Red Hat Training

A Red Hat training course is available for Red Hat OpenStack Platform

第3章 Red Hat Single Sign-On の設定

Red Hat Single Sign-On (RH-SSO) はマルチテナンシーをサポートし、レルムを使用してテナント間の分離を可能にします。その結果、RH-SSO 操作は常にレルムのコンテキスト内で実行されます。レルムは手動で作成することも、RH-SSO サーバーで管理者権限がある場合は keycloak-httpd-client-install ツールを使用して作成することもできます。

前提条件

RH-SSO サーバーが完全にインストールされている必要があります。RH-SSO のインストールに関する詳細は、Server installation and configuration guide を参照してください。

以下に示すように、次の変数の定義が必要です。

<_RH_RHSSO_URL_>

The Red Hat Single Sign-On URL

<_FED_RHSSO_REALM_>

使用中の RH-SSO レルムを特定します。

3.1. RH-SSO レルムの設定

Red Hat Single Sign-On (RH-SSO) レルムが利用できる状態になったら、RH-SSO Web コンソールを使用して、IdM に対してユーザーフェデレーションのレルムを設定します。

手順

  1. 左上隅のドロップダウンリストから、RH-SSO レルムを選択します。
  2. Configure パネルから、User federated を選択します。
  3. User Federation パネルの Add provider ドロップダウンリストから、ldap を選択します。
  4. 以下のパラメーターの値を指定します。サイト固有の値はすべて、実際の環境に適した値に置き換えます。

    プロパティー

    コンソール表示名

    Red Hat IDM

    編集モード

    READ_ONLY

    登録の同期

    Off

    Vendor

    Red Hat Directory Server

    ユーザー名 LDAP 属性

    uid

    RDN LDAP 属性

    uid

    UUID LDAP 属性

    ipaUniqueID

    ユーザーオブジェクトクラス

    inetOrgPerson, organizationalPerson

    接続 URL

    LDAPS://<_FED_IPA_HOST_>

    ユーザー DN

    cn=users,cn=accounts,<_FED_IPA_BASE_DN_>

    認証タイプ

    simple

    バインド DN

    uid=rhsso,cn=sysaccounts,cn=etc,<_FED_IPA_BASE_DN_>

    バインド認証情報

    <_FED_IPA_RHSSO_SERVICE_PASSWD_>

  5. Test connection および Test authentication ボタンを使用して、ユーザーのフェデレーションが機能していることを確認します。
  6. Save をクリックして、新規ユーザーフェデレーションプロバイダーを保存します。
  7. 作成した Red Hat IdM ユーザーフェデレーションページの上部にある Mappers タブをクリックします。
  8. デバイスマッパーを作成してユーザーグループ情報を取得します。ユーザーのグループメンバーシップは SAM アサーションを返します。グループメンバーシップを使用して OpenStack で認証を提供します。
  9. Mappers ページで Create をクリックします。
  10. Add user federation mapper ページで、Mapper Type ドロップダウンリストから group-ldap-mapper を選択し、Group Mapper という名前を付けます。以下のパラメーターの値を指定します。サイト固有の値はすべて、実際の環境に適した値に置き換えます。

    プロパティー

    LDAP グループ DN

    cn=groups,cn=accounts„<_FED_IPA_BASE_DN_>

    グループ名 LDAP 属性

    cn

    グループオブジェクトクラス

    groupOfNames

    メンバーシップ LDAP 属性

    member

    メンバーシップ属性タイプ

    DN

    Mode

    READ_ONLY

    ユーザーグループの取得ストラテジー

    GET_GROUPS_FROM_USER_MEMBEROF_ATTRIBUTE

  11. Save をクリックします。