第 24 章 实施联邦

您可以使用红帽单点登录(RH-SSO)来联合您的 IdM 用户进行 OpenStack 身份验证(authN)。联邦允许您的 IdM 用户登录 OpenStack 仪表板，而无需向任何 OpenStack 服务显示其凭证。相反，当 Dashboard 需要用户的凭证时，它会将用户转发到 Red Hat Single Sign-On (RH-SSO)，并允许用户在其中输入其 IdM 凭证。因此，RH-SSO 认为用户已成功进行身份验证的 Dashboard，然后允许用户访问项目。

在下图中，keystone (SP)与 RH-SSO[id=the-federation-workflow_implementing-federation] = 联邦工作流通信

本节论述了 Identity 服务(keystone)、RH-SSO 和 IdM 如何相互交互。OpenStack 中的联邦使用身份提供程序和服务提供程序的概念：

身份提供程序 (IdP)- 存储用户帐户的服务。在本例中，IdM 中保存的用户帐户使用 RH-SSO 向 Keystone 提供。

Service Provider (SP)- 需要 IdP 中用户进行身份验证的服务。在本例中，keystone 是授予 IdM 用户的 Dashboard 访问权限的服务提供商。

在下图中，keystone (SP)与 RH-SSO ( IdP)通信，它也可以充当其他 IdP 的通用适配器。在此配置中，您可以在 RH-SSO 上点 keystone，并且 RH-SSO 会将请求转发到它支持的身份提供程序（称为身份验证模块），这些目前包含 IdM 和 Active Directory。这通过将服务提供商(SP)和身份提供程序(IdP)交换元数据完成，然后每个系统管理员都做出信任决定。结果是 IdP 可以自信地进行断言，然后 SP 可以接收这些断言。

View larger image