第3章 RH-SSO の設定
RH-SSO インストールプロセスは本ガイドの対象範囲外です。Red Hat OpenStack Platform director デプロイメントとは別に配置されているノードに RH-SSO がすでにインストールされていることを前提とします。
-
RH-SSO URL は、
$FED_RHSSO_URL
変数で識別されます。 -
RH-SSO はマルチテナンシーをサポートし、レルム を使用してプロジェクト間の分離を可能にします。その結果、RH-SSO 操作は常にレルムのコンテキスト内で実行されます。本ガイドでは、サイト固有の変数
$FED_RHSSO_REALM
を使用して、使用されている RH-SSO レルムを特定します。 -
RH-SSO レルムは、事前に作成することができます(RH-SSO が IT グループで管理される場合と同様)、
keycloak-httpd-client-install
ツールは RH-SSO サーバーに管理者権限がある場合には作成することができます。
3.1. RH-SSO レルムの設定
RH-SSO レルムが利用可能になったら、RH-SSO Web コンソールを使用して、IdM に対するユーザーフェデレーション用にそのレルムを設定します。
-
左上隅のドロップダウンリストから
$FED_RHSSO_REALM
を選択します。 -
左側の
Configure
パネルからUser Federation
を選択します。 -
User Federation
パネルの右上隅にあるAdd provider ...
ドロップダウンリストから、ldap
を選択します。 以下のフィールドにこれらの値を入力し、
$FED_
サイト固有の変数に置き換えてください。プロパティー 値 コンソール表示名
Red Hat IDM
編集モード
READ_ONLY
登録の同期
Off
Vendor
Red Hat Directory Server
ユーザ名 LDAP 属性
uid
RDN LDAP 属性
uid
UUID LDAP 属性
ipaUniqueID
ユーザーオブジェクトクラス
inetOrgPerson, organizationalPerson
接続 URL
LDAPS://$FED_IPA_HOST
ユーザー DN
cn=users,cn=accounts,$FED_IPA_BASE_DN
認証タイプ
simple
バインド DN
uid=rhsso,cn=sysaccounts,cn=etc,$FED_IPA_BASE_DN
バインド認証情報
$FED_IPA_RHSSO_SERVICE_PASSWD
-
Test connection
andTest authentication
ボタンを使用して、ユーザーフェデレーションが機能していることを確認します。 -
User Federation
パネルの下部にあるSave
をクリックして、新しいユーザーフェデレーションプロバイダーを保存します。 -
作成した Red Hat IDM ユーザーフェデレーションページの上部にある
Mappers
タブをクリックします。 - ユーザーのグループ情報を取得するマッパーを作成します。つまり、ユーザーのグループメンバーシップが SAML アサーションで返されます。後でグループメンバーシップを使用して OpenStack で認証を行います。
-
Mappers ページの右上にある
Create
ボタンをクリックします。 Add user fe mapper ページ
で、Mapper Type ドロップダウンリストからgroup-ldap-mapper
を選択し、Group Mapper
という名前を指定します。以下のフィールドにこれらの値を入力し、$FED_
サイト固有の変数に置き換えてください。プロパティー 値 LDAP グループ DN
cn=groups,cn=accounts„$FED_IPA_BASE_DN
グループ名 LDAP 属性
cn
グループオブジェクトクラス
groupOfNames
メンバーシップ LDAP 属性
member
メンバーシップ属性タイプ
DN
Mode
READ_ONLY
ユーザーグループの取得ストラテジー
GET_GROUPS_FROM_USER_MEMBEROF_ATTRIBUTE
-
Save
をクリックします。