Red Hat Summit1.4. IdM (Identity Management)
1.4.1. OpenStack Identity(keystone)
OpenStack Identity는 모든 OpenStack 구성 요소에 대한 사용자 인증 및 권한 부여를 제공합니다. ID는 사용자 이름 및 암호 자격 증명, 토큰 기반 시스템 및 AWS 스타일 로그를 포함한 여러 인증 메커니즘을 지원합니다.
기본적으로 ID 서비스는 토큰, 카탈로그, 정책 및 ID 정보에 MariaDB 백엔드를 사용합니다. 이 백엔드는 개발 환경 또는 소규모 사용자 세트를 인증하는 것이 좋습니다. LDAP 및 SQL과 같은 여러 ID 백엔드를 동시에 사용할 수도 있습니다. 토큰 지속성을 위해 memcache 또는 Redis를 사용할 수도 있습니다.
ID는 SAML을 사용한 페더레이션을 지원합니다. 페더레이션 ID는 ID 공급자(IdP)와 ID가 최종 사용자에게 제공하는 서비스 간에 신뢰를 설정합니다.
페더레이션 ID 및 동시 다중 백엔드에는 Eventlet 배포 대신 ID API v3 및 Apache HTTPD 배포가 필요합니다.
OpenStack ID의 장점은 다음과 같습니다.
- 이름 및 암호와 같은 관련 정보를 포함한 사용자 계정 관리 사용자 지정 사용자 외에도 각 카탈로그 서비스에 대해 사용자를 정의해야 합니다. 예를 들어 glance 사용자는 이미지 서비스에 대해 정의해야 합니다.
- 테넌트 또는 프로젝트, 관리. 테넌트는 사용자 그룹, 프로젝트 또는 조직일 수 있습니다.
- 역할 관리. 역할에 따라 사용자 권한이 결정됩니다. 예를 들어 역할은 영업 담당자의 권한과 관리자 권한 간에 다를 수 있습니다.
- 도메인 관리. 도메인은 ID 서비스 엔티티의 관리 경계를 결정하고, 도메인이 사용자, 그룹 및 테넌트의 그룹을 나타내는 다중 테넌시를 지원합니다. 도메인에는 두 개 이상의 테넌트가 있을 수 있으며 동시 ID 공급자를 여러 개 사용하는 경우 각 공급자에는 하나의 도메인이 있습니다.
| Component | 설명 |
|---|---|
| openstack-keystone | 관리 및 공용 API와 함께 ID 서비스를 제공합니다. ID API v2 및 API v3 모두 지원됩니다. |
| Keystone | ID API에 액세스하는 명령줄 클라이언트입니다. |
다음 다이어그램에서는 ID가 다른 OpenStack 구성 요소를 사용하여 사용자를 인증하는 데 사용하는 기본 인증 흐름을 보여줍니다.
