸入其他 SAML 屬性,或上傳包含所需屬性的 JSON 檔案。
    Generic SAML2 不安全

    取消選取此核取方塊,以驗證身分識別提供者的憑證。
    Generic SAML2 實體識別碼

    輸入您的身分識別提供者的 entityID 屬性。您可以在聯盟中繼資料檔案中找到此值。
    SAML2 中繼資料 URL

    輸入身分識別提供者的聯盟中繼資料檔案的 URL。
    SAML2 對應

    以 JSON 格式輸入 SAML 對應,或上傳包含所需對應的 JSON 檔案。
  6. (選擇性) 選取進階設定核取方塊以設定其他參數。
    1. 一般進階設定下,輸入將要匯入同盟使用者的 OpenStack 網域、專案以及群組。
      備註:
      • 如果您未輸入網域、專案或群組,將使用下列預設值:
        • 網域:federated_domain
        • 專案:federated_project
        • 群組:federated_group
      • 請勿輸入 federated 做為網域名稱。Keystone 已保留此名稱。
      • 如果您提供自訂對應,則必須輸入這些對應中包含的所有 OpenStack 網域、專案和群組。
  7. 按一下確定

結果

VMware Integrated OpenStack 與您的身分識別提供者解決方案進行整合,且同盟使用者和群組將匯入到 OpenStack 中。存取 VMware Integrated OpenStack 儀表板時,您可以選擇指定的身分識別提供者以同盟使用者身分登入。

備註: 使用身分識別聯盟時,您必須透過公用 OpenStack 端點存取 VMware Integrated OpenStack 儀表板。請勿使用私人 OpenStack 端點或控制器 IP 位址以同盟使用者身分登入。

範例: 將 VMware Integrated OpenStack 與 Active Directory 聯盟服務整合

下列程序會根據使用者主體名稱 (UPN) 在 VMware Integrated OpenStack 與 Active Directory 聯盟服務 (AD FS) 之間實作身分識別聯盟。在此範例中,VMware Integrated OpenStack 部署的公用虛擬 IP 位址是 192.0.2.160,AD FS 角色已新增至位於 adfs.example.com 的 Windows Server 虛擬機器。VMware Integrated OpenStack 中的身分識別提供者的名稱將設定為 adfsvio

  1. 在 AD FS 中,為 VMware Integrated OpenStack 新增信賴方信任。
    1. AD FS 管理中,選取動作 > 新增信賴方信任...
    2. 按一下開始
    3. 選取手動輸入有關信賴方的資料,然後按下一步
    4. 輸入 OpenStack 做為顯示名稱,然後按下一步
    5. 選取 AD FS 設定檔,然後按下一步
    6. 下一步
    7. 選取啟用對 SAML 2.0 WebSSO 通訊協定的支援
    8. 輸入 https://192.0.2.160:5000/adfsvio/Shibboleth.sso/SAML2 做為信賴方 URL,然後按下一步
    9. 輸入 https://192.0.2.160:5000/adfsvio 做為信賴方信任識別碼,依序按一下新增下一步
    10. 選取我不想設定多重要素驗證,然後按下一步
    11. 選取允許所有使用者存取此信賴方,然後按下一步
    12. 下一步,選取編輯宣告規則,然後按一下關閉
    13. 按一下新增規則...
    14. 選取傳遞或篩選傳入宣告,然後按下一步
    15. 輸入 UPN 傳遞做為規則名稱,然後選取 UPN 做為傳入宣告類型。
    16. 選取傳遞所有宣告值,然後按一下完成
  2. admin 使用者身分登入 Integrated OpenStack Manager Web 介面。
  3. OpenStack 部署中,按一下部署名稱,然後開啟管理索引標籤。
  4. 身分識別聯盟索引標籤上,按一下新增
  5. 聯盟類型下拉式功能表中,選取 Generic SAML2
  6. 輸入下列組態。
    選項 說明
    名稱 adfsvio
    說明 AD FS identity provider
    屬性對應 
    [
    {
        "name": "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn",
        "id": "upn"
    }
]
    Generic SAML2 實體識別碼 http://adfs.example.com/adfs/services/trust
    SAML2 中繼資料 URL https://adfs.example.com/federationmetadata/2007-06/federationmetadata.xml
    SAML2 對應 
    [
    {
        "local": [
            {
                "user": {
                    "name": "{0}"
                },
                "group": {
                    "domain": {
                        "name": "adfs-users"
                    },
                    "name": "Federated Users"
                }
            }
        ],
        "remote": [
            {
                "type": "upn"
            }
        ]
    }
]
  7. 選取進階設定核取方塊。
  8. 選取一般進階設定,然後輸入下列組態。
    選項 說明
    網域 adfs-users
    專案

    將此欄位留空。
    群組 Federated Users

驗證並更新組態後,開啟 VMware Integrated OpenStack 儀表板。現在,您可以選取 AD FS 身分識別提供者,並以同盟使用者身分登入。

後續步驟

如果您需要刪除已設定的身分識別提供者,請先在 Integrated OpenStack Manager Web 介面中選取該提供者,然後按一下刪除。接著,登入 VMware Integrated OpenStack 儀表板,選取身分識別 > 聯盟 > 身分識別提供者,選取所需的提供者,然後按一下解除登錄身分識別提供者