2.4. Identity

Red Hat Enterprise Linux OpenStack Platform では、階層型のオブジェクト所有がサポートされるようになりました。この機能により、RHEL OpenStack Platform の組織構造を変更して、Identity 内にネストされたプロジェクトを作成することが可能です。

フェデレーション対応の Identity により、アイデンティティープロバイダー (IdP) と OpenStack クラウドがエンドユーザーに提供するサービスとの間で、信頼関係が確立されます。フェデレーション対応の Identity は、既存の認証情報をセキュアに使用して、複数の認証済みクラウド環境にまたがるサーバー、ボリューム、データベースなどのクラウドリソースにアクセスする手段を提供します。これには、1 セットの認証情報のみを使用するので、追加の ID を提供したり、複数回ログインしたりする必要がありません。ユーザーおよびグループの認証情報は、そのユーザーのアイデンティティープロバイダーによって維持管理されます。

フェデレーションされたユーザーは、Identity Service のバックエンドではミラーリングされません (例: SQL ドライバーの使用)。外部のアイデンティティープロバイダーは、ユーザーを認証する役割を果し、SAML アサーションを使用して認証の結果を Identity Service に通知します。SAML アサーションには、アイデンティティープロバイダーにより提供されたユーザー情報が含まれます。Identity Service は SAML アサーションを、Identity Service で作成した Keystone ユーザーグループと割り当てにマッピングします。

RHEL OpenStack Platform は、ユーザーが Web ブラウザーを使用して、シングルサインオンのページで、既存のアイデンティティープロバイダー (IdP) と認証を行う機能をサポートするようになりました。