Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

3.2. 将 Red Hat OpenStack Platform 与 Active Directory Federation 服务集成

使用 Active Directory Federation Services (ADFS)部署 Red Hat OpenStack Platform (RHOSP)后,您必须完成以下步骤将身份提供程序(IdP)与服务供应商(RHOSP)集成。

流程

  1. 创建一个联邦域: 

    openstack domain create <federated_domain_name>

    输出示例: 

    +-------------+----------------------------------+
| Field       | Value                            |
+-------------+----------------------------------+
| description |                              	 |
| enabled     | True                         	 |
| id          | b493634c9dbf4546a2d1988af181d7c9 |
| name        | my_domain                    	 |
| options     | {}                           	 |
| tags        | []                           	 |
+-------------+----------------------------------+

  2. 设置联邦身份提供程序。 

    openstack identity provider create --remote-id https://<adfs_fqdn>:9443/adfs --domain <domain_name> adfsIdP

    <adfs_fqdn > 替换为 Active Directory Federation Services 的完全限定域名,将 < federated_domain_name > 替换为在第 1 步中创建的联邦域的名称。

    输出示例: 

    +-------------------+-----------------------------------------------------+
| Field             | Value                                               |
+-------------------+-----------------------------------------------------+
| authorization_ttl | None                                                |
| description       | None                                                |
| domain_id         | b493634c9dbf4546a2d1988af181d7c9                    |
| enabled           | True                                                |
| id                | adfsIdP                                             |
| remote_ids        | https:/adfs.fqdn.local/adfs/                        |
+-------------------+-----------------------------------------------------+

  3. 创建映射文件.映射文件对您的云的身份需求是唯一的。

    Example: 

 cat > mapping.json << EOF
[
    {
        "local": [
            {
                "user": {
                 "name": "{0}"
                },
                "group": {
                    "domain": {
                     "name": "<federated_domain>"
1 

                    },
                    "name": "<federated_group_name>"
2 

                }
            }
        ],
        "remote": [
            {
                "type": "OIDC-upn"
3 

            }
        ]
    }
]
EOF
1
federated_domain 是您在上一步中创建的域。
2
federated_group_name 选择一个名称。您将在后续步骤中创建此设置。
3
您必须使用 'OIDC-upn' 作为 ADFS 的声明 ID。

  1. 使用映射文件为 OpenStack 创建联合映射规则。在提供的示例中,从 mapping.json 文件创建的映射规则称为 ADmap

    openstack mapping create --rules <file> <name>

    例如: 

$ openstack mapping create --rules mapping.json ADmap

  1. 创建一个联邦组: 

    openstack group create --domain <federation_domain> <federation_group_name>

  2. 创建 Identity 服务(keystone)项目: 

    openstack project create --domain <federation_domain> <federation_project_name>
  3. 将 Identity 服务联邦组添加到角色。 
openstack role add --group <federation_group_name> --group-domain <federation_domain> --project <federation_project_name> --project-domain <federation_domain> member

  1. 创建 OpenID 联邦协议: 

    openstack federation protocol create openid --mapping ADmap --identity-provider adfsIdP
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2026 Red Hat返回顶部