您可以設定 VMware Integrated OpenStack 以使用 VMware Identity Manager 做為身分識別提供者解決方案。

使用者可透過安全性關聯標記語言 (SAML) 2.0 通訊協定或 OpenID Connect (OIDC) 通訊協定使用 VMware Identity Manager 進行驗證。

  • SAML 2.0 使用者必須使用 VMware Integrated OpenStack 儀表板進行驗證。SAML 2.0 不支援 OpenStack 命令列介面。
  • OpenID Connect 使用者可以使用 VMware Integrated OpenStack 儀表板或 OpenStack 命令列介面進行驗證。

必要條件

  • 部署和設定 VMware Identity Manager。如需詳細資訊,請參閱 VMware Identity Manager 說明文件
  • 如果您想要使用 OIDC 通訊協定,並且您的 VMware Identity Manager 執行個體使用自我簽署的憑證,則確保在 VMware Identity Manager 中將 CA 安裝為受信任的 CA。如需相關指示,請參閱《安裝和設定 VMware Identity Manager》文件中的安裝受信任的根憑證
  • 確保 VMware Identity Manager 執行個體可與 VMware Integrated OpenStack 管理網路進行通訊。
  • OpenStack admin 使用者和 VMware Identity Manager admin 使用者不能位於同一個 Keystone 網域中。如果您想要將同盟使用者匯入 default 網域,請確保 VMware Identity Manager admin 使用者不屬於您用於聯盟的 VMware Identity Manager 群組。
  • 必須使用不同的聯盟名稱將多個 VMware Integrated OpenStack 設定至同一個 VMware Identity Manager。

程序

  1. admin 使用者身分登入 Integrated OpenStack Manager Web 介面。
  2. OpenStack 部署中,按一下部署名稱,然後開啟管理索引標籤。
  3. 身分識別聯盟索引標籤上,按一下新增
  4. 聯盟類型下拉式功能表中,選取 VIDM
  5. 輸入必要的參數。
    選項 說明
    通訊協定類型

    選取 SAML2 OIDC 做為身分識別通訊協定。

    名稱

    輸入身分識別提供者的名稱。

    備註: 新增身分識別提供者後,無法變更身分識別提供者名稱。
    說明

    輸入身分識別提供者的說明。

    VIDM 位址

    在沒有通訊協定的情況下輸入 VMware Identity Manager 執行個體的 FQDN (例如 vidm.example.com)。

    備註: FQDN 必須是唯一的。無法將單一 VMware Identity Manager 執行個體新增至 VMware Integrated OpenStack 做為兩個單獨的身分識別提供者。
    VIDM 使用者名稱

    輸入 VMware Identity Manager 管理員的使用者名稱。

    VIDM 密碼

    輸入指定管理員的密碼。

    VIDM 驗證憑證

    選取此核取方塊以驗證 VMware Identity Manager 憑證。

    重要: 如果您已選取 OIDC 通訊協定,並且您的 VMware Identity Manager 執行個體使用自我簽署的憑證,則必須驗證憑證。
  6. (選擇性) 選取進階設定核取方塊以設定其他參數。
    1. 一般進階設定下,輸入將要匯入同盟使用者的 OpenStack 網域、專案以及群組。
      備註:
      • 如果您未輸入網域、專案或群組,將使用下列預設值:
        • 網域:federated_domain
        • 專案:federated_project
        • 群組:federated_group
      • 請勿輸入 federated 做為網域名稱。Keystone 已保留此名稱。
      • 如果您提供自訂對應,則必須輸入這些對應中包含的所有 OpenStack 網域、專案和群組。
    2. 屬性對應欄位中,以 JSON 格式輸入其他屬性或上傳包含所需屬性的 JSON 檔案。
    3. VIDM 進階設定下,輸入 VMware Identity Manager 承租人和要從中匯入使用者的群組。
      如果您在 vRealize Automation 部署中使用 VMware Identity Manager 執行個體,請輸入 vsphere.local 做為承租人。如果您使用獨立的 VMware Identity Manager 執行個體,請勿輸入承租人。
    4. SAML2 進階設定下,輸入 VMware Identity Manager 執行個體的聯盟中繼資料檔案的 URL。
    5. SAML2 對應欄位中,以 JSON 格式輸入 SAML 對應或上傳包含所需對應的 JSON 檔案。
    6. OIDC 進階設定下,輸入 VMware Identity Manager 執行個體的聯盟中繼資料檔案的 URL。
    7. OIDC 對應欄位中,以 JSON 格式輸入 OIDC 對應或上傳包含所需對應的 JSON 檔案。
    8. 已對應的對應欄位中,以 JSON 格式輸入 OAuth 對應或上傳包含所需對應的 JSON 檔案。
  7. 按一下確定

結果

VMware Integrated OpenStack 會建立做為 VMware Identity Manager 中的 Web 應用程式,並且同盟使用者和群組將從 VMware Identity Manager 匯入至 OpenStack 中。存取 VMware Integrated OpenStack 儀表板時,您可以選擇 VMware Identity Manager 身分識別提供者以同盟使用者身分登入。

會自動為同盟使用者指派成員角色。如有必要,您可以使用 OpenStack 命令列介面,將雲端管理員權限指派給同盟使用者。

備註: 使用身分識別聯盟時,您必須透過公用 OpenStack 端點存取 VMware Integrated OpenStack 儀表板。請勿使用私有 OpenStack 端點或控制器 IP 位址以同盟使用者身分登入。

後續步驟

如果您想要建立使用相同 VMware Identity Manager 執行個體的新身分識別聯盟,請刪除已設定的身分識別提供者,並確認刪除完成後再重新新增。

若要刪除已設定的身分識別提供者,請先在 Integrated OpenStack Manager Web 介面中選取該提供者,按一下刪除,然後等待刪除完成。