3.7. 使用 Red Hat Single Sign-On 与 IdM 联合

本节论述了如何 keystone、RH-SSO 和 IdM 相互交互。OpenStack 中的联合使用身份提供程序和服务提供程序的概念：

Identity Provider (IdP)- 存储用户帐户的服务。在本例中，IdM 中保存的用户帐户将使用 RH-SSO 向 Keystone 呈现。

服务提供商 (SP)- 需要来自 IdP 中用户进行身份验证的服务。在本例中，keystone 是向 IdM 用户授予 Dashboard 访问权限的服务供应商。

在下图中，keystone (SP)与 RH-SSO ( IdP)通信，它提供了必要的 SAML2 WebSSO。RH-SSO 也可以作为其他 IdP 的通用适配器。在此配置中，您可以在 RH-SSO 上指向 keystone，RH-SSO 会将请求转发到它支持（称为身份验证模块）的身份提供商中，它们目前包括 IdM 和 Active Directory。这可以通过将服务提供商(SP)和身份提供程序(IdP)交换元数据来完成，然后每个系统管理员都做出信任决定。结果是 IdP 可以自信地进行断言，SP 就可以收到这些断言。

View larger image

如需更多信息，请参阅联合指南： https://access.redhat.com/documentation/en-us/red_hat_openstack_platform/16.0/html-single/federate_with_identity_service/