第 9 章应用程序凭证

使用 应用凭据 以避免在配置文件中嵌入用户帐户凭据。相反，用户会创建一个应用程序凭据，它接受对单个项目委托的访问权限，并具有自己的不同机密。用户也可以将委派的特权限制为该项目中的单个角色。这可让您采用最小特权的原则，其中经过身份验证的用户只能访问一个项目和角色，而不是所有项目和角色。

您可以使用此方法在不显示用户凭据的情况下使用 API，应用可以向 Keystone 进行身份验证，而无需嵌入式用户凭据。

您可以使用应用程序凭证来生成令牌，并为应用程序配置 keystone_authtoken 设置。在以下部分中描述了这些用例。

注意

应用程序凭据取决于创建它的用户帐户，因此如果该帐户被删除，或者丢失对相关角色的访问，它将终止。

9.1. 使用应用程序凭证生成令牌
复制链接

应用凭据可在仪表板中作为自助服务功能供用户使用。本例演示了如何创建应用程序凭证，然后使用它生成令牌。

创建测试项目并测试用户帐户：

创建名为 AppCreds 的项目：
```
openstack project create AppCreds
```
```
$ openstack project create AppCreds
```
Copy to Clipboard Toggle word wrap

创建名为 AppCredsUser 的用户：

openstack user create --project AppCreds --password-prompt AppCredsUser

$ openstack user create --project AppCreds --password-prompt AppCredsUser

Copy to Clipboard

Toggle word wrap

为 AppCreds 项目授予 AppCredsUser 角色的访问权限：

openstack role add --user AppCredsUser --project AppCreds member

$ openstack role add --user AppCredsUser --project AppCreds member

Copy to Clipboard

Toggle word wrap

以 AppCredsUser 用户身份登录仪表板并创建应用程序凭证：
概述 Identity Application Credentials +Create Application Credential。
注意
确保您下载 clouds.yaml 文件内容，因为在关闭应用程序凭证的弹出窗口后，您无法再次访问它。

使用 CLI 创建名为 /home/stack/.config/openstack/clouds.yaml 的文件并粘贴 clouds.yaml 文件的内容。

This is a clouds.yaml file, which can be used by OpenStack tools as a source
of configuration on how to connect to a cloud. If this is your only cloud,
just put this file in ~/.config/openstack/clouds.yaml and tools like
python-openstackclient will just work with no further config. (You will need
to add your password to the auth section)
If you have more than one cloud account, add the cloud entry to the clouds
section of your existing file and you can refer to them by name with
OS_CLOUD=openstack or --os-cloud=openstack

# This is a clouds.yaml file, which can be used by OpenStack tools as a source
# of configuration on how to connect to a cloud. If this is your only cloud,
# just put this file in ~/.config/openstack/clouds.yaml and tools like
# python-openstackclient will just work with no further config. (You will need
# to add your password to the auth section)
# If you have more than one cloud account, add the cloud entry to the clouds
# section of your existing file and you can refer to them by name with
# OS_CLOUD=openstack or --os-cloud=openstack
clouds:
  openstack:
    auth:
      auth_url: http://10.0.0.10:5000/v3
      application_credential_id: "6d141f23732b498e99db8186136c611b"
      application_credential_secret: "<example secret value>"
    region_name: "regionOne"
    interface: "public"
    identity_api_version: 3
    auth_type: "v3applicationcredential"

Copy to Clipboard

Toggle word wrap

注意

对于部署，这些值会有所不同。

使用应用凭据生成令牌。在使用以下命令时，不得以任何特定用户形式提供，且您必须与 clouds.yaml 文件位于同一个目录中。

openstack --os-cloud=openstack token issue

[stack@undercloud-0 openstack]$ openstack --os-cloud=openstack token issue
+------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| Field      | Value                                                                                                                                                                                                        |
+------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| expires    | 2018-08-29T05:37:29+0000                                                                                                                                                                                     |
| id         | gAAAAABbhiMJ4TxxFlTMdsYJpfStsGotPrns0lnpvJq9ILtdi-NKqisWBeNiJlUXwmnoGQDh2CMyK9OeTsuEXnJNmFfKjxiHWmcQVYzAhMKo6_QMUtu_Qm6mtpzYYHBrUGboa_Ay0LBuFDtsjtgtvJ-r8G3TsJMowbKF-yo--O_XLhERU_QQVl3hl8zmMRdmLh_P9Cbhuolt |
| project_id | 1a74eabbf05c41baadd716179bb9e1da                                                                                                                                                                             |
| user_id    | ef679eeddfd14f8b86becfd7e1dc84f2                                                                                                                                                                             |
+------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+

Copy to Clipboard

Toggle word wrap

注意

如果您收到类似于 __init__（）的错误，则会出现一个意外的关键字参数 'application_credential_secret'，那么您可能仍会 source 到之前的凭证。对于全新环境，请运行 sudo su - stack。

第 9 章应用程序凭证

9.1. 使用应用程序凭证生成令牌
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 9 章 应用程序凭证

9.1. 使用应用程序凭证生成令牌复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第 9 章应用程序凭证

9.1. 使用应用程序凭证生成令牌
复制链接