<div dir="ltr">Hi<div><br></div><div style>THANKS again for another wonderful contribution!</div><div style><br></div><div style>For sure this would be quite useful for any OpenNebula user interested in federation. The patch  approach is totally aligned with the OpenNebula architecture so I think it can be mostly committed upstream as is. </div>

<div style><br></div><div style>I am planning this for 4.0 (we already have quite a bunch of things, but let's try). If this patch cannot make it for 4.0 it will be integrated after that. In any case the AuthZ/AuthN subsystem is now stable and the patch will easily apply to 4.0.</div>

<div style><br></div><div style>Again, thanks for this :)</div><div style><br></div><div style>Ruben</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Jan 17, 2013 at 3:30 PM, Mihály Héder <span dir="ltr"><<a href="mailto:mihaly.heder@sztaki.mta.hu" target="_blank">mihaly.heder@sztaki.mta.hu</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Dear All,<br>
<br>
let me introduce our OpenNebula Sunstone-SimpleSAMLphp integration solution:<br>
<a href="http://ssp-for-opennebula.sztaki.hu/" target="_blank">http://ssp-for-opennebula.sztaki.hu/</a><br>
<br>
And here is the corresponding patch in the issue tracker:<br>
<a href="http://dev.opennebula.org/issues/1731" target="_blank">http://dev.opennebula.org/issues/1731</a><br>
<br>
In a nutshell, with this solution we can use our SAML-based<br>
institutional Single Sign On system for delegating resources in our<br>
cloud. When a user first time accesses the Sunstone frontend, its user<br>
gets created within nebula. Based on an entitlement, he/she will be<br>
put in an OpenNebula group that was created with certain quotas for a<br>
project or department by us, administrators. Users can participate in<br>
many groups, in which case they have to choose their group for each<br>
session. Unfortunately nebula does not support multiple group<br>
membership, so we move these users each time using the auth module.<br>
<br>
Now we have this work flow to grant access to our cloud:<br>
-a bunch of people requests resources from the cloud for their fancy<br>
project. We call this bunch of people a Virtual Organization.<br>
-we create a nebula group for them with quotas. In our VO software we<br>
entitle some of these people to be VO managers. Then, they can invite,<br>
remove others, etc. People from other institutes in the<br>
national/european SAML federations can also be invited. But all this<br>
happens outside nebula so we only have to create the group and that's<br>
it. Moreover they can get e.g. their own trac or wiki that are also<br>
SAML enabled, and attached for the VO.  Then use Single Sign-On<br>
between them.<br>
<br>
Anyway, this patch and the corresponding simpleSAMLphp modules made<br>
our lives much easier. We hope it will help some of you out there as<br>
well. Unfortunately, because of the nature of the task many smaller<br>
changes scattered around the web code needed to be made, e.g. for<br>
disabling the normal login screen, etc. But these are not core stuff,<br>
so we hope one our patch can make it one day into the main code base.<br>
<br>
If you have any questions/suggestions don't hesitate to contact us!<br>
<br>
Cheers,<br>
Mihály Héder, Milán Unicsovics<br>
MTA SZTAKI ITAK<br>
_______________________________________________<br>
Users mailing list<br>
<a href="mailto:Users@lists.opennebula.org">Users@lists.opennebula.org</a><br>
<a href="http://lists.opennebula.org/listinfo.cgi/users-opennebula.org" target="_blank">http://lists.opennebula.org/listinfo.cgi/users-opennebula.org</a><br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br>Ruben S. Montero, PhD<br>Project co-Lead and Chief Architect<br>OpenNebula - The Open Source Solution for Data Center Virtualization<br><a href="http://www.OpenNebula.org" target="_blank">www.OpenNebula.org</a> | <a href="mailto:rsmontero@opennebula.org" target="_blank">rsmontero@opennebula.org</a> | @OpenNebula
</div>