4.20. OpenStack でのアイデンティティープロバイダーの作成

IdP を keystone に登録する必要があります。これにより、SAML アサーションの entityID と keystone の IdP の名前の間にバインディングが作成されます。

RH-SSO IdP の entityID を特定する必要があります。この値は、keycloak-httpd-client-install の実行時に取得された IdP メタデータにあります。IdP メタデータは、/var/lib/config-data/puppet-generated/keystone/etc/httpd/saml2/v3_keycloak_$FED_RHSSO_REALM_idp_metadata.xml ファイルに保存されます。先のステップでは、mellon 設定アーカイブを取得して fed_deployment 作業エリアに抽出しました。これにより、fed_deployment/var/lib/config-data/puppet-generated/keystone/etc/httpd/saml2/v3_keycloak_$FED_RHSSO_REALM_idp_metadata.xml に IdP メタ データを確認できます。IdP メタデータファイルでは、entityID 属性を持つ <EntityDescriptor > 要素があります。entityID 属性の値が必要です。たとえば、本書では $FED_IDP_ENTITY_ID 変数に保存されていることを仮定します。変数 $FED_OPENSTACK_IDP_NAME に割り当てられた IdP rhsso の名前を付けることができます。以下に例を示します。

$ openstack identity provider create --remote-id $FED_IDP_ENTITY_ID $FED_OPENSTACK_IDP_NAME