4.5. 외부 ID 공급자로 인증
외부 ID 공급자(IdP)를 사용하여 OpenStack 서비스 공급자(SP)에 인증할 수 있습니다. SPS는 OpenStack 클라우드에서 제공하는 서비스입니다.
별도의 IdP를 사용하는 경우 외부 인증 자격 증명은 다른 OpenStack 서비스에서 사용하는 데이터베이스와 다릅니다. 이렇게 분리하면 저장된 인증 정보가 손상될 위험이 줄어듭니다.
각 외부 IdP에는 OpenStack ID 서비스(keystone) 도메인에 일대일 매핑이 있습니다. Red Hat OpenStack Platform과 공존하는 도메인을 여러 개 보유할 수 있습니다.
외부 인증을 사용하면 추가 ID를 생성하지 않고 기존 인증 정보를 사용하여 Red Hat OpenStack Platform의 리소스에 액세스할 수 있습니다. 인증 정보는 사용자의 IdP에 의해 유지 관리됩니다.
ID 관리를 위해 Red Hat IdM(Identity Management) 및 AD DS(Microsoft Active Directory Domain Services)와 같은 IdP를 사용할 수 있습니다. 이 구성에서 OpenStack Identity 서비스에는 LDAP 사용자 데이터베이스에 대한 읽기 전용 액세스 권한이 있습니다. 사용자 또는 그룹 역할을 기반으로 하는 API 액세스 관리는 keystone에 의해 수행됩니다. 역할은 OpenStack ID 서비스를 사용하여 LDAP 계정에 할당됩니다.
4.5.1. LDAP 통합의 작동 방식
아래 다이어그램에서 keystone은 암호화된 LDAPS 연결을 사용하여 Active Directory 도메인 컨트롤러에 연결합니다. 사용자가 Horizon에 로그인하면 keystone은 제공된 사용자 자격 증명을 수신하여 Active Directory에 전달합니다.